工業(yè)控制系統(tǒng)漏洞挖掘及安全防護方案

PAGEIVPAGE70面向工業(yè)控制系統(tǒng)的漏洞挖掘及安全防護系統(tǒng)研發(fā)及電力行業(yè)應(yīng)用建議書項目單位：北京神州綠盟科技有限公司國家電網(wǎng)公司信息網(wǎng)絡(luò)安全實驗室北京賽西科技發(fā)展有限責(zé)任公司項目負(fù)責(zé)人：于旸財務(wù)負(fù)責(zé)人：胡節(jié)紅單位負(fù)責(zé)人：沈繼業(yè)聯(lián)系電話期：2011年4月目錄TOC\o"1-3"\h\z1 項目概述 51.1 項目背景 51.2 項目建設(shè)的意義及必要性 71.3 項目目標(biāo) 82 國內(nèi)外相關(guān)技術(shù)發(fā)展與市場情況說明 82.1 工業(yè)控制系統(tǒng)安全現(xiàn)狀 82.2 工業(yè)控制系統(tǒng)安全國內(nèi)外現(xiàn)狀分析 123 投標(biāo)單位概況和已有工作基礎(chǔ) 153.1 項目承擔(dān)單位概況 153.1.1 北京神州綠盟科技有限公司 153.1.2 國家電網(wǎng)公司信息網(wǎng)絡(luò)安全實驗室 183.1.3 北京賽西科技發(fā)展有限責(zé)任公司 223.2 實施本項目的工作基礎(chǔ)及優(yōu)勢 243.2.1 漏洞挖掘與安全攻防技術(shù)優(yōu)勢 243.2.2 產(chǎn)品研發(fā)基礎(chǔ)與優(yōu)勢 273.2.3 安全服務(wù)基礎(chǔ) 283.2.4 重大安全保障服務(wù)基礎(chǔ) 293.2.5 市場化基礎(chǔ) 293.2.6 承擔(dān)的國家課題 303.3 項目負(fù)責(zé)人和主要參與人員 323.3.1 項目負(fù)責(zé)人 323.3.2 項目技術(shù)骨干 324 技術(shù)總體方案 364.1 工業(yè)控制系統(tǒng)漏洞挖掘及安全防護方案 364.2 相關(guān)核心技術(shù) 404.2.1 工業(yè)控制系統(tǒng)漏洞挖掘技術(shù) 404.2.2 工業(yè)控制系統(tǒng)入侵檢測技術(shù) 415 項目實施方案 425.1 項目技術(shù)實現(xiàn) 425.1.1 面向工業(yè)控制系統(tǒng)的漏洞挖掘工具 425.1.2 面向工業(yè)控制系統(tǒng)的漏洞掃描工具 445.1.3 面向工業(yè)控制系統(tǒng)的入侵檢測工具 515.2 技術(shù)保障措施 545.2.1 組織方式 545.2.2 質(zhì)量控制措施 566 預(yù)期達到的技術(shù)經(jīng)濟指標(biāo) 576.1 預(yù)計實現(xiàn)技術(shù)指標(biāo) 576.2 項目盈利模式 577 承擔(dān)項目的可行性分析 587.1 可行性分析 587.1.1 研究目標(biāo)明確 587.1.2 強大的技術(shù)與產(chǎn)品研發(fā)能力 597.1.3 優(yōu)秀的技術(shù)團隊 597.2 風(fēng)險分析與對策 607.2.1 政策風(fēng)險與對策 607.2.2 技術(shù)風(fēng)險與對策 617.2.3 管理風(fēng)險與對策 617.2.4 人員風(fēng)險與對策 618 進度安排與考核指標(biāo) 629 經(jīng)費預(yù)算和分配方案 629.1 投資估算 629.2 資金的籌措 639.3 政府資金使用計劃 63附錄 651、項目資金來源及使用情況表 652、企業(yè)股權(quán)結(jié)構(gòu)及項目實施目標(biāo)情況表 67PAGE73項目概述項目背景工業(yè)控制系統(tǒng)（IndustrialControlSystems,ICS），包括SCADA系統(tǒng)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端（RTU）、智能電子設(shè)備（IED）等。目前已應(yīng)用于電力、水力、石化、醫(yī)藥、食品、交通運輸、航天等工業(yè)領(lǐng)域，其中超過80%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)，已成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國家的戰(zhàn)略安全。隨著信息化與工業(yè)化進程的不斷交叉融合，越來越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域，針對工業(yè)控制系統(tǒng)的攻擊和威脅逐步顯現(xiàn)。2010年，“震網(wǎng)”蠕蟲對伊朗核設(shè)施的成功攻擊，顯示出基于網(wǎng)絡(luò)的蠕蟲病毒攻擊對工業(yè)控制系統(tǒng)安全所能導(dǎo)致的巨大威脅?！罢鹁W(wǎng)病毒”事件發(fā)生后，能源領(lǐng)域安全事件頻發(fā)，這表明一直以來被認(rèn)為相對封閉、相對專業(yè)和相對安全的工業(yè)控制系統(tǒng)已成為黑客、不法組織，甚至是網(wǎng)絡(luò)戰(zhàn)的攻擊目標(biāo)。與此同時，關(guān)于工業(yè)控制系統(tǒng)信息安全漏洞與隱患問題開始爆發(fā)性地浮出水面，工業(yè)控制系統(tǒng)后門、漏洞和利用攻擊等方面的研究日益深入，一些工業(yè)控制產(chǎn)品的安全漏洞信息和利用代碼在互聯(lián)網(wǎng)上廣為傳播，這導(dǎo)致針對工控系統(tǒng)的信息安全攻擊實施門檻逐漸降低，工控安全情況日益嚴(yán)峻。然而，由于長期處于獨立運行狀態(tài)并且使用專用技術(shù)，工控系統(tǒng)信息安全問題長期被人忽視，導(dǎo)致其信息安全防護力度偏弱，急需展開工業(yè)控制系統(tǒng)安全防護方面的研究。從全球范圍來看，信息技術(shù)較為發(fā)達的美國在工業(yè)控制系統(tǒng)安全保障領(lǐng)域走在世界的前列，美國作為信息化和工業(yè)自動化最發(fā)達的國家，擁有信息技術(shù)和工業(yè)自動化技術(shù)的主導(dǎo)權(quán)和話語權(quán)，在工業(yè)控制系統(tǒng)的信息安全管理體制、技術(shù)體系、以及相關(guān)資金投入上平都居世界領(lǐng)先水平。自從“震網(wǎng)”事件爆發(fā)以來，工業(yè)控制系統(tǒng)安全引起我國高度重視。主管部委開始從政策和科研層面上積極部署工控系統(tǒng)的安全保障工作，研究和制定相關(guān)的規(guī)范及要求，邁出探索和研究工業(yè)控制系統(tǒng)信息安全的第一步。我國工業(yè)控制系統(tǒng)的安全防護策略的研究、安全防護技術(shù)手段仍然很薄弱，主要依賴于傳統(tǒng)計算機網(wǎng)絡(luò)的防護技術(shù)手段，防御效果有限。自從“震網(wǎng)”事件爆發(fā)以來，工業(yè)控制系統(tǒng)安全引起國家高度重視。為此，工業(yè)和信息化部發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，強調(diào)加強工業(yè)信息安全的重要性、緊迫性，并明確了重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理要求。作為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，工業(yè)控制系統(tǒng)關(guān)系著國家工業(yè)生產(chǎn)運行、國家經(jīng)濟安全和人民生命財產(chǎn)安全。為了提升我國工業(yè)控制系統(tǒng)的安全保障能力的需要，迫切需要構(gòu)建面向工業(yè)控制系統(tǒng)的漏洞挖掘及安全防護系統(tǒng)。本項目通過面向工業(yè)控制系統(tǒng)的漏洞挖掘及安全防護系統(tǒng)研發(fā)及應(yīng)用，為我國工業(yè)控制系統(tǒng)安全防護戰(zhàn)略和政策的落地提供必要的技術(shù)支撐，推進工業(yè)控制系統(tǒng)安全管理體系建設(shè)。項目建設(shè)的意義及必要性隨著越來越多的工業(yè)控制系統(tǒng)信息安全事件的出現(xiàn)，工業(yè)控制系統(tǒng)的安全受到了各國的關(guān)注和重視。因此，加強工業(yè)控制系統(tǒng)漏洞漏洞挖掘及安全防護系統(tǒng)研發(fā)具有重要的現(xiàn)實意義。有利于打造自主可控的工業(yè)控制系統(tǒng)安全防護技術(shù)，提升我國工業(yè)控制系統(tǒng)的安全防護能力隨著信息化的推動和工業(yè)化進程的加速，越來越多的計算機和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)，在為工業(yè)生產(chǎn)帶來極大推動作用的同時，也帶來了工業(yè)控制系統(tǒng)的安全問題，如木馬、病毒、網(wǎng)絡(luò)攻擊造成信息泄露和控制指令篡改等。因此，需要加強工業(yè)控制系統(tǒng)信息安全管理。本項目通過研究工業(yè)控制系統(tǒng)漏洞挖掘和安全防護技術(shù)，解決工業(yè)控制系統(tǒng)脆弱性分析和安全防護問題，形成面向工業(yè)控制系統(tǒng)的漏洞挖掘檢測、分析輔助工具，建立適合工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)規(guī)范，從而保證我國工業(yè)控制系統(tǒng)的安全運行。促進我國工業(yè)控制系統(tǒng)信息安全管理體系建設(shè)作為國家的重要基礎(chǔ)設(shè)施，工業(yè)控制系統(tǒng)的的安全性對國家安全、社會利益具有重要的影響，為此工信部印發(fā)通知，要求各級政府和國有大型企業(yè)切實加強工業(yè)控制系統(tǒng)的信息安全管理。本項目通過研發(fā)工業(yè)控制系統(tǒng)研發(fā)入侵檢測、漏洞挖掘和掃描等安全防護工具，建立工業(yè)控制系統(tǒng)安全防護體系和標(biāo)準(zhǔn)規(guī)范，進一步加強我國工業(yè)控制系統(tǒng)的安全管理。項目目標(biāo)本項目突破工業(yè)控制系統(tǒng)漏洞挖掘和安全防護技術(shù)，解決工業(yè)控制系統(tǒng)脆弱性分析和安全防護問題，針對電力等領(lǐng)域生產(chǎn)系統(tǒng)的工業(yè)控制系統(tǒng)研發(fā)入侵檢測、漏洞挖掘和掃描等安全防護工具，實現(xiàn)工業(yè)控制系統(tǒng)的入侵檢測與漏洞挖掘、異常行為檢測與處置等安全服務(wù)，形成面向工業(yè)控制系統(tǒng)的專業(yè)化安全服務(wù)隊伍，切實提升我國應(yīng)對新安全威脅的能力，推進我國工業(yè)控制系統(tǒng)信息安全管理體系建設(shè)。國內(nèi)外相關(guān)技術(shù)發(fā)展與市場情況說明工業(yè)控制系統(tǒng)安全現(xiàn)狀隨著開放、互聯(lián)的現(xiàn)代網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，工廠信息化管理的普及以及數(shù)字化工廠興起，工業(yè)基礎(chǔ)設(shè)施領(lǐng)域正面臨著來自信息安全領(lǐng)域的諸多挑戰(zhàn)。傳統(tǒng)上，控制網(wǎng)絡(luò)多為采用專用技術(shù)的封閉網(wǎng)絡(luò)，面臨的安全威脅不突出，因此各種控制系統(tǒng)、設(shè)備、應(yīng)用的主要指標(biāo)是可用性、功能、性能、（物理）安全性、實時性等，很少考慮信息安全的問題。但近年來，隨著工業(yè)控制逐漸從封閉、孤立的系統(tǒng)走向互聯(lián)（包括與傳統(tǒng)IT系統(tǒng)互聯(lián)），日益廣泛地采用包括TCP/IP技術(shù)在內(nèi)的開放技術(shù)。工業(yè)基礎(chǔ)設(shè)施在享受開放、互聯(lián)技術(shù)帶來的進步與益處的同時，也面臨越來越嚴(yán)重的安全威脅。全球工業(yè)系統(tǒng)的安全形勢已經(jīng)是危機四伏。