工控安全管理体系，工业控制系统安全体系架构与管理平台.docx

1、 工业控制系统安全体系架构与管理平台 工业掌握系统(tems,ICS)，是由各种自动化掌握组件和实时数据采集、监测的过程掌握组件共同构成。其组件包括数据采集与监控系统()、分布式掌握系统(DCS)、可编程规律掌握器(PLC)、远程终端(RTU)、智能电子设备(IED)，以及确保各组件通信的接口技术。 典型的ICS掌握过程通常由掌握回路、HMI、远程诊断与维护工具三部分组件共同完成，掌握回路用以掌握规律运算，HMI执行信息交互，远程诊断与维护工具确保ICS能够稳定持续运行。 1.1工业掌握系统潜在的风险 1.操作系统的安全漏洞问题 由于考虑到工控

2、软件与操作系统补丁兼容性的问题，系统开车后一般不会对平台打补丁，导致系统带着风险运行。 2.杀毒软件安装及升级更新问题 用于生产掌握系统的操作系统基于工控软件与杀毒软件的兼容性的考虑，通常担心装杀毒软件，给病毒与恶意代码传染与集中留下了空间。 3.使用U盘、光盘导致的病毒传播问题。 由于在工控系统中的管理终端一般没有技术措施对U盘和光盘使用进行有效的管理，导致外设的无序使用而引发的安全大事时有发生。 4.设备修理时笔记本电脑的任凭接入问题 工业掌握系统的管理维护，没有到达肯定安全基线的笔记本电脑接入工业掌握系统，会对工业掌握系统的安全造成很大的威逼。 5.存在工业掌

3、握系统被有意或无意掌握的风险问题 假如对工业掌握系统的操作行为没有监控和响应措施，工业掌握系统中的特别行为或人为行为会给工业掌握系统带来很大的风险。 6.工业掌握系统掌握终端、服务器、网络设备故障没有准时发觉而响应延迟的问题 对工业掌握系统中IT基础设施的运行状态进行监控，是工业工控系统稳定运行的基础。 1.2“两化融合”给工控系统带来的风险 工业掌握系统最早和企业管理系统是隔离的，但近年来为了实现实时的数据采集与生产掌握，满意“两化融合”的需求和管理的便利，通过规律隔离的方式，使工业掌握系统和企业管理系统可以直接进行通信，而企业管理系统一般直接连接，在这种状况下，工业掌握系统

4、接入的范围不仅扩展到了企业网，而且面临着来自的威逼。 同时，企业为了实现管理与掌握的一体化，提高企业信息化合综合自动化水平，实现生产和管理的高效率、高效益，引入了生产执行系统MES，对工业掌握系统和管理信息系统进行了集成，管理信息网络与生产掌握网络之间实现了数据交换。导致生产掌握系统不再是一个独立运行的系统工控安全管理体系，工业控制系统安全体系架构与管理平台.docx，而要与管理系统甚至互联网进行互通、互联。 1.3工控系统采纳通用软硬件带来的风险 工业掌握系统向工业以太网结构进展，开放性越来越强。基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。在工业掌握系统中，由于工业系统集成和使用的便利性，大量使用了工业以太环网和OPC通

5、信协议进行了工业掌握系统的集成;同时，也大量的使用了PC服务器和终端产品，操作系统和数据库也大量的使用了通用的系统，很简单遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。 二、工业掌握系统安全防护设计 通过以上对工业掌握系统安全状况分析，我们可以看到，工控系统采纳通用平台，加大了工控系统面临的安全风险，而“两化融合”和工控系统自身的缺陷造成的安全风险，主要从两个方面进行安全防护。 通过“三层架构，二层防护”的体系架构工控安全管理体系，对工业企业信息系统进行分层、分域、分等级，从而对工控系统的操作行为进行严格的、排他性掌握考证培训机构，确保对工控系统操作的唯一性。 通过工控系统安全管理平台，确保HMI、管理机、掌握服务

6、工控通信设施安全可信。 2.1构建“三层架构，二层防护”的安全体系 工业掌握系统需要进行横向分层、纵向分域、区域分等级进行安全防护，否则管理信息系统、生产执行系统、工业掌握系统处于同一网络平面，层次不清，你中有我、我中有你。来自于管理信息系统的入侵或病毒行为很简单对工控系统造成损害，网络风暴和拒绝式服务攻击很简单消耗系统的资源，使得正常的服务功能无法进行。 2.1.1工控系统的三层架构 一般工业企业的信息系统，可以划分为管理层、制造执行层、工业掌握层。在管理信层与制造执行系统层之间，主要进行身份鉴别、访问掌握、检测审计、链路冗余、内容检测等安全防护;在制造执行系统层和工业掌握系统层之间，主要避

7、开管理层直接对工业掌握层的访问，保证制造执行层对工业掌握层的操作唯一性。工控系统三层架构如下图所示： 通过上图可以看到，我们把工业企业信息系统划分为三个层次，分别是方案管理层、制造执行层、工业掌握层。 管理系统是指以ERP为代表的管理信息系统(MIS)，其中包含了很多子系统，如：生产管理、物质管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备管理、技术管理、综合管理等等，管理信息系统融信息服务、决策支持于一体。 制造执行系统(MES)处于工业掌握系统与管理系统之间，主要负责生产管理和调度执行。通过MES，管理者可以准时把握和了解生产工艺各流程的运行状况和工艺参数的变化，实现

