工控信息安全风险评估

       随着工业4.0时代的到来和“两化”融合的快速推进，工业控制系统网络安全和信息安全问题日益突出，受到越来越多政府部门、企业及研究机构的重视。业控制系统信息安全是工业信息化的产物，我们必须正视其存在并加以解决。工业控制信息系统安全涉及自动控制通信网络、信息安全、工厂业务模式等多个领域，用户单位独立应对工业控制系统信息安全问题面临着较大的难题。广泛应用于各类工业现场，包括政府、电力、石油、石化、煤炭、烟草、钢铁、轨交、工业制造以及其他与国家基础设施和国计民生紧密相关的工业控制系统和网络等。

       同时，工业控制系统出现的安全威胁无论是种类还是数量都正在迅速攀升，潜在威胁是巨大的，一旦发作将会给用户造成不可估量的损失。我们的技术团队为用户单位提供有关工业控制系统信息安全的脆弱性评估及整改方案的咨询服务。

       我们将针对用户工业控制系统的配置、网络拓扑、信息流模型、业务及行为模型选用适当的模拟工具，提出其工业控制系统信息安全脆弱性评估报告，并有针对性地给出提高信息系统安全级别的整体解决方案。我们拥有完整创新的评估体系和解决方案，同工信部及其他专业的IT测评机构合作，曾对行业内的工业控制系统进行了广泛的实地调查和安全评估。评估对象包括网络中的关键信息资产、应用系统、实物资产、设施和环境，以及人员、管理制度等。

       本着可靠、完整、保密和影响性小原则，我们推出的安全评估业务，致力于协助用户更深刻地了解其工控系统的安全状况，从而有针对性地采取改进措施，保护控制系统的硬件、软件以及相关数据，不因偶然或恶意侵犯而遭到破坏、纂改及泄露，进而保证控制网络系统能够连续、稳定、可靠运行。我们的安全评估业务建立在对行业深刻理解、处理安全问题（事件）的方法、正确科学的安全思维方式基础之上，为工控用户提供贴合自身业务的系统安全评估与咨询服务。

        工控信息安全管理平台搭建

        平台介绍

       工控安全管理平台围绕用户的工控业务安全，可多方面监控与之相关的设备的运行状态，采集其安全事件。平台可对各类关键运行指标设置监控阈值，可对采集的事件进行归一化处理和关联分析。当出现运行指标异常，发现攻击行为或违规访问时，可及时进行多种方式的告警，执行预定义的响应动作，帮助管理员迅速定位故障点，发现高危安全事件，及时采取有效措施，保障用户生产业务的连续性。同时，平台利用所采集的运行指标数据和安全事件数据，能够提供多种类型的统计分析，依照合规要求生成多种审计报表。平台为持续提高业务系统可用性、提高网络安全预警能力和提高安全审计能力提供了有效的技术平台。

       平台优势和价值

● 以工控业务安全为核心的监控和审计

● 多层次安全管理

● 可视化监控和审计手段

工控安全管理平台包含设备和应用的监控与管理，为用户提供了统一的管理平台，全面直观的网络拓扑结构能够帮助用户快速定位网络故障，及时发现网络流量异常，系统能对网络中的关键节点性能提供全面监控和告警，主动监控应用服务的状态和性能。

工控安全管理平台可与力控华康的安全产品深度结合，对我们的安全设备进行配置管理、策略管理、工控安全事件深度审计。可以提升用户网络的协同安全防御能力。

       工控系统信息安全建设咨询

       我公司依靠对国家相关政策法规和技术标准的准确理解，结合自身对工控安全技术的研究，为客户提供全工控安全生命周期的第三方安全服务。全生命周期包括：安全测评阶段、安全规划阶段、安全建设阶段、安全运维阶段。在安全运维阶段，通过进一步的安全测评发现需要解决的问题，启动新的安全规划。在整个生命周期中，我公司为客户提供提高人员专业水平的工控安全培训认证服务，作为提高客户工控安全保障能力的手段。

安全规划阶段的服务：工业控制系统安全产品选型对比服务、工业控制系统安全性选型对比服务。

安全运维阶段的服务：工业控制系统安全应急响应服务。

我公司将根据客户的需求，提供对工控安全产品自身脆弱性审查的工控安全产品审查服务，以减少由于工控安全产品自身的脆弱性，如：产品出厂登录口令为弱口令，远程管理未加认证，远程通信数据未加密，产品使用角色分权不安全等等，所引起的工控安全问题。