該領(lǐng)域代表性企業(yè)西門子公司的產(chǎn)品必然是攻防雙方的一個重點戰(zhàn)場。在BlackHatUSA大會上，安全專家DillonBeresford介紹了在西門子公司工業(yè)控制系統(tǒng)中發(fā)現(xiàn)更多漏洞的情況，這些漏洞包括復(fù)活節(jié)彩蛋、可用于發(fā)起遠(yuǎn)程拒絕服務(wù)攻擊的漏洞，甚至是管理賬號和密碼硬編碼漏洞。與傳統(tǒng)的信息系統(tǒng)安全需求不同，ICS系統(tǒng)設(shè)計需要兼顧應(yīng)用場景與控制管理等多方面因素，以優(yōu)先確保系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。在這種設(shè)計理念的影響下，缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的通病。2001年后，通用開發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用，使得針對ICS系統(tǒng)的攻擊行為出現(xiàn)大幅度增長。據(jù)權(quán)威工業(yè)安全事件信息庫RISI（RepositoryofSecurityIncidents）統(tǒng)計，截止2011年10月，全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件。其中典型工業(yè)控制系統(tǒng)入侵事件：2007年，攻擊者入侵加拿大的一個水利SCADA控制系統(tǒng)，通過安裝惡意軟件破壞了用于取水調(diào)度的控制計算機；2008年，攻擊者入侵波蘭某城市的地鐵系統(tǒng)，通過電視遙控器改變軌道扳道器，導(dǎo)致4節(jié)車廂脫軌；2010年，“網(wǎng)絡(luò)超級武器”Stuxnet病毒通過針對性的入侵ICS系統(tǒng)，嚴(yán)重威脅到伊朗布什爾核電站核反應(yīng)堆的安全運營；2011年，黑客通過入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA，使得美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。隨著工業(yè)控制系統(tǒng)的安全事件的發(fā)生及產(chǎn)生的巨大危害，工業(yè)控制系統(tǒng)安全防護需求日益迫切。其中工業(yè)控制系統(tǒng)的關(guān)鍵安全需求包括：開展工業(yè)安全風(fēng)險評估，建設(shè)全面的信息安全管理；實現(xiàn)安全域的劃分與隔離；建立保護ICS的控制級，防御安全攻擊。（1）工業(yè)控制系統(tǒng)的威脅分析工業(yè)控制系統(tǒng)面臨的威脅是多樣化的。一方面，敵對政府、恐怖組織、商業(yè)間諜、內(nèi)部不法人員、外部非法入侵者等對系統(tǒng)虎視眈眈。國家關(guān)鍵基礎(chǔ)所依賴的很多重要信息系統(tǒng)從技術(shù)特征上講是ICS，而不是傳統(tǒng)上我們熟悉的TCP/IP網(wǎng)絡(luò)，其安全是國家經(jīng)濟穩(wěn)定運行的關(guān)鍵，是信息戰(zhàn)中敵方的重點攻擊目標(biāo)，攻擊后果極其嚴(yán)重。另一方面，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)害等也會對ICS造成破壞。在現(xiàn)代計算機和網(wǎng)絡(luò)技術(shù)融合進ICS后，傳統(tǒng)TCP/IP網(wǎng)絡(luò)上常見的安全問題已經(jīng)紛紛出現(xiàn)在ICS之上。例如用戶可以隨意安裝、運行各類應(yīng)用軟件、訪問各類網(wǎng)站信息，這類行為不僅影響工作效率、浪費系統(tǒng)資源，而且還是病毒、木馬等惡意代碼進入系統(tǒng)的主要原因和途徑。近年來，隨著越來越多的工業(yè)信息安全事件的出現(xiàn)，我國的工業(yè)基礎(chǔ)設(shè)施正面臨著前所未有的挑戰(zhàn)。目前，工業(yè)基礎(chǔ)設(shè)施面臨的各種安全威脅包括：竊取數(shù)據(jù)、配方；破壞制造工廠；由于病毒、惡意軟件等導(dǎo)致的工廠停產(chǎn)；操縱數(shù)據(jù)或應(yīng)用軟件；甚至對系統(tǒng)功能未經(jīng)授權(quán)的訪問等安全威脅。因此，針對工業(yè)控制系統(tǒng)的特點，研制并部署相應(yīng)的工業(yè)安全解決方案，保障我國工業(yè)基礎(chǔ)設(shè)施的安全運營，已成為迫在眉睫的需求。（2）工業(yè)控制系統(tǒng)的脆弱性分析安全策略與管理流程的脆弱性追求可用性而犧牲安全，這是很多工業(yè)控制系統(tǒng)存在普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程是當(dāng)前我國工業(yè)控制系統(tǒng)的最大難題，很多已經(jīng)實施了安全防御措施的ICS網(wǎng)絡(luò)仍然會因為管理或操作上的失誤，造成ICS系統(tǒng)出現(xiàn)潛在的安全短板。例如，工業(yè)控制系統(tǒng)中的移動存儲介質(zhì)的使用和不嚴(yán)格的訪問控制策略。作為信息安全管理的重要組成部分，制定滿足業(yè)務(wù)場景需求的安全策略，并依據(jù)策略制定管理流程，是確保ICS系統(tǒng)穩(wěn)定運行的基礎(chǔ)。參照NERCCIP、ANSI/ISA-99、IEC62443等國際標(biāo)準(zhǔn)，目前我國安全策略與管理流程的脆弱性表現(xiàn)為：缺乏ICS的安全策略；缺乏ICS的安全培訓(xùn)與意識培養(yǎng)；缺乏安全架構(gòu)與設(shè)計；缺乏根據(jù)安全策略制定的正規(guī)、可備案的安全流程；缺乏ICS安全審計機制；缺乏針對ICS的業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計劃；缺乏針對ICS配置變更管理。工控平臺的脆弱性由于ICS終端的安全防護技術(shù)措施十分薄弱，所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點，在終端上發(fā)生、發(fā)起，并通過網(wǎng)絡(luò)感染或破壞其他系統(tǒng)。事實是所有的入侵攻擊都是從終端上發(fā)起的，黑客利用被攻擊系統(tǒng)的漏洞竊取超級用戶權(quán)限，肆意進行破壞。注入病毒也是從終端發(fā)起的，病毒程序利用操作系統(tǒng)對執(zhí)行代碼不檢查一致性弱點，將病毒代碼嵌入到執(zhí)行代碼程序，實現(xiàn)病毒傳播。更為嚴(yán)重的是對合法的用戶沒有進行嚴(yán)格的訪問控制，可以進行越權(quán)訪問，造成不安全事故。網(wǎng)絡(luò)的脆弱性ICS的網(wǎng)絡(luò)弱點一般來源于軟件的漏洞、錯誤配置或者ICS網(wǎng)管理的失誤。另外，ICS與其他網(wǎng)絡(luò)連接時缺乏安全邊界控制，也是常見的安全隱患。當(dāng)前ICS網(wǎng)絡(luò)主要的脆弱性集中體現(xiàn)為：邊界安全策略缺失；系統(tǒng)安全防御機制缺失；管理制度缺失或不完善；網(wǎng)絡(luò)配置規(guī)范缺失；監(jiān)控與應(yīng)急響應(yīng)制度缺失；網(wǎng)絡(luò)通信保障機制缺失；無線網(wǎng)絡(luò)接入認(rèn)證機制缺失；基礎(chǔ)設(shè)施可用性保障機制缺失。工業(yè)控制系統(tǒng)安全國內(nèi)外現(xiàn)狀分析從全球范圍來看，信息技術(shù)較為發(fā)達的美國在工業(yè)控制系統(tǒng)安全保障領(lǐng)域走在世界的前列，美國作為信息化和工業(yè)自動化最發(fā)達的國家，擁有信息技術(shù)和工業(yè)自動化技術(shù)的主導(dǎo)權(quán)和話語權(quán)，在工業(yè)控制系統(tǒng)的信息安全管理體制、技術(shù)體系、以及相關(guān)資金投入上平都居世界領(lǐng)先水平。美國政府早在2002年起重視工業(yè)控制系統(tǒng)信息安全問題，十年來在工控安全領(lǐng)域進行了大量的工作，已經(jīng)形成了完整的工控系統(tǒng)信息安全管理體制和技術(shù)體系。在工業(yè)控制系統(tǒng)信息安全研究方面，以石油化工、電力等能源行業(yè)為重點；在管理體制、技術(shù)體系和標(biāo)準(zhǔn)法規(guī)方面，美國國土安全部、能源部、國家實驗室共同推動了美國工業(yè)控制系統(tǒng)信息安全工作的開展。在工業(yè)控制系統(tǒng)管理體制方面，美國主要由國土安全部（DHS）和能源部（DOE）牽頭，分別在工業(yè)控制系統(tǒng)信息安全領(lǐng)域制定專門的專項計劃，開展工業(yè)控制系統(tǒng)信息安全工作。在美國能源部和國土安全部等部門支持下，愛達荷國家實驗室INL于2003年開始建設(shè)，并在2005年正式投入運行了關(guān)鍵基礎(chǔ)設(shè)施測試靶場（CITR），其中就包括了SCADA/控制系統(tǒng)測試床和電力網(wǎng)測試床。這為工業(yè)控制系統(tǒng)安全保障工作的順利開展奠定了良好的基礎(chǔ)。美國國土安全部的國家網(wǎng)際安全處（NCSD）制訂了控制系統(tǒng)安全計劃（CSSP），其目標(biāo)是消除所有關(guān)鍵基礎(chǔ)設(shè)施和重要資源行業(yè)領(lǐng)域的工業(yè)控制系統(tǒng)安全風(fēng)險；美國能源部電力調(diào)度與能源可靠性辦公室（DOE-OE）制訂了國家SCADA測試床計劃（NSTB），該測試床提供各種工控系統(tǒng)的真實測試環(huán)境，幫助工業(yè)界和政府評估工業(yè)控制系統(tǒng)的脆弱性和測試工業(yè)控制系統(tǒng)軟硬件的安全性。在工業(yè)控制系統(tǒng)技術(shù)研究方面，美國建立了依托模擬仿真平臺、綜合采用現(xiàn)場檢查測評與實驗室測評相結(jié)合的測評方法。以模擬仿真平臺為基礎(chǔ)的驗證服務(wù)和自主可控測評服務(wù)已成為當(dāng)前工業(yè)控制系統(tǒng)信息安全的一種必然趨勢。美國國土安全部下屬的工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)小組（ICS-CERT）同US-CERT協(xié)作，以工業(yè)控制系統(tǒng)安全為關(guān)注點，開展相關(guān)技術(shù)工作，包括響應(yīng)和分析控制系統(tǒng)相關(guān)事故、執(zhí)行漏洞和惡意代碼分析、為事故響應(yīng)和取證分析提供現(xiàn)場支持、以可行動情報形式提供態(tài)勢感知、協(xié)調(diào)漏洞/消控的可靠披露、通過信息產(chǎn)品和告警共享和協(xié)調(diào)漏洞信息和威脅分析。在在工業(yè)控制系統(tǒng)標(biāo)準(zhǔn)法規(guī)方面，美國形成了從國家法規(guī)標(biāo)準(zhǔn)到行業(yè)化標(biāo)準(zhǔn)規(guī)范的一整套標(biāo)準(zhǔn)規(guī)范。國家相關(guān)法規(guī)戰(zhàn)略包括：國土安全總統(tǒng)令HSPD-7、《聯(lián)邦信息安全管理法》（FISMA）、國家基礎(chǔ)設(shè)施保護計劃（NIPP）等；國家相關(guān)指南：美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布了一系列指南包括《工業(yè)控制系統(tǒng)安全指南》（NISTSP800-82）、《聯(lián)邦信息系統(tǒng)和組織的安全控制推薦》（NISTSP800-53）等。自從“震網(wǎng)”事件爆發(fā)以來，工業(yè)控制系統(tǒng)安全引起我國高度重視。主管部委開始從政策和科研層面上積極部署工控系統(tǒng)的安全保障工作，研究和制定相關(guān)的規(guī)范及要求，邁出探索和研究工業(yè)控制系統(tǒng)信息安全的第一步。在政策層面，工業(yè)控制系統(tǒng)信息安全保障工作要切實的貫徹落實國家出臺的相關(guān)政策。