2014工控系统的安全研究与实践报告
2015-08-12
在2013年,工业控制系统的安全问题在国内许多信息安全相关的技术大会上作为重要的研讨议题频繁出现,已成为工业控制系统相关的各行业以及信息安全领域的研究机构、厂商所关注的热点方向之一。同时,国家在政策制订、技术标准研制、科研基金支持、促进行业内合作等方面也在逐步加大推动的力度。
在此背景下,本报告首先基于我们2013年推出的“工业控制系统及其安全性研究报告”,进一步讨论工业控制系统在2013年新增公开漏洞的变化趋势及统计特征、分析工业控制系统所面临的安全威胁及APT攻击的特征,探索针对工业控制系统脆弱性及攻击威胁的检测及防护方法,提出我们的安全防护建议。其次,结合我们的项目实践经验选择了电力、市政这两个行业的典型系统(智能变电站、自来水厂)作为案例,对其相关工业控制系统的安全问题进行了较为详细分析讨论,并分别通过两个虚构的攻击场景对它们可能存在的安全风险给出了一个直观的描述。最后讨论了关于工业控制系统的安全保障需要国家、行业监管部门、用户、工业控制系统提供商以及信息安全厂商等多方面协同努力的行业发展建议,并初步探讨了信息安全厂商关于工业控制系统相关的安全研究、产品开发及安全服务提供的发展思路。
本报告的内容将有助于工业控制系统的用户了解工业控制系统的脆弱性、所面临的安全威胁及初步的防护建议,提升用户的信息安全意识。同时,本报告对于行业政策的制订者以及工业控制系统安全的产品及服务提供商也有一定的参考价值。
如下信息图,便于您快速了解报告的主要内容。