8、对工艺的过程监视与掌握。 工业掌握系统是由各种自动化掌握组件和实时数据采集、监测的过程掌握组件共同构成。主要完成加工作业、检测和操控作业、作业管理等功能。 2.1.2工控系统的二层防护 1、管理层与MES层之间的安全防护 管理层与MES层之间的安全防护主要是为了避开管理信息系统域和MES(制造执行)域之间数据交换面临的各种威逼，详细表现为：避开非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误、篡改数据，抵赖行为的可掌握、可追溯;避开终端违规操作;准时发觉非法入侵行为;过滤恶意代码(病毒蠕虫)。 也就是说，管理层与MES层之间的安全防护，保证只有可信、合规的终端和服务器才可以在

9、两个区域之间进行安全的数据交换，同时，数据交换整个过程接受监控、审计。管理层与MES层之间的安全防护如下图所示： 2、MES层与工业掌握层之间的安全防护 通过在MES层和生产掌握层部署工业防火墙，可以阻挡来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯，实现以下目标： 区域隔离及通信管控：通过工业防火墙过滤MES层与生产掌握层两个区域网络间的通信，那么网络故障会被掌握在最初发生的区域内，而不会影响到其它部分。 实时报警：任何非法的访问，通过管理平台产生实时报警信息，从而使故障问题会在原始发生区域被快速的发觉和解决。 MES层与工业掌握层之间的安全防护如下图所示： 7

煤矿安全管理培训，煤矿企业动态培训考试档案管理的解决方案

煤矿从业人员安全培训档案是各矿安全培训管理工作必不可少的重要一环。目前，大部分煤矿企业按照行业管理规范形成了纸质档案表格，但纸质档案弊端在于培训信息数据更新不及时，管理查阅不便，员工无法知晓自己培训档案等问题，且随着企业信息化的发展，部分煤矿企业开始尝试在线培训，人员的基础档案信息、线下培训及取证信息、线上学习信息的汇总统计，让人工管理工作变得更加繁琐，所以一个集在线培训、考核、档案管理于一体的系统平台就显得必不可少。

宏远安全培训考试系统针对煤矿安全档案的管理模式，将培训档案管理系统合并于一体煤矿安全管理培训，形成一个集线上学习、考试、资料库、线下培训、档案管理于一体的动态培训考核档案管理系统，这个系统究竟有什么优势考证书的正规网站，解决什么问题呢？我们接着往下看。

1.本地部署，自主管理，安全放心

宏远安全培训考核系统支持本地安装部署，可安装到企业自己的服务器上煤矿安全管理培训，煤矿企业动态培训考试档案管理的解决方案，数据不仅完全、而且自主管理；系统数据中的增删查改有完全自主的管理权限。

2.权限管理，灵活安排

宏远培训考核系统的权限管理模块可自定义设定不同权限的管理员，管理人员、管理课程、管理题库、管理文件等

3.网络课程管理

宏远培训考核系统支持视频、音频、文档、PPT等多种学习课件，不同部门、工种学习不同的课程，互不干扰，灵活配置，无论是电脑端还是手机端均可进行学习，在学习过程中可以进行弹出试题进行考核，巩固学习内容。

4.在线考试管理

系统不仅支持在线学习，也可以针对课程进行课后考试、严肃性统一考试、每日一考、自主练习等多种刷题模式，随机试卷、固定试卷、考试拍照识别、霸屏模式多种防作弊模式，以考代学，巩固专业知识。

5.监控管理

从课程学习、考试管理管理员实时查看每个课程、考试中的学员学习进度、答题情况，从IP到登录系统的精确时间，随时了解安全培训的完成情况。

6.线下课程管理

系统支持线下传统培训，通过APP与线上课程结合，形成一个线上线下同步的培训档案，不仅记录学习时长进度，而且通过档案能精确查询到每个学员的线下培训进度。

7.公共文库管理

公共文库可以将不同的公共资料和文件分类存储，比如办事流程、申请表格、规章制度等，学员可以自主下载和查询。

8.档案管理

在档案管理模块中将线上、线下的课程及考试进行统一归入档案，形成煤矿企业规范要求的电子档案；

一期一档：该模块将每期安全培训的资料以报表形式进行汇总统计，其中包括计划审批表、办班通知、教学大纲、班主任日志、学员满意度评测、考核成绩、教师档案、综合评估等详细信息；

一人一档：通过课程管理和考试管理进行关联，实现从业人员安全培训档案，从而实现从业人员安全档案的详细管理。包括：从业人员个人信息、证件管理、历次接受安全培训和考核情况、安全生产违规违章行为记录，以及被追究责任受到处分、处理的情况。

9.人员管理

在人员管理模块中，可进行根据花名册批量导入导出、修改等基础操作功能，信息不仅包含了基本的人员信息，还可以对学历证书、荣誉证书、任命文件等批量导入，从而形成一个详细的人员管理资料，与档案管理进行数据结合，在系统中形成一个完成的档案管理流程。

通过以上模块的相互嵌套，从课程管理、考试管理、权限管理、监控管理、文库管理、人员管理最终形成一个详细的档案管理，不仅支持线下快速查询，而且还支持导出到本地，进行线下存档。