2011年9月29日，工信部發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部[2011]451號），強調(diào)要“切實加強工業(yè)控制系統(tǒng)信息安全管理，要求各省、自治區(qū)、直轄市人民政府、國務(wù)院有關(guān)部門、有關(guān)國有大型企業(yè)，一要充分認(rèn)識加強工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性；二要明確重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求；三要建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度；四要進一步加強工業(yè)控制系統(tǒng)信息安全工業(yè)的組織領(lǐng)導(dǎo)”。在科研層面，工業(yè)控制系統(tǒng)信息安全保障技術(shù)的研究工作進入實質(zhì)化階段。2011年國家發(fā)展和改革委員會在信息安全專項中對工控系統(tǒng)安全研究予以傾斜，涉及保障技術(shù)、服務(wù)技術(shù)和標(biāo)準(zhǔn)規(guī)范技術(shù)等國方面的內(nèi)容。總之，我國工業(yè)控制系統(tǒng)信息安全工作起步晚，總體上技術(shù)研究尚屬起步階段，管理制度不健全，相關(guān)標(biāo)準(zhǔn)規(guī)范不完善，技術(shù)防護措施不到位，安全防護能力和應(yīng)急處置能力不高，這些問題都威脅著工業(yè)生產(chǎn)安全和社會正常運轉(zhuǎn)。因此加快開展工業(yè)控制系統(tǒng)信息安全研究、制定規(guī)范的工業(yè)控制系統(tǒng)安全評估流程、開展工業(yè)控制系統(tǒng)安全檢查迫在眉睫。投標(biāo)單位概況和已有工作基礎(chǔ)項目承擔(dān)單位概況北京神州綠盟科技有限公司北京神州綠盟科技有限公司（簡稱綠盟科技）是國內(nèi)最早從事網(wǎng)絡(luò)安全業(yè)務(wù)的企業(yè)之一，總部位于北京。綠盟科技在全國設(shè)有30多個分支機構(gòu)，為客戶提供及時、有效的本地化服務(wù)。公司是第一批國家信息安全服務(wù)試點企業(yè)、第一批國家級應(yīng)急服務(wù)處理資質(zhì)、ISCCC一級應(yīng)急處理服務(wù)資質(zhì)（國內(nèi)最高安全服務(wù)資質(zhì)）、第29屆奧運安全保衛(wèi)工作協(xié)調(diào)小組信息網(wǎng)絡(luò)安全指揮部技術(shù)保障單位，同時擔(dān)任第29屆奧運會信息網(wǎng)絡(luò)安全技術(shù)專家的單位。綠盟科技具有強大的科技研發(fā)實力和技術(shù)成果轉(zhuǎn)化能力，曾先后獲得第一批國家高新技術(shù)企業(yè)、北京市企業(yè)技術(shù)中心、北京市軟件和信息服務(wù)業(yè)“四個一批”工程首批企業(yè)、海淀區(qū)重點企業(yè)、海淀區(qū)重點創(chuàng)新型企業(yè)和中關(guān)村國家自主創(chuàng)新示范區(qū)首批“十百千工程”重點培育企業(yè)、2010年度國家規(guī)劃布局內(nèi)重點軟件企業(yè)等諸多榮譽?；诙嗄甑某掷m(xù)研究，綠盟科技協(xié)助Microsoft、Sun、Cisco等公司解決了40個以上的系統(tǒng)安全漏洞問題，共同保護用戶的利益不被安全隱患所侵害。綠盟科技建立并維護的全球最大的中文漏洞庫已經(jīng)成為業(yè)界廣泛參考的標(biāo)準(zhǔn)。同時，在異常流量的分析檢測與清洗、Unix/Linux/Windows系統(tǒng)與應(yīng)用安全、安全漏洞發(fā)掘技術(shù)、安全產(chǎn)品缺陷與檢測、蠕蟲及病毒原理與防范、反入侵技術(shù)等領(lǐng)域，也進行了深入的基礎(chǔ)性研究。綠盟科技具有雄厚的技術(shù)實力和豐富的網(wǎng)絡(luò)安全產(chǎn)品開發(fā)經(jīng)驗。至今已經(jīng)發(fā)布的產(chǎn)品包括：冰之眼網(wǎng)絡(luò)入侵檢測系統(tǒng)、極光遠(yuǎn)程安全評估系統(tǒng)、黑洞抗拒絕服務(wù)攻擊系統(tǒng)、矩陣內(nèi)網(wǎng)安全管理系統(tǒng)等。所有產(chǎn)品在銷售前都經(jīng)過質(zhì)量控制部門嚴(yán)格測試，綠盟科技安全產(chǎn)品已經(jīng)達到了國際水平，其中部分產(chǎn)品已經(jīng)居于國際領(lǐng)先地位。綠盟科技也積極承擔(dān)國家信息安全相關(guān)科研攻關(guān)項目，承擔(dān)國家“十五”、“十一五”科技攻關(guān)項目、國家火炬項目、國家科技部、工信部、北京市等多項省部級重點信息安全科研項目。綠盟科技在2002年基于國際公認(rèn)的安全實施標(biāo)準(zhǔn)和評估標(biāo)準(zhǔn)，正式推出綠盟科技的DIEM系統(tǒng)安全工程實施模型，進一步提高了安全服務(wù)和安全集成的實施質(zhì)量，更有效的保障了客戶的網(wǎng)絡(luò)安全。綠盟科技自成立以來，積極組建自己的網(wǎng)絡(luò)實驗室，目前已形成完備的實驗環(huán)境，有用于實驗、測試、開發(fā)用的網(wǎng)絡(luò)設(shè)備、測試機、測試設(shè)備以及自主研發(fā)的各種安全設(shè)備近百臺，配合虛擬機可以搭建多組模擬局域網(wǎng)。在這個環(huán)境中，可以進行中小規(guī)模的攻擊測試、檢測測試、產(chǎn)品測試、軟件測試，還可以進行模擬的Windows攻擊、Linux攻擊測試；利用試驗環(huán)境的設(shè)備，綠盟科技可以根據(jù)實際情況模擬：拒絕服務(wù)類攻擊、獲取權(quán)限類攻擊、信息收集類攻擊、可疑活動類攻擊、網(wǎng)絡(luò)臨近類功能，以及模擬針對局域網(wǎng)、郵件服務(wù)器、Web服務(wù)器類型的攻擊。完善的實驗環(huán)境保證了公司的安全研究、環(huán)境測試、模擬攻擊、產(chǎn)品開發(fā)和檢驗檢測等各項工作的順利進行，為綠盟科技多年來的安全服務(wù)奠定了堅實的基礎(chǔ)。為了更加有效地為全國各地的用戶服務(wù)，同時也為了解決一般渠道伙伴無法為用戶提供更加依靠技術(shù)與經(jīng)驗等內(nèi)涵更高的安全服務(wù)，綠盟科技自2001年起著手建立自己在全國范圍內(nèi)的安全服務(wù)網(wǎng)點，目前已經(jīng)建好的外地辦事機構(gòu)包括北京、上海、廣州、沈陽、武漢、西安、成都七個分公司和福州、濟南、杭州、深圳、南京、長沙等覆蓋各省市自治區(qū)的20多家辦事處，以此來提供對用戶的近距離營銷、支持與服務(wù)。綠盟科技經(jīng)過11年專業(yè)安全服務(wù)的執(zhí)著實踐，形成了國內(nèi)最完善的專業(yè)安全服務(wù)體系和完善的專業(yè)安全服務(wù)方法論，并組建了專業(yè)的安全服務(wù)團隊，包括擁有國際一流基礎(chǔ)研究能力的綠盟科技安全小組(NSFOCUSSecurityTeam)，綠盟科技應(yīng)急響應(yīng)小組(NSFIRST)，以及擁有多位PMP、CISA、BS7799LA、ISO27001LA、CISSP、CISP、CCIE、CIW、COBIT、ITIL等國際/國內(nèi)認(rèn)證專家。綠盟科技通過專業(yè)安全服務(wù)與專業(yè)安全產(chǎn)品協(xié)助用戶設(shè)計、實現(xiàn)、維持、改進有效的安全戰(zhàn)略，提升符合性，增加其長期競爭優(yōu)勢。同時公司多次承擔(dān)國內(nèi)大型活動安全保障工作，如：十七大安全保障服務(wù)、第29奧運會安全技術(shù)保障服務(wù)、中國-東盟博覽會安全保障、廣交會百屆盛會安全保障等，成為國內(nèi)信息安全行業(yè)的領(lǐng)跑者，豎起了國內(nèi)信息安全行業(yè)的大旗，產(chǎn)品與服務(wù)占據(jù)著國內(nèi)信息安全行業(yè)的重大份額。國家電網(wǎng)公司信息網(wǎng)絡(luò)安全實驗室國家電網(wǎng)公司信息網(wǎng)絡(luò)安全實驗室是國家電網(wǎng)公司重點實驗室。目前實驗室有人員70余人，其中博士12人，有全國電力二次系統(tǒng)安全防護專家組成員、電力系統(tǒng)信息安全示范工程專家組成員、國家電網(wǎng)公司“SG186工程”安全防護專家組成員等，其安全研究成果獲得國家及省部級科技成果獎勵多項，其中的核心技術(shù)已獲得5項國家發(fā)明專利授權(quán)、獲得30項軟件著作權(quán)，信息安全技術(shù)研究與開發(fā)能力處于國內(nèi)領(lǐng)先水平。同時，實驗室獲得國家實驗室認(rèn)可委的CNAS認(rèn)可以及中國計量認(rèn)證，是國家信息安全服務(wù)資質(zhì)（安全工程類一級）單位，是國家電監(jiān)會指定的等級保護測評實驗室。實驗室與思博倫聯(lián)合成立的“SGEPRI-SPIRENT信息通信技術(shù)實驗室”是目前思博倫通信在全球唯一一家電力行業(yè)的信息通信實驗室。實驗室還是國家電網(wǎng)公司信息領(lǐng)域唯一一支科技攻關(guān)團隊信息安全主動防御技術(shù)科技攻關(guān)團隊的承擔(dān)單位，依據(jù)該科技攻關(guān)團隊，目前承擔(dān)《電力物聯(lián)網(wǎng)環(huán)境下基于可信計算的電力業(yè)務(wù)數(shù)據(jù)安全接入與傳輸關(guān)鍵技術(shù)研究》，培養(yǎng)了一批信息安全主動防御技術(shù)領(lǐng)域的領(lǐng)軍人才和核心骨干成員。實驗室長期從事電力專用密碼技術(shù)、安全認(rèn)證、安全測評等的研究與開發(fā)工作。多名專家與技術(shù)骨干參加了承擔(dān)了參與制訂了《電力二次系統(tǒng)安全防護總體方案》、《SG186工程安全防護總體方案》的編寫工作，牽頭完成了公司《SG-ERP信息安全框架》和《智能電網(wǎng)信息安全防護總體方案》的制定工作，參與制訂了《電力系統(tǒng)專用網(wǎng)絡(luò)安全隔離裝置功能規(guī)范》和《電力系統(tǒng)專用加密認(rèn)證裝置技術(shù)規(guī)范》的編寫工作，全過程參與了國家科技部“電力系統(tǒng)信息安全示范工程”項目，獨自承擔(dān)2011年國家電網(wǎng)公司信息安全主動防御技術(shù)科技攻關(guān)團隊項目《電力物聯(lián)網(wǎng)環(huán)境下基于可信計算的電力業(yè)務(wù)數(shù)據(jù)安全接入與傳輸關(guān)鍵技術(shù)研究》。研制開發(fā)的一系列的電力專用信息安全產(chǎn)品，包括正、反向網(wǎng)絡(luò)安全隔離裝置、縱向加密認(rèn)證網(wǎng)關(guān)及裝置管理系統(tǒng)、電力調(diào)度數(shù)字證書服務(wù)系統(tǒng)、安全撥號認(rèn)證網(wǎng)關(guān)、信息網(wǎng)絡(luò)安全隔離裝置及安全接入平臺等已在全國大部分網(wǎng)省公司、地市公司、各級變電站和電廠均得到了廣泛應(yīng)用。實驗室是信息網(wǎng)絡(luò)安全性分析和測評服務(wù)中心，擁有基于電力系統(tǒng)主機信息安全靜態(tài)分析技術(shù)的風(fēng)險評估等創(chuàng)新技術(shù)，開發(fā)了自主知識產(chǎn)權(quán)的主機、數(shù)據(jù)庫、應(yīng)用服務(wù)等評估工具，開展了安全評估和加固、安全測評、等級保護、防護體系、安全應(yīng)急響應(yīng)等方面的安全咨詢與服務(wù)工作，完成各級電力系統(tǒng)委托的3000多個業(yè)務(wù)系統(tǒng)的安全測評，發(fā)現(xiàn)18000多個安全隱患，為北京“奧運安保”、上海“世博保電”、廣州“亞運保電”等重大信息安全保障提供了重要技術(shù)支撐。實驗室建立了較完善的信息安全研究、測試、實驗、仿真平臺，擁有電力系統(tǒng)安全防護模擬實驗環(huán)境、安全測評服務(wù)環(huán)境、.攻防演練安全研究環(huán)境、云安全研究環(huán)境、光網(wǎng)絡(luò)安全研發(fā)環(huán)境、無線傳輸安全研發(fā)環(huán)境，擁有業(yè)界先進適用的研究和測試設(shè)備。（1）電力系統(tǒng)安全防護模擬實驗環(huán)境由正反向隔離裝置、縱向加密認(rèn)證網(wǎng)關(guān)、安全撥號認(rèn)證裝置、調(diào)度數(shù)字證書系統(tǒng)、ST-3000安全傳輸系統(tǒng)，SMC-2000裝置管理系統(tǒng)、信息網(wǎng)絡(luò)安全隔離裝置、防火墻、IDS/IPS等設(shè)備構(gòu)成，能夠?qū)ιa(chǎn)控制大區(qū)橫向安全I區(qū)、II區(qū)和電力調(diào)度數(shù)據(jù)網(wǎng)的縱向環(huán)境模擬，以及管理信息大區(qū)的III區(qū)和信息內(nèi)網(wǎng)、信息外網(wǎng)的模擬。該環(huán)境滿足了電力二次系統(tǒng)的“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”安全防護要求，實現(xiàn)了信息內(nèi)網(wǎng)和信息外網(wǎng)的邏輯強隔離，構(gòu)建了電力系統(tǒng)信息安全的縱深防御體系。（2）安全測評服務(wù)環(huán)境擁有SpirentTestCenter網(wǎng)絡(luò)層性能測試工具、Avalanche3100應(yīng)用層性能測試儀、FortifySCA代碼安全檢測工具、Loadrunner工業(yè)化性能負(fù)載測試系統(tǒng)、SQL注入分析工具、保密檢查工具等業(yè)界先進的安全測試設(shè)備。能實現(xiàn)大規(guī)模、多種類應(yīng)用級數(shù)據(jù)交互的網(wǎng)絡(luò)信息流模擬，新建連接達70萬每秒，并發(fā)連接數(shù)達1200萬；實現(xiàn)逾7000種網(wǎng)絡(luò)攻擊模擬。該環(huán)境具有設(shè)備和網(wǎng)絡(luò)信息系統(tǒng)的功能、性能、安全性進行檢測的能力，能測試設(shè)備和應(yīng)用是否能夠滿足實際現(xiàn)場并發(fā)連接、抗攻擊能力、穩(wěn)定性要求。（3）攻防演練安全研究環(huán)境由遠(yuǎn)程安全評估系統(tǒng)、蜜網(wǎng)系統(tǒng)、攻防管理系統(tǒng)、Web安全網(wǎng)關(guān)、安全滲透驗證系統(tǒng)、防火墻、IPS等國內(nèi)外先進技術(shù)和工具組成?？蓪崿F(xiàn)400多種安全漏洞挖掘，進行100多種攻防實驗。該環(huán)境能實現(xiàn)大規(guī)模網(wǎng)絡(luò)攻擊活動的發(fā)現(xiàn)和捕獲，構(gòu)建攻擊行為和惡意代碼樣本庫，為信息安全攻防、安全態(tài)勢感知、安全趨勢預(yù)測等技術(shù)的深入分析提供支撐。（4）云安全研究環(huán)境該環(huán)境由刀片服務(wù)器、VmwareVSphere管理系統(tǒng)等組成，對電力云計算安全域設(shè)計模型與劃分原則、虛擬化安全域隔離與訪問控制、多安全域動態(tài)管控、虛擬桌面和數(shù)據(jù)加密的云終端安全防護等技術(shù)進行研究。解決公司電力云環(huán)境下面臨的傳統(tǒng)安全域劃分失效問題，為公司電力云計算平臺及相關(guān)應(yīng)用建設(shè)提供安全保障與技術(shù)支撐。（5）光網(wǎng)絡(luò)安全研發(fā)環(huán)境該環(huán)境能模擬以太網(wǎng)無源光網(wǎng)絡(luò)（EPON）、自動交換光網(wǎng)絡(luò)（ASON）、分組傳送網(wǎng)（PTN）、光傳送網(wǎng)(OTN)等網(wǎng)絡(luò)環(huán)境。對光纖的安全傳輸、光纖到戶的安全防護和數(shù)據(jù)機密性保護等進行研究，提升我院對智能電網(wǎng)光纖到戶信息安全的研究能力。（6）無線傳輸安全研發(fā)環(huán)境該環(huán)境由GPRS安全接入系統(tǒng)、數(shù)據(jù)過濾系統(tǒng)、安全認(rèn)證管理系統(tǒng)等構(gòu)成，能對GPRS/CDMA、3G等無線公用網(wǎng)絡(luò)數(shù)據(jù)傳輸以及PDA接入的安全認(rèn)證的安全防護和數(shù)據(jù)機密性保護等進行研究?；诖谁h(huán)境研發(fā)的安全接入平臺，已部署在公司總部、上海、浙江等20多個單位，有效解決了電力行業(yè)智能電網(wǎng)輸電線路在線監(jiān)測、用戶用電信息采集、移動作業(yè)、移動辦公和電力光纖到戶等業(yè)務(wù)應(yīng)用的可信安全接入與傳輸問題。北京賽西科技發(fā)展有限責(zé)任公司北京賽西科技發(fā)展有限責(zé)任公司是工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院獨資建立的，集科研、服務(wù)于一體的綜合性技術(shù)服務(wù)公司。自成立以來，依托工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院的資源優(yōu)勢和行業(yè)優(yōu)勢，全面服務(wù)于電子信息技術(shù)、通信等事業(yè)的發(fā)展，構(gòu)建了標(biāo)準(zhǔn)化咨詢、檢測、認(rèn)證、培訓(xùn)的總體布局，全力打造“一站式”標(biāo)準(zhǔn)化服務(wù)體系。工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院是全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會、國家電子政務(wù)標(biāo)準(zhǔn)化總體組秘書處的掛靠單位，是ISO/IECJTC1SC27（ISO/IEC信息安全分技術(shù)委員會）國際標(biāo)準(zhǔn)化技術(shù)對口單位，與國際信息安全標(biāo)準(zhǔn)化組織建立了長期的技術(shù)溝通機制，積極地參與國際信息安全標(biāo)準(zhǔn)化活動，擁有一支經(jīng)驗豐富的標(biāo)準(zhǔn)制定、檢測和認(rèn)證的專業(yè)隊伍?，F(xiàn)有高級工程師100多人，博士20多名，院內(nèi)僅從事信息安全標(biāo)準(zhǔn)研究、信息安全標(biāo)準(zhǔn)驗證、信息技術(shù)標(biāo)準(zhǔn)研究、計算機網(wǎng)絡(luò)、網(wǎng)絡(luò)協(xié)議測試、軟件產(chǎn)品檢測、軟件開發(fā)等工作的團隊有50余人（含博士、博士后10多名，碩士生20余人）。北京賽西科技發(fā)展有限責(zé)任公司協(xié)調(diào)并組織實施信息安全國家標(biāo)準(zhǔn)研究與制定工作，連續(xù)5年組織實施“國家信息安全戰(zhàn)略研究與標(biāo)準(zhǔn)制定工作專項”，截止目前，已經(jīng)組織研制包括《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》、《基于互聯(lián)網(wǎng)的電子政務(wù)信息安全實施指南》等信息安全國家標(biāo)準(zhǔn)180余項，組織開展信息安全標(biāo)準(zhǔn)基礎(chǔ)性研究項目100余項，為推動我國信息安全保障體系建設(shè)、促進信息安全產(chǎn)業(yè)發(fā)展發(fā)揮了重要作用。近年來，在信息安全和電子政務(wù)標(biāo)準(zhǔn)化領(lǐng)域組織編寫了《國家信息安全標(biāo)準(zhǔn)化“十一五”規(guī)劃》及其實施意見、組織開展了《信息安全標(biāo)準(zhǔn)體系研究》、《金宏工程信息安全標(biāo)準(zhǔn)》、《信息安全產(chǎn)品認(rèn)證關(guān)鍵技術(shù)研究》、《信息安全關(guān)鍵標(biāo)準(zhǔn)驗證平臺研究》等近20個國防軍工和重大項目的研究工作，具備較好的課題研究基礎(chǔ)和研究經(jīng)驗。北京賽西科技發(fā)展有限責(zé)任公司擁有完善的計算機網(wǎng)絡(luò)實驗環(huán)境、科研設(shè)備和測試實驗環(huán)境，擁有信息處理產(chǎn)品標(biāo)準(zhǔn)符合性檢測中心（首批通過CCC認(rèn)證）、軟件工程評估中心、安全與電磁兼容檢測中心等一大批國家專業(yè)實驗室，購置了進行試驗、測試、校準(zhǔn)和測量所需的儀器、設(shè)備、軟件、工具、器具等共4600多臺/套/件。先后組織制定了大量的信息技術(shù)、信息安全和信息化應(yīng)用標(biāo)準(zhǔn)，并參與國際標(biāo)準(zhǔn)化活動，是國內(nèi)信息技術(shù)和信息安全技術(shù)標(biāo)準(zhǔn)化工作的核心機構(gòu)和權(quán)威機構(gòu)。在國家信息安全標(biāo)準(zhǔn)專項、國家863高技術(shù)研究計劃、電子發(fā)展基金、國家科技攻關(guān)項目、標(biāo)準(zhǔn)公益項目等項目支持下，開展了一系列信息安全標(biāo)準(zhǔn)的驗證和研究工作，先后完成了入侵檢測、防火墻、無線局域網(wǎng)國家標(biāo)準(zhǔn)的可用性、安全性、功能符合性驗證，目前正在開展基于公鑰基礎(chǔ)設(shè)施的CA系列國家信息安全標(biāo)準(zhǔn)間的一致性和安全性驗證。掌握了大量的網(wǎng)絡(luò)和信息安全產(chǎn)品互操作性測試的技術(shù)，并積累了大量寶貴經(jīng)驗。北京賽西科技發(fā)展有限責(zé)任公司協(xié)調(diào)并組織實施信息安全國家標(biāo)準(zhǔn)研究與制定工作，連續(xù)5年組織實施“國家信息安全戰(zhàn)略研究與標(biāo)準(zhǔn)制定工作專項”，截止目前，已經(jīng)組織研制包括《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》、《基于互聯(lián)網(wǎng)的電子政務(wù)信息安全實施指南》等信息安全國家標(biāo)準(zhǔn)180余項，組織開展信息安全標(biāo)準(zhǔn)基礎(chǔ)性研究項目100余項，為推動我國信息安全保障體系建設(shè)、促進信息安全產(chǎn)業(yè)發(fā)展發(fā)揮了重要作用。實施本項目的工作基礎(chǔ)及優(yōu)勢漏洞挖掘與安全攻防技術(shù)優(yōu)勢（1）優(yōu)秀的研究團隊和能力綠盟科技擁有一支專注于漏洞挖掘和網(wǎng)絡(luò)安全攻防的技術(shù)隊伍-綠盟安全研究院，致力于跟蹤國內(nèi)外最新網(wǎng)絡(luò)安全漏洞研究動向，持續(xù)開展漏洞分析和挖掘、逆向工程技術(shù)等安全專項研究，不斷提高在入侵檢測和防御、抗分布式拒絕服務(wù)、惡意軟件和攻擊行為分析和檢測、蜜罐和蜜網(wǎng)等方面的技術(shù)水平，使得網(wǎng)絡(luò)安全產(chǎn)品研發(fā)更具有針對性、適用性。同時，在云安全和虛擬化安全、基于軟件作為服務(wù)（SaaS）模式的新型安全服務(wù)、安全度量、安全信譽、安全智能等前沿安全領(lǐng)域進行積極的研究探索。先進的漏洞挖掘和安全攻防技術(shù)基于Fuzzing的漏洞挖掘技術(shù)通過Fuzzing技術(shù)，實現(xiàn)一種具有完整、可擴展的動態(tài)隨機分析測試框架，可以構(gòu)造畸形數(shù)據(jù)，監(jiān)控測試目標(biāo)監(jiān)控，管理測試結(jié)果，并支持多目標(biāo)（如文件、網(wǎng)絡(luò)協(xié)議等等）、多種協(xié)議（如TCP、UDP等等不同類型的協(xié)議）。高效智能的Profile漏洞識別技術(shù)Profile漏洞識別技術(shù)就是采用多種技術(shù)通過不同途徑收集目標(biāo)系統(tǒng)的多種信息，這些信息就是目標(biāo)系統(tǒng)的Profile，在進行漏洞評估過程中，Profile不斷地對中間的結(jié)果數(shù)據(jù)進行調(diào)整，保障了最后評估結(jié)果的準(zhǔn)確性。綠盟漏洞掃描系統(tǒng)采用了Profile漏洞識別技術(shù)進行漏洞識別，同時輔以自動匹配、端口智能識別、模擬穿透、并發(fā)掃描等多種技術(shù)，在保證漏洞檢測準(zhǔn)確性的情況下極大提高了對目標(biāo)系統(tǒng)的檢測速度。綠盟漏洞掃描系統(tǒng)加載全部檢測規(guī)則，對同樣的目標(biāo)系統(tǒng)進行檢測時，掃描速度為常見同類產(chǎn)品3-5倍，同時仍能保證誤報率以及漏報率低于5%。全面深入的協(xié)議分析技術(shù)協(xié)議分析技術(shù)是網(wǎng)絡(luò)安全產(chǎn)品的核心技術(shù)之一，主要是通過分析網(wǎng)絡(luò)報文中包含的協(xié)議特征，發(fā)現(xiàn)其所在協(xié)議，然后遞交給相應(yīng)的協(xié)議分析引擎進行處理，能夠高速的、智能的、準(zhǔn)確的檢測出對運行在任意端口的應(yīng)用層協(xié)議的攻擊行為和標(biāo)準(zhǔn)協(xié)議運行在非標(biāo)準(zhǔn)端口行為，準(zhǔn)確發(fā)現(xiàn)綁定在任意端口的各種木馬、后門。綠盟協(xié)議分析技術(shù)能夠分析協(xié)議超過100種，其中包括其中包括FDDI，TokenRing，SLIP等多種數(shù)據(jù)鏈路層協(xié)議，IPv4和IPv6等網(wǎng)絡(luò)層協(xié)議，HTTP、FTP、SMTP等多種應(yīng)用層協(xié)議，從而極大地提高檢測的準(zhǔn)確性，降低誤報率。（3）研究成果截至2010年底，綠盟科技共發(fā)布經(jīng)CVE和SecurityFocus認(rèn)證的安全漏洞45個，協(xié)助Microsoft、SUN、CISCO、Juniper等公司，解決了40個以上的系統(tǒng)安全漏洞問題，成為國家漏洞庫的重要貢獻者，綠盟科技安全漏洞庫（NSVD）是國內(nèi)領(lǐng)先的中文漏洞庫。權(quán)威的漏洞知識庫：建立并維護著全球最大的中文漏洞庫，截至目前漏洞條數(shù)超過18000條，該漏洞庫已成為業(yè)界各權(quán)威機構(gòu)、安全公司廣泛參考的標(biāo)準(zhǔn)。漏洞庫兼容CVE國際規(guī)范，已經(jīng)獲得國際CVE兼容性認(rèn)證證書。漏洞分析自動化工具：基于Fuzzing等漏洞挖掘技術(shù)，研發(fā)了Fuzzing測試框架，網(wǎng)絡(luò)協(xié)議測試工具，海量流量測試工具。綠盟蜜網(wǎng)系統(tǒng)：基于在攻防技術(shù)及操作系統(tǒng)、漏洞挖掘方面的研究和經(jīng)驗積累，建立了綠盟蜜網(wǎng)系統(tǒng)，可以為研究機構(gòu)、第三方監(jiān)測機構(gòu)、政府、運營商、學(xué)校以及其它相關(guān)行業(yè)機構(gòu)等提供在惡意代碼分析、網(wǎng)絡(luò)流行病毒監(jiān)測、未知病毒發(fā)現(xiàn)、內(nèi)部惡意行為發(fā)現(xiàn)、安全技術(shù)研究、僵尸網(wǎng)絡(luò)發(fā)現(xiàn)與追蹤等提供解決方案，同時也可以為其它系統(tǒng)提供惡意樣本、惡意URL、規(guī)則等的數(shù)據(jù)來源。為國家相關(guān)部門提供了自由門、無界瀏覽、花園軟件、世界通的等危害國家安全的軟件監(jiān)控技術(shù)。產(chǎn)品研發(fā)基礎(chǔ)與優(yōu)勢綠盟科技具有開發(fā)網(wǎng)絡(luò)安全檢測系統(tǒng)、網(wǎng)絡(luò)/系統(tǒng)防火墻、入侵防御系統(tǒng)、漏洞掃描系統(tǒng)、安全審計系統(tǒng)、安全網(wǎng)關(guān)系統(tǒng)等安全產(chǎn)品的雄厚技術(shù)實力，包括入侵防御系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、抗拒絕服務(wù)系統(tǒng)在內(nèi)的具有國際領(lǐng)先水平的多系列安全產(chǎn)品。入侵檢測與防御產(chǎn)品綠盟入侵防御系統(tǒng)在2010年3月獲得世界權(quán)威測評機構(gòu)NSSLab的最高級認(rèn)證，是全球第4家通過該測試的產(chǎn)品，為國家在國際信息安全領(lǐng)域爭得了榮譽。綠盟入侵防御（NIPS）/入侵檢測（NIDS）產(chǎn)品，獲得由Frost&Sullivan頒發(fā)的“2011年大中華區(qū)IDS/IPS市場占有率領(lǐng)導(dǎo)者獎”。自2009年以來，綠盟科技已連續(xù)3年獲此殊榮，證明了客戶及市場對于綠盟科技在該領(lǐng)域技術(shù)實力的認(rèn)可。綠盟入侵防御系統(tǒng)獲得《計算機世界》頒發(fā)的“2011年度產(chǎn)品獎”。漏洞評估與管理產(chǎn)品2008年3月10日，綠盟漏洞掃描系統(tǒng)獲得國際權(quán)威機構(gòu)—英國西海岸實驗室（WestCoastLabs）的Checkmark權(quán)威認(rèn)證。這是除北美安全廠商以外，全球其他地區(qū)安全廠商的漏洞掃描產(chǎn)品首次通過此國際權(quán)威機構(gòu)的認(rèn)證。該認(rèn)證的通過，標(biāo)志著綠盟科技核心技術(shù)水平已經(jīng)躋身IBM、McAfee等世界頂級安全廠商之列。據(jù)《計算機安全》雜志在2011年“漏洞評估與管理產(chǎn)品”市場分析，綠盟漏洞掃描系統(tǒng)在國內(nèi)該市場領(lǐng)域占據(jù)高達36%的市場份額，遙遙領(lǐng)先其他廠商。Web安全產(chǎn)品綠盟WAF產(chǎn)品在2010年的中國市場份額36.2%。綠盟WAF獲得了國際權(quán)威咨詢機構(gòu)Frost&Sullivan授予的2011年中國區(qū)Web應(yīng)用防火墻市場領(lǐng)導(dǎo)者獎。綠盟WAF產(chǎn)品獲得《計算機世界》頒發(fā)的“2011年度產(chǎn)品獎”。截止目前，綠盟WAF產(chǎn)品已經(jīng)服務(wù)于運營商、金融、政府等各個行業(yè)的500多家客戶。安全服務(wù)基礎(chǔ)NSPS安全服務(wù)體系是綠盟科技在2000年首先提出的為客戶提供的可定制的專業(yè)安全服務(wù)。作為值得信賴的、業(yè)界領(lǐng)先的專業(yè)的安全服務(wù)提供商，我們通過專業(yè)安全服務(wù)協(xié)助用戶設(shè)計、實現(xiàn)、維持、改進有效的安全戰(zhàn)略，保持遵循性，提高其長期競爭優(yōu)勢。綠盟科技可以為用戶提供兩大類的專業(yè)服務(wù)，包括：專業(yè)安全服務(wù)（PSS:ProfessionalSecurityServices）：旨在降低用戶在關(guān)鍵業(yè)務(wù)資產(chǎn)的威脅，通過企業(yè)級安全評估、安全設(shè)計、安全部署來提高安全管理的實效?？晒芾戆踩?wù)（MSS:ManagedSecurityServices）：為用戶提供完備的實時安全管理外包解決方案，包括安全監(jiān)控、724安全保障、應(yīng)急處理等。重大安全保障服務(wù)基礎(chǔ)綠盟科技匯集國內(nèi)高端安全人員，具有豐富國家級安全服務(wù)保障經(jīng)驗，通過專業(yè)的安全服務(wù)知識，為國家的大型活動提供強有利的安全保障服務(wù)，例如春節(jié)聯(lián)歡晚會、中國-東盟博覽會、廣交會百屆盛會、十七大安全保障服務(wù)、29屆奧運安全保障服務(wù)、溫總理與網(wǎng)友在線交流安全保障、上海世博會應(yīng)急保障單位等。市場化基礎(chǔ)綠盟科技的安全產(chǎn)品和解決方案擁有良好的客戶基礎(chǔ)，尤其是在國內(nèi)的電信、金融、證券等高端行業(yè)用戶有著良好的客戶基礎(chǔ)，產(chǎn)品的品牌得到了這些行業(yè)用戶的廣泛認(rèn)可。在近年來的行業(yè)網(wǎng)絡(luò)安全建設(shè)工作中，綠盟科技安全解決方案已經(jīng)在銀行、證券、公安、保險、移動、電信、海關(guān)、財政、工商、新華社、電力、質(zhì)檢、油田、網(wǎng)站等眾多行業(yè)中得到應(yīng)用。以下是主要的應(yīng)用案例：政府、媒體：國家質(zhì)量技術(shù)監(jiān)督總局、廣州質(zhì)量技術(shù)監(jiān)督局、國家商檢局、廈門商檢局、海關(guān)總署、上海海關(guān)、民政部、北京地稅、廈門地稅、廣東省地稅、國家安全部、公安部、廣東省公安廳、浙江省公安廳、安徽省公安廳、上海市公安局、上海安全局、北京石景山區(qū)政府信息網(wǎng)、深圳羅湖區(qū)政府、中央電視臺、人民日報、新華社、中國青年報、廣東省電視臺、廣州電臺、廣州日報大洋網(wǎng)、南方日報南方網(wǎng)等。證券金融：中國證監(jiān)會、銀河證券、北京證券、宏源信托、申銀萬國、華泰證券、湘財證券、海通證券、金通證券、招商銀行、內(nèi)蒙古農(nóng)行、貴州農(nóng)行、人民銀行（全國）、人民保險公司（總部）等。電信行業(yè)：中國電信集團總公司、全國吉通網(wǎng)，北京移動、廣東移動、貴州移動、四川移動、河南移動、河北移動、重慶網(wǎng)通、武漢電信、成都電信、上海電信、山東電信、四川電信、西藏電信、廣東電信、廣州電信、廣東省電信規(guī)劃設(shè)計院、北京聯(lián)通、天津聯(lián)通、廣東聯(lián)通等。軍隊：總參、中國空軍司令部、沈陽軍區(qū)、廣州軍區(qū)等。企業(yè)：桂柳工、海信集團、用友、大慶油田、重慶長安汽車、廣東省輕工業(yè)出口集團、浙江電力、福建電力、中電財務(wù)總公司、、寶潔（P&G）、UTStarcom、吉林煙草局等。承擔(dān)的國家課題綠盟科技承擔(dān)了國家“十五”、“十一五”期間科技部、工信部、發(fā)改委、北京市等省部級多項重點信息安全科技項目。2004年電子信息產(chǎn)業(yè)發(fā)展基金招標(biāo)項目《網(wǎng)絡(luò)入侵檢測與綜合監(jiān)控管理系統(tǒng)》2004年國家“十五”科技攻關(guān)保密項目2005年電子信息產(chǎn)業(yè)發(fā)展基金招標(biāo)項目《網(wǎng)絡(luò)入侵防御系統(tǒng)與防拒絕服務(wù)產(chǎn)品》2006年科技部國家創(chuàng)新基金項目《黑洞抗拒絕服務(wù)系統(tǒng)》2007年北京市科委高成長專項《網(wǎng)絡(luò)入侵保護系統(tǒng)項目》2007年科技部國家火炬計劃項目《網(wǎng)絡(luò)入侵保護系統(tǒng)》2008年安全部115科研項目2008年科技部國家重點新產(chǎn)品項目《黑洞抗拒絕服務(wù)系統(tǒng)》2008年北京市科委高成長項目《綠盟極光遠(yuǎn)程安全評估系統(tǒng)》2009年國家發(fā)改委信息安全專項《WEB安全監(jiān)測服務(wù)平臺》2010年科技部創(chuàng)新基金重點項目《綠盟安全審計系統(tǒng)》2010年工信部電子發(fā)展基金項目《網(wǎng)絡(luò)信息安全綜合防御系統(tǒng)研發(fā)及產(chǎn)業(yè)化》2010年科技部國家重點新產(chǎn)品《綠盟配置核查系統(tǒng)》2010年海淀科委《綠盟內(nèi)網(wǎng)安全管理系統(tǒng)》2010年海淀區(qū)促進重大科技成果轉(zhuǎn)化和產(chǎn)業(yè)化發(fā)展專項《面向固件層及P2P網(wǎng)絡(luò)的安全審計系統(tǒng)產(chǎn)業(yè)化項目》2010年北京市經(jīng)信委《基于云計算的面向網(wǎng)站安全的監(jiān)測服務(wù)平臺項目》2011年北京市發(fā)改委《2011年重點產(chǎn)業(yè)振興和技術(shù)改造專項》2011年北京市科委《云計算平臺安全技術(shù)產(chǎn)品研發(fā)及產(chǎn)業(yè)化》2011年海淀區(qū)重大科技研發(fā)項目《高性能云清洗系統(tǒng)》2011年海淀區(qū)促進重大科技成果轉(zhuǎn)化和產(chǎn)業(yè)化發(fā)展專項《基于現(xiàn)代服務(wù)業(yè)共性技術(shù)的網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)產(chǎn)業(yè)化項目》2012年工信部03專項《云計算應(yīng)用模式下移動互聯(lián)網(wǎng)安全問題研究》2012年工信部03專項《移動智能終端安全評估技術(shù)研究》項目負(fù)責(zé)人和主要參與人員項目負(fù)責(zé)人于旸，綠盟科技研究院安全研究員，應(yīng)急響應(yīng)小組專家成員，為應(yīng)急響應(yīng)團隊提供技術(shù)支持和重要工具的研發(fā)工作，如可信shell、內(nèi)核檢查工具、系統(tǒng)調(diào)用異常檢測工具等。在重要客戶的應(yīng)急響應(yīng)中扮演重要的角色，這些客戶主要是銀行、證券、運營商、政府客戶等。在漏洞研究方面有很多成果，曾發(fā)現(xiàn)多個Cisco、Microsoft等安全漏洞。項目技術(shù)骨干趙糧，1997年從北京大學(xué)電子學(xué)系獲得博士學(xué)位，1994年和1991從北京大學(xué)物理學(xué)系分別獲得碩士和學(xué)士學(xué)位。高級工程師，現(xiàn)任綠盟科技首席戰(zhàn)略官。長期從事網(wǎng)絡(luò)安全和電信行業(yè)相關(guān)的研究、開發(fā)、策劃、規(guī)劃、溝通等工作。云安全聯(lián)盟CSA的主要貢獻者之一，云安全聯(lián)盟中國分會的發(fā)起者和主要創(chuàng)始人之一。在企業(yè)IT和安全架構(gòu)、戰(zhàn)略規(guī)劃等方面具有豐富的經(jīng)驗，其國際視角和溝通能力使其成為國內(nèi)安全業(yè)界在全球化方面的先驅(qū)之一。他積極參與并指導(dǎo)云計算安全、安全度量、安全智能與信譽、網(wǎng)絡(luò)空間犯罪與立法等方面的若干國際項目。2002年獲得CISSP證書，在2003年獲得了ITIL認(rèn)證證書，成為最早的將IT治理和安全管理結(jié)合方面進行探索的專家之一。先后在國內(nèi)外著名報刊、核心期刊和行業(yè)會議上發(fā)表過數(shù)十篇文章和報告，他的研究方向覆蓋了網(wǎng)絡(luò)安全、云計算和虛擬化技術(shù)、IT治理與企業(yè)IT架構(gòu)等領(lǐng)域。李鴻培博士、高級工程師，主要研究方向包括：網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、可信網(wǎng)絡(luò)、安全智能等。擁有十余年在信息安全領(lǐng)域的工作經(jīng)驗，是國內(nèi)最早從事計算機病毒、入侵檢測技術(shù)研究的人員之一。曾研究的內(nèi)容涉及：入侵檢測、防火墻、內(nèi)容過濾、安全管理、數(shù)據(jù)安全、可信網(wǎng)絡(luò)世界體系架構(gòu)等方面。到目前為止，累計完成技術(shù)報告和論文40余篇，在國內(nèi)外重要期刊上發(fā)表20余篇。主持并參與過十余項國家級項目的研發(fā)工作，涉及科技部“863”、“973”，國家發(fā)改委信息安全專項，信產(chǎn)部安全專項等國家主管部門支持的重要項目。王衛(wèi)東，主要研究方向包括：網(wǎng)絡(luò)安全、信息安全、虛擬化計劃等。擁有十七年信息安全領(lǐng)域的工作經(jīng)驗，從事流量分析產(chǎn)品需求分析與異常流量檢測算法研究、負(fù)責(zé)網(wǎng)絡(luò)攻擊誘捕系統(tǒng)產(chǎn)品需求分析、負(fù)責(zé)DNS防護系統(tǒng)產(chǎn)品的需求分析、負(fù)責(zé)統(tǒng)一安全管理平臺系統(tǒng)產(chǎn)品需求分析。具有豐富的與本項目相關(guān)的經(jīng)驗。左磊，1998年畢業(yè)于中國科學(xué)技術(shù)大學(xué)，CIW安全專家，北京神州綠盟科技有限公司研究部總監(jiān)，發(fā)現(xiàn)多個UNIX系統(tǒng)漏洞：SolarisXsun"-co"參數(shù)緩沖區(qū)溢出漏洞；SolarisXlock堆緩沖區(qū)溢出；Solarisdtmail緩沖區(qū)溢出；發(fā)布了多篇Unix安全論文；曾發(fā)現(xiàn)微軟系統(tǒng)多個安全漏洞,其中包括IIS的Unicode漏洞，被評為2000年十大安全漏洞之一。帶領(lǐng)綠盟科技的專業(yè)安全研究部門，發(fā)現(xiàn)多個Windows與Unix系統(tǒng)的嚴(yán)重安全問題。同時為客戶提供一些高端的安全評估服務(wù)。負(fù)責(zé)綠盟“冰之眼”網(wǎng)絡(luò)入侵防御系統(tǒng)的漏洞庫和規(guī)則庫的研究和建立工作。技術(shù)特長熟悉I386以及SPARC架構(gòu)下的匯編語言，熟悉緩沖區(qū)溢出攻擊技術(shù)。擅長數(shù)據(jù)鏈路層的網(wǎng)絡(luò)編程，對于網(wǎng)絡(luò)監(jiān)聽、交換環(huán)境下ARP欺騙、偽裝TCP連接有深入研究。擅長網(wǎng)絡(luò)協(xié)議分析，對DoS、DDoS攻擊及其相關(guān)編程有過深入研究。對Linux、FreeBSD、Solaris內(nèi)核及其模塊安全有深入了解。葉曉虎，清華大學(xué)博士，獨立研發(fā)WinNT，Win2k下個人、企業(yè)級防火墻原型；參與研發(fā)入侵防御系統(tǒng)；參與研發(fā)抗拒絕服務(wù)產(chǎn)品黑洞。作為項目組主要成員之一，主要負(fù)責(zé)系統(tǒng)與各廠商產(chǎn)品的聯(lián)動接口問題。楊晨，男，博士，高級工程師，2003年畢業(yè)于西北工業(yè)大學(xué)，獲應(yīng)用數(shù)學(xué)學(xué)士學(xué)位，后在西安電子科技大學(xué)王新梅教授指導(dǎo)下從事保密通信、密碼學(xué)與網(wǎng)絡(luò)信息安全方向的研究，2007年12獲工學(xué)博士學(xué)位，從事信息安全標(biāo)準(zhǔn)化工作，ISO/IECJTC1SGDCMP(ISO/IECJTC1數(shù)字內(nèi)容管理與保護研究組)中國專家。在國內(nèi)外學(xué)術(shù)期刊和國際會議上以第一作者發(fā)表相關(guān)研究論文20余篇，被SCI、EI、ISTP檢索10余篇，提交國家專利申請一項，并作為主筆人參與了國防軍工信息安全標(biāo)準(zhǔn)化十二五規(guī)劃建議、國家認(rèn)監(jiān)委十二五科技規(guī)劃等多項戰(zhàn)略研究報告的研制工作，擁有深厚的信息安全專業(yè)知識和較強的科研能力，具備較好的課題研究基礎(chǔ)和研究經(jīng)驗。近幾年負(fù)責(zé)或作為研究骨干參與了“十一五”國家密碼發(fā)展基金《域上基于多變量多項式的公鑰密碼算法的研究》、華為基金項目《叛逆者追蹤技術(shù)研究》、國家信息安全標(biāo)準(zhǔn)專項《移動代理安全標(biāo)準(zhǔn)研究》、《信息安全測試技術(shù)指南研究》與《信息安全關(guān)鍵標(biāo)準(zhǔn)驗證平臺研究》、國家科技支撐計劃《信息安全產(chǎn)品認(rèn)證關(guān)鍵技術(shù)研究》、“新一代寬帶無線移動通信網(wǎng)”重大專項-《移動支付信息安全保障關(guān)鍵技術(shù)研究》、國家發(fā)改委2009年信息安全專項-《電子政務(wù)信息安全標(biāo)準(zhǔn)體系建立及關(guān)鍵標(biāo)準(zhǔn)研究驗證》、“863”重大項目《密碼算法和安全協(xié)議檢測分析技術(shù)與測評系統(tǒng)》、國家自然基金資助項目《群簽名方案研究》、《現(xiàn)代分組密碼標(biāo)準(zhǔn)分析與設(shè)計研究》和《可證明安全的公鑰密碼方案設(shè)計與分析》、教育部新世紀(jì)優(yōu)秀人才支持計劃等項目的組織和研究工作，參與了信息安全(SC27)等國際標(biāo)準(zhǔn)化活動。楊建軍，男，工學(xué)博士，高級工程師，負(fù)責(zé)信息安全技術(shù)相關(guān)標(biāo)準(zhǔn)的制定與管理工作，并任全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會副秘書長、全國電子商務(wù)標(biāo)準(zhǔn)化總體組成員、全國安全防范標(biāo)準(zhǔn)化技術(shù)委員會生物特征識別應(yīng)用標(biāo)準(zhǔn)分技術(shù)委員會、工業(yè)和信息化部企業(yè)信息化工作組聯(lián)絡(luò)員等。主辦或參與信息安全技術(shù)、信息技術(shù)設(shè)備、軟件工程、基礎(chǔ)軟件產(chǎn)品等多項標(biāo)準(zhǔn)的研制。負(fù)責(zé)或參與數(shù)據(jù)標(biāo)準(zhǔn)化、數(shù)據(jù)鏈等多項國家軍用標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的研究，主持完成多項基礎(chǔ)軟件相關(guān)的863、國家支撐計劃項目等。負(fù)責(zé)國家十五科技攻關(guān)項目“國產(chǎn)基礎(chǔ)軟件平臺技術(shù)規(guī)范及測試環(huán)境研究”的技術(shù)研究，參與“基于國產(chǎn)基礎(chǔ)軟件的政務(wù)信息化領(lǐng)域平臺研發(fā)及應(yīng)用規(guī)范”項目的技術(shù)工作。負(fù)責(zé)國家支撐計劃“現(xiàn)代服務(wù)業(yè)基礎(chǔ)標(biāo)準(zhǔn)規(guī)范”項目的研究。技術(shù)總體方案工業(yè)控制系統(tǒng)漏洞挖掘及安全防護方案隨著工控系統(tǒng)越來越復(fù)雜，連接到越來越多的商業(yè)和外部網(wǎng)絡(luò)，安全問題也隨之增加。工控系統(tǒng)中眾多的安全隱患會增加攻擊的可能，這些攻擊是可以異步執(zhí)行的，而且可以長期以工控系統(tǒng)中的多種漏洞為目標(biāo)。單一的對策無法解決所有的安全問題。為了有效地保護工控系統(tǒng)不受到網(wǎng)絡(luò)攻擊的威脅，需要采取多種應(yīng)對措施。以多層防御來應(yīng)對各種安全問題的方法通常被稱作縱深防御，如下圖所示。圖4-1針對漏洞的多層防御為了保障電力系統(tǒng)安全、穩(wěn)定、經(jīng)濟地運行，需構(gòu)筑縱深防御體系，包括邊界防御、網(wǎng)絡(luò)防御、主機防御、應(yīng)用程序防御、數(shù)據(jù)資源防御等。（1）邊界防御

邊界防御是利用防火墻、入侵檢測等安全設(shè)備來保護進入電力網(wǎng)絡(luò)的入口點。應(yīng)該把防火墻作為電力網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，制定特定的安全策略以控制出入網(wǎng)絡(luò)的信息流。另外，入侵檢測系統(tǒng)能發(fā)現(xiàn)從內(nèi)部發(fā)起的攻擊，并向管理員發(fā)警報。入侵檢測系統(tǒng)通常由控制臺(console)和代理(agent)兩部分組成，通過代理對網(wǎng)絡(luò)進行自動、實時地攻擊檢測和響應(yīng)。一旦發(fā)現(xiàn)入侵行為，立刻切斷相關(guān)進程，或者發(fā)出指令，通知防火墻切斷相應(yīng)服務(wù)，同時通過控制臺進行報警。部署網(wǎng)絡(luò)入侵檢測系統(tǒng)時，在網(wǎng)絡(luò)中安裝一套控制臺程序，用于對各代理安裝點進行管理和監(jiān)控。在各個業(yè)務(wù)子系統(tǒng)的關(guān)鍵網(wǎng)段、Internet的接入點分別配置網(wǎng)絡(luò)代理，在網(wǎng)絡(luò)一級對來自內(nèi)部和外部網(wǎng)的攻擊和濫用進行監(jiān)控。

（2）網(wǎng)絡(luò)防御

網(wǎng)絡(luò)防御包括網(wǎng)絡(luò)分段、建立VPN、漏洞掃描等。網(wǎng)絡(luò)分段是網(wǎng)絡(luò)安全的基礎(chǔ)措施，通過合理地劃分網(wǎng)段，將大幅度降低安全系統(tǒng)部署費用和管理費用。目前許多專業(yè)應(yīng)用系統(tǒng)將自己的應(yīng)用子網(wǎng)構(gòu)建在電力信息網(wǎng)之上，目的就是借助信息網(wǎng)來形成應(yīng)用系統(tǒng)專網(wǎng)，滿足專業(yè)應(yīng)用系統(tǒng)傳輸過程中的私密性和完整性。虛擬專用網(wǎng)的優(yōu)點主要有兩點，一是安全性好。采用信息通道模式，可以在異地局域網(wǎng)之間建立安全加密通道；隱藏內(nèi)部網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息。二是投入少。只需要局域網(wǎng)與廣域網(wǎng)接口處加裝VPN模塊，在遠(yuǎn)程移動用戶上安裝客戶端軟件，就可以實現(xiàn)LAN-to-LAN、Site-to-SiteVPN遠(yuǎn)程訪問。在網(wǎng)絡(luò)分段的基礎(chǔ)上，實施全方位的網(wǎng)絡(luò)掃描，包括對Internet站點（內(nèi)網(wǎng)和外網(wǎng)）、防火墻和TCP服務(wù)進行漏洞掃描。

網(wǎng)絡(luò)掃描器安裝在每個物理子網(wǎng)的一個單機上。網(wǎng)絡(luò)掃描器提供全方位的網(wǎng)絡(luò)和系統(tǒng)運行信息，從網(wǎng)絡(luò)層保證業(yè)務(wù)系統(tǒng)的安全性。通過配置時間策略，網(wǎng)絡(luò)掃描器可以定期進行掃描，每次掃描的結(jié)果可生成詳細(xì)報告，以了解網(wǎng)絡(luò)的安全狀況。（3）主機防御

主機防御包括病毒防治系統(tǒng)的部署，主機入侵檢測系統(tǒng)的部署，進行系統(tǒng)漏洞掃描以及安全配置、安全補丁、安全主機加固等。根據(jù)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和具體要求，病毒防治系統(tǒng)主要有以下幾種管理模式：

局域網(wǎng)防病毒的管理方式：制定和采用統(tǒng)一的防病毒策略，這樣既可以減輕管理員的工作負(fù)擔(dān)，又可以確保在整個廣域網(wǎng)中每一臺計算機包括服務(wù)器和客戶端具有相同的最強的防病毒能力。廣域網(wǎng)防病毒的管理方式：根據(jù)不同的網(wǎng)絡(luò)狀況和具體需求可以采取三種管理方式：集中管理模式、分布式管理模式、分布式集中管理相結(jié)合的管理模式。主機入侵檢測系統(tǒng)通常也由控制臺(console)和代理(agent)兩部分組成。通過主機代理對主機進行自動、實時地攻擊檢測和響應(yīng)。

部署主機入侵檢測系統(tǒng)時，在網(wǎng)絡(luò)中安裝一套控制臺程序，用于對各代理安裝點進行管理和監(jiān)控。在各個關(guān)鍵業(yè)務(wù)服務(wù)器內(nèi)配置系統(tǒng)代理，在主機一級對業(yè)務(wù)系統(tǒng)進行監(jiān)控，對異常的用戶行為進行報警等處理，最大限度防止蠻力攻擊、濫用及惡意篡改等安全事件的發(fā)生。

由于現(xiàn)代操作系統(tǒng)代碼龐大，從而不同程度上都存在一些安全漏洞。因此系統(tǒng)管理員必須不斷跟蹤有關(guān)操作系統(tǒng)漏洞的發(fā)布，及時下載補丁來進行防范，同時要經(jīng)常對關(guān)鍵數(shù)據(jù)和文件進行備份和妥善保存。除此之外，系統(tǒng)管理員還需要一些功能全面、智能化的檢測，以協(xié)助管理員高效地完成定期檢測和修復(fù)漏洞的工作。

系統(tǒng)漏洞掃描是基于主機的一種安全漏洞系統(tǒng)。系統(tǒng)掃描器通過對系統(tǒng)弱點的全面分析，協(xié)助電力企業(yè)進行安全風(fēng)險管理。

（4）應(yīng)用防御

應(yīng)用防御主要包括對數(shù)據(jù)庫、Web服務(wù)器、中間件和群件系統(tǒng)以及SCADA、DMIS等電力業(yè)務(wù)系統(tǒng)進行安全掃描和安全加固，尤其是對數(shù)據(jù)庫系統(tǒng)進行掃描和管理，包括安全策略的制定。除此之外，應(yīng)用防御還應(yīng)包括建立一套完整的應(yīng)用開發(fā)安全規(guī)范，保證新開發(fā)的應(yīng)用系統(tǒng)都遵循統(tǒng)一的安全框架。相關(guān)核心技術(shù)工業(yè)控制系統(tǒng)漏洞挖掘技術(shù)工業(yè)控制系統(tǒng)漏洞的存在不可避免，一旦某些較嚴(yán)重的漏洞被攻擊者發(fā)現(xiàn)，就有可能被其利用，在未授權(quán)的情況下訪問或破壞控制系統(tǒng)。先于攻擊者發(fā)現(xiàn)并及時修補漏洞可有效減少來自網(wǎng)絡(luò)的威脅。因此主動發(fā)掘并分析系統(tǒng)安全漏洞，對保護ICS安全具有重要的意義。漏洞挖掘技術(shù)是指對未知漏洞的探索，綜合應(yīng)用各種技術(shù)和工具，盡可能地找出軟件中的潛在漏洞。ICS的漏洞挖掘技術(shù)可以借鑒IT中的挖掘技術(shù)，針對ICS中的軟件漏洞可以采取基于源代碼漏洞挖掘和基于目標(biāo)代碼漏洞挖掘，為了提高挖掘漏洞的命中率和質(zhì)量，也可以同時利用這兩種挖掘技術(shù)。也可以借鑒IT中漏洞挖掘分析技術(shù)，如FUZZ技術(shù)、補丁比對技術(shù)、人工分析技術(shù)、靜態(tài)分析技術(shù)和動態(tài)分析技術(shù)等。雖然ICS漏洞與IT漏洞有諸多相似之處，采用的漏洞挖掘技術(shù)也有很多共同點，但是ICS系統(tǒng)有其特殊性和特點，研究ICS攻擊特點，特別是對世界各地已發(fā)生的ICS受攻擊的案例的研究，具有非常重要的參考價值和指導(dǎo)意義。工業(yè)控制系統(tǒng)入侵檢測技術(shù)入侵檢測技術(shù)是保障工業(yè)網(wǎng)絡(luò)安全體系的一種重要的防護手段，入侵檢測技術(shù)能夠幫助工業(yè)以太網(wǎng)絡(luò)系統(tǒng)來對付來自網(wǎng)絡(luò)上的各種不合法的訪問，甚至是惡意攻擊，從而也就對系統(tǒng)管理員的安全管理能力進行了有效的擴展，這包括對安全因素的審計和監(jiān)視，還有對進攻的識別和反應(yīng)等，大大的穩(wěn)固了工業(yè)以太網(wǎng)絡(luò)信息的安全基礎(chǔ)結(jié)構(gòu)，提高了整體的完整性。工業(yè)控制系統(tǒng)入侵檢測技術(shù)是從工業(yè)以太網(wǎng)絡(luò)系統(tǒng)中的一些關(guān)鍵點處進行信息的收集工作的，接下來是對這些網(wǎng)絡(luò)信息的分析，檢查信息傳輸網(wǎng)絡(luò)中是否存在著違背安全管理策略的非法行為，尋覓將來可能遭到襲擊的某些顯著跡象。能夠在完全不影響網(wǎng)絡(luò)性能的同時，另外對信息傳輸網(wǎng)絡(luò)進行實時監(jiān)測，從而能夠提供針對來自信息傳輸網(wǎng)絡(luò)的內(nèi)部攻擊，以及誤操作等多種因素造成的侵入實施實時的保護。項目實施方案項目技術(shù)實現(xiàn)面向工業(yè)控制系統(tǒng)的漏洞挖掘工具面向工業(yè)控制系統(tǒng)的漏洞挖掘工具將圍繞工業(yè)控制系統(tǒng)的安全需求，發(fā)現(xiàn)工業(yè)控制系統(tǒng)中操作系統(tǒng)漏洞、協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞，并分析該漏洞如何被利用以及可能會造成的后果，從而促進漏洞挖掘技術(shù)向自動化和規(guī)?；嵘┒赐诰蚍?wù)的技術(shù)水平和能力。面向工業(yè)控制系統(tǒng)的漏洞挖掘常用的方法有：手工測試技術(shù)、靜態(tài)分析技術(shù)、運行時分析技術(shù)、二進制比較技術(shù)、Fuzzing技術(shù)。目前，綠盟科技已經(jīng)基于Fuzzing技術(shù)等漏洞挖掘技術(shù)，研發(fā)了漏洞分析自動化工具，包括Fuzzing測試框架、網(wǎng)絡(luò)協(xié)議測試工具、海量流量測試工具。Fuzzing是一種自動化的漏洞挖掘技術(shù)，它利用黑盒測試的思想，使用大量半有效的數(shù)據(jù)作為應(yīng)用程序的輸入，以程序是否出現(xiàn)異常為標(biāo)志，來發(fā)現(xiàn)應(yīng)用程序中可能存在的安全漏洞。所謂半有效的數(shù)據(jù)是指對應(yīng)用程序來說，文件的必要標(biāo)識部分和大部分?jǐn)?shù)據(jù)是有效的，這樣應(yīng)用程序就會認(rèn)為這是一個有效的數(shù)據(jù)，但同時該數(shù)據(jù)的其他部分是無效的，這樣應(yīng)用程序在處理該數(shù)據(jù)時就有可能發(fā)生錯誤，這種錯誤能夠?qū)е聭?yīng)用程序的崩潰或者觸發(fā)相應(yīng)的安全漏洞。Fuzzing技術(shù)是利用Fuzzer工具通過完全隨機的或精心構(gòu)造一定的輸入來實現(xiàn)的。Fuzzing技術(shù)根據(jù)應(yīng)用對象主要可分為兩類，一類是文件格式的Fuzzing，主要針對圖像格式、文檔格式等，另一類是協(xié)議的Fuzzing，主要針對RPC協(xié)議和HTTP協(xié)議等。Fuzzing測試通常以大小相關(guān)的部分、字符串、標(biāo)志字符串開始或結(jié)束的二進制塊等為重點，使用邊界值附近的值對目標(biāo)進行測試。Fuzzing技術(shù)可以用于檢測多種安全漏洞，包括：緩沖區(qū)溢出漏洞、整型溢出漏洞、格式化串漏洞、競爭條件漏洞、SQL注入、跨站點腳本、遠(yuǎn)程命令執(zhí)行、文件系統(tǒng)攻擊、信息泄露等。目前公布的安全漏洞中有許多都是使用Fuzzing技術(shù)檢測發(fā)現(xiàn)的，并且有許多Fuzzing工具可以用于測試應(yīng)用程序的安全性。與其它技術(shù)相比，F(xiàn)uzzing技術(shù)具有思想簡單，容易理解、從發(fā)現(xiàn)漏洞到漏洞重現(xiàn)容易、不存在誤報的優(yōu)點。Fuzzing測試框架包括通用的測試模塊，如結(jié)構(gòu)定義模塊、測試數(shù)據(jù)生成模塊、動態(tài)調(diào)試模塊、執(zhí)行監(jiān)控模塊、自動化腳本模塊、異常過濾模塊、測試結(jié)果管理模塊、可擴展插件模塊。圖4-2Fuzzing測試框架Fuzzing測試框架實現(xiàn)一種具有完整、可擴展的動態(tài)隨機分析測試框架，集畸形數(shù)據(jù)構(gòu)造、測試目標(biāo)監(jiān)控、測試結(jié)果管理為一體的全面自動化測試工具，并支持多目標(biāo)（如文件、網(wǎng)絡(luò)協(xié)議等等）、多種協(xié)議（如TCP、UDP等等不同類型的協(xié)議）、多平臺（如Windows,Linux等等）、多線程（加速測試進度）。面向工業(yè)控制系統(tǒng)的漏洞掃描工具面向工業(yè)控制系統(tǒng)的漏洞掃描工具將增加工控系統(tǒng)專用通信協(xié)議（例如Modbus，ICCP，E/IP，DNP3等）的漏洞知識，融合網(wǎng)絡(luò)分析、漏洞管理、操作系統(tǒng)指紋識別等關(guān)鍵技術(shù)，為工業(yè)控制系統(tǒng)提供完善的全方位的漏洞分析檢測。（1）漏洞管理漏洞管理系統(tǒng)是風(fēng)險管理中不可缺少的一部分，是增強系統(tǒng)安全性的重要措施之一。脆弱性檢測系統(tǒng)能夠有效地預(yù)先評估和分析系統(tǒng)中的安全問題，是實現(xiàn)漏洞管理的重要的工具。漏洞管理的循環(huán)過程劃分為漏洞預(yù)警、漏洞檢測、風(fēng)險分析、漏洞修復(fù)和漏洞審計五個階段，在國內(nèi)，脆弱性檢測系統(tǒng)最早在產(chǎn)品中實現(xiàn)了其中的一些過程，同時對自身未實現(xiàn)的過程也開放了多種二次開發(fā)接口，可以通過與第三方產(chǎn)品的協(xié)作來真正實現(xiàn)了開放漏洞管理過程。圖4-3開放漏洞管理OpenVM過程圖漏洞預(yù)警綠盟科技有一支專業(yè)的安全研究團隊——NSFOCUS安全小組，從公司成立之初到現(xiàn)在，一直從事信息安全服務(wù)和信息安全技術(shù)的研究，在信息安全領(lǐng)域有著豐富的理論和實踐經(jīng)驗。NSFOCUS安全小組致力于安全前沿技術(shù)的研究，其中包含了對系統(tǒng)漏洞發(fā)現(xiàn)、驗證和提供應(yīng)急響應(yīng)服務(wù)的能力，目前在國際上已經(jīng)有相當(dāng)?shù)闹取SFOCUS安全小組能夠?qū)χ匾┒催M行及時預(yù)警，重大漏洞的升級在全球首次發(fā)現(xiàn)后兩天內(nèi)完成。漏洞檢測依靠底層掃描引擎——NSSE（NSFOCUSScanningEngine），通過NSIP（NSFOCUSIntelligentProfile）技術(shù)、開放端口服務(wù)的智能識別、檢測規(guī)則依賴關(guān)系的自動掃描等技術(shù)的運用，再加上由NSFOCUS安全小組精心編寫的IPv4/IPv6漏洞檢測規(guī)則，來實現(xiàn)脆弱性檢測系統(tǒng)的準(zhǔn)確性和高效性。風(fēng)險分析采用“風(fēng)險管理”模塊對網(wǎng)絡(luò)風(fēng)險進行全方位管理和分析，管理員通過此模塊可以對所有信息資產(chǎn)設(shè)備進行資產(chǎn)風(fēng)險管理。對于大規(guī)模網(wǎng)絡(luò)用戶，網(wǎng)絡(luò)資產(chǎn)繁多，IP地址記憶非常繁瑣，尤其在IPv6網(wǎng)絡(luò)下，IP地址的記憶基本不可能。通過資產(chǎn)管理與用戶組織結(jié)構(gòu)或網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的緊密結(jié)合，以規(guī)范的命名方式統(tǒng)一對網(wǎng)絡(luò)資產(chǎn)進行管理。使用風(fēng)險分析模塊，可以方便用戶掌握風(fēng)險分布情況、定位風(fēng)險和高效實施風(fēng)險降低或規(guī)避措施。漏洞修復(fù)設(shè)計提供多種二次開發(fā)接口，供漏洞修復(fù)產(chǎn)品或補丁管理產(chǎn)品使用，方便管理員及時集中對資產(chǎn)漏洞進行修復(fù)。比如與微軟WSUS服務(wù)器的聯(lián)動功能。漏洞審計管理員在實際的漏洞修復(fù)過程中往往很難確認(rèn)自己的漏洞是否真正修復(fù)，即使安裝了評估結(jié)果中的廠商補丁也很難確認(rèn)補丁程序是否真正安裝成功。針對這種情況，脆弱性檢測系統(tǒng)提供漏洞審計功能，能夠通過發(fā)送監(jiān)督郵件的方式來督促相應(yīng)的資產(chǎn)管理員對漏洞進行修復(fù)，同時設(shè)計自動的定時任務(wù)對漏洞進行審計，提高了管理人員手工驗證漏洞是否修復(fù)的效率。（2）漏洞評估可把一次具體的漏洞掃描過程在漏洞掃描系統(tǒng)中稱為評估任務(wù)，系統(tǒng)的各個功能都以評估任務(wù)為中心。任務(wù)的操作主要有：任務(wù)的下達和調(diào)度任務(wù)執(zhí)行參數(shù)的管理已有任務(wù)的管理任務(wù)結(jié)果數(shù)據(jù)的管理下達一個評估任務(wù)需要指定掃描的目標(biāo)范圍以及本次掃描使用的各種參數(shù)。評估任務(wù)調(diào)度的體系結(jié)構(gòu)如圖3-24所示。圖4-4評估任務(wù)運行時的體系結(jié)構(gòu)通常情況下，掃描調(diào)度在評估任務(wù)下達后開始運行，運行的調(diào)度如下：對給定的目標(biāo)范圍進行存活判斷，生成存活主機列表。對存活主機列表中的主機并發(fā)開啟主機掃描模塊。主機掃描模塊對目標(biāo)IP進行端口掃描和服務(wù)判定。主機掃描模塊根據(jù)用戶指定的模板并發(fā)調(diào)度掃描插件。掃描插件依據(jù)自己的規(guī)則判定目標(biāo)是否存在對應(yīng)的漏洞，并把獲取到的漏洞信息和Profile信息寫入掃描結(jié)果數(shù)據(jù)庫。插件有依賴關(guān)系，只有滿足必要條件時插件才會被真正調(diào)度。例如：模板中指定了掃描IIS漏洞的插件，但目標(biāo)主機上沒有運行IIS時這些插件都不會被調(diào)度。到達設(shè)定的超時時間后還沒有結(jié)束的插件會被系統(tǒng)強制終止。到達設(shè)定的Socket超時時間后還沒有反饋的操作會被系統(tǒng)強制返回。進度信息中，任務(wù)調(diào)度模塊依據(jù)已完成插件或主機所用的平均時間來估算剩余時間。任務(wù)結(jié)束后，智能分析模塊被調(diào)度，分析模塊對收集到的Profile信息進行分析，以此對漏洞信息進行驗證，自動消除誤報和識別漏報。（3）安全等級評定漏洞掃描系統(tǒng)根據(jù)被掃描目標(biāo)的漏洞信息并結(jié)合地址簿中資產(chǎn)重要性權(quán)值，判定網(wǎng)絡(luò)和主機的安全等級，同時還允許用戶定制主機、網(wǎng)絡(luò)風(fēng)險等級計算標(biāo)準(zhǔn)。等級的評定建立在威脅積分的基礎(chǔ)上，如下表所示。表4-1單一漏洞威脅評估標(biāo)準(zhǔn)分值評估標(biāo)準(zhǔn)1可遠(yuǎn)程獲取操作系統(tǒng)、應(yīng)用版本信息。2開放了不必要或危險的服務(wù)，可遠(yuǎn)程獲取系統(tǒng)敏感信息。3可遠(yuǎn)程進行受限的文件、數(shù)據(jù)讀取。4可遠(yuǎn)程進行重要或不受限文件、數(shù)據(jù)讀取。5可遠(yuǎn)程進行受限文件、數(shù)據(jù)修改。6可遠(yuǎn)程進行受限重要文件、數(shù)據(jù)修改。7可遠(yuǎn)程進行不受限的重要文件、數(shù)據(jù)修改，或?qū)ζ胀ǚ?wù)進行拒絕服務(wù)攻擊。8可遠(yuǎn)程以普通用戶身份執(zhí)行命令或進行系統(tǒng)、網(wǎng)絡(luò)級的拒絕服務(wù)攻擊。9可遠(yuǎn)程以管理用戶身份執(zhí)行命令（受限、不太容易利用）。10可遠(yuǎn)程以管理用戶身份執(zhí)行命令（不受限、容易利用）。圖4-2單一漏洞威脅等級評估標(biāo)準(zhǔn)威脅程度危險值范圍威脅程度說明高8~10攻擊者可以遠(yuǎn)程執(zhí)行任意命令或者代碼，或進行遠(yuǎn)程拒絕服務(wù)攻擊。中5~7攻擊者可以遠(yuǎn)程創(chuàng)建、修改、刪除文件或數(shù)據(jù)，或?qū)ζ胀ǚ?wù)進行拒絕服務(wù)攻擊。低1~4攻擊者可以獲取某些系統(tǒng)、服務(wù)的信息，或讀取系統(tǒng)文件和數(shù)據(jù)。表4-3主機安全等級的計算標(biāo)準(zhǔn)風(fēng)險等級主機風(fēng)險值范圍非常危險7~10比較危險5~7比較安全2~5非常安全0~2表4-4網(wǎng)絡(luò)安全等級的計算標(biāo)準(zhǔn)風(fēng)險等級主機風(fēng)險值范圍非常危險8~10比較危險5~8比較安全1~5非常安全0~11）主機風(fēng)險等級評定標(biāo)準(zhǔn)將主機的漏洞按照風(fēng)險值的高低排序，依據(jù)漏洞的風(fēng)險值將漏洞威脅劃分為高、中、低三個類別，并按照綠盟科技風(fēng)險評估模型計算得到風(fēng)險值，如表4-5所示。表4-5主機風(fēng)險等級評定標(biāo)準(zhǔn)風(fēng)險等級主機風(fēng)險值范圍非常危險7~10比較危險5~7比較安全2~5非常安全0~2有關(guān)高、中和低漏洞威脅的定義標(biāo)準(zhǔn)，請參見表4-2。2）網(wǎng)絡(luò)風(fēng)險等級評定標(biāo)準(zhǔn)網(wǎng)絡(luò)風(fēng)險等級是網(wǎng)絡(luò)中所有主機威脅分值的加權(quán)平均和，它的評定標(biāo)準(zhǔn)如表4-6所示。表4-6網(wǎng)絡(luò)風(fēng)險等級評定標(biāo)準(zhǔn)風(fēng)險等級主機風(fēng)險值范圍非常危險8~10比較危險5~8比較安全1~5非常安全0~1將網(wǎng)絡(luò)中所有主機按照風(fēng)險值的高低排序，依據(jù)主機的風(fēng)險值將主機風(fēng)險劃分為高、中、低三個類別，并按照綠盟科技風(fēng)險評估模型計算得到風(fēng)險值。其中，非常危險的主機定義為高風(fēng)險；比較危險的主機定義為中風(fēng)險；比較安全和非常安全的主機定義為低風(fēng)險。面向工業(yè)控制系統(tǒng)的入侵檢測工具入侵檢測工具通常采用基于特征識別機制，可以在很多網(wǎng)絡(luò)和使用現(xiàn)代協(xié)議和操作平臺的主機上工作的。為了檢測工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊和惡意通信，需要在入侵檢測工具中增加工控系統(tǒng)專用通信協(xié)議的攻擊特征庫，例如Modbus，ICCP，E/IP，DNP3，從而能夠針對工業(yè)控制系統(tǒng)的技術(shù)或協(xié)議的網(wǎng)絡(luò)攻擊進行監(jiān)控。入侵檢測工具特征識別可以針對特定的控制系統(tǒng)，建立這些特征識別的方法。（1）數(shù)據(jù)解碼與分析技術(shù)數(shù)據(jù)解碼與分析是入侵檢測工具的核心模塊，直接影響到網(wǎng)絡(luò)數(shù)據(jù)檢測的效率。該模塊針對不同數(shù)據(jù)包的處理和檢測提出了相應(yīng)的處理技術(shù)和檢測算法。TCP/IP數(shù)據(jù)重組在網(wǎng)絡(luò)數(shù)據(jù)包到達應(yīng)用層進行分析之前，需要對數(shù)據(jù)包做相應(yīng)的處理，其中IP數(shù)據(jù)包碎片重組問題事情一個棘手的問題。當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包比較大，而傳輸設(shè)備中的網(wǎng)卡無法一次性接受整個數(shù)據(jù)包時，就需要把網(wǎng)絡(luò)數(shù)據(jù)包分割成多個小的網(wǎng)絡(luò)數(shù)據(jù)包進行傳輸，在各個小的網(wǎng)絡(luò)包到達目標(biāo)設(shè)備后再將各個小的網(wǎng)絡(luò)數(shù)據(jù)包重組還原。對于到達TCP層的數(shù)據(jù)流為了還原應(yīng)用層會話，同樣需要對數(shù)據(jù)流重組。網(wǎng)絡(luò)數(shù)據(jù)包被分成不同的碎片在網(wǎng)絡(luò)中傳輸，由于到達時間不同，就有可能導(dǎo)致到達目標(biāo)設(shè)備的順序與原有順序不一致。而在數(shù)據(jù)重組過程中，不同的操作系統(tǒng)采用了不同的數(shù)據(jù)包重組技術(shù)。例如：windows操作系統(tǒng)使用前向重疊的方法，即將先到達的數(shù)據(jù)包當(dāng)做正常的數(shù)據(jù)包，后到數(shù)據(jù)包的重疊部分去掉，并重組出新的數(shù)據(jù)包或會話。而對于Solaris系統(tǒng)則采用了后向重疊的方法，即將后到達數(shù)據(jù)包的重疊部分覆蓋掉先到數(shù)據(jù)包的重疊部分。為了適應(yīng)不同的環(huán)境，入侵檢測工具同時支持前向重疊和后向重疊兩種方法，可以根據(jù)不同的需要使用不同的方法。協(xié)議識別與解碼對于網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)流量，在進行入侵檢測之前首先要識別出協(xié)議類型。網(wǎng)絡(luò)數(shù)據(jù)包的傳輸遵循TCP/IP協(xié)議族規(guī)范，因此，可以基于RFC標(biāo)準(zhǔn)進行深度解碼。根據(jù)RFC文檔為每一個協(xié)議建立協(xié)議狀態(tài)機進行解碼分析，檢測網(wǎng)絡(luò)流量中所用協(xié)議的合法性，并解析協(xié)議中各個字段，對于不合法的數(shù)據(jù)流量做異常處理。對于入侵檢測工具來說，需要檢測大量應(yīng)用層數(shù)據(jù)，所以對應(yīng)用層的解碼就顯得至關(guān)重要。應(yīng)用層協(xié)議