工业控制系统安全：DCS风险与脆弱性检测要求思维导图

红帽社区是一个垂直网络安全社区，融合“红帽先锋”正能量精神，每日分享最新安全资讯，提供安全问答、靶场、众测、漏洞库等功能，是网络安全爱好者学习、交流的优质社区。

有关风险与脆弱性检测要求则涉及了集散控制系统(DCS)在投运前、后的风险和 脆弱性检测， 以及对DCS软件、以太网网络通信协议与工业控制网络协议的风险与脆弱性检测的要求等。

检测对象则涵盖了监控软件、组态软件、数据库软件等DCS中的应用软件； DCS操作员站和控制站等操作系统； DCS中的具有网络协议实现和网络通信能力的功能和组件。

DCS风险与脆弱性检测要求从导图我们看到有概述、软件安全风险与脆弱性、网络通信安全风险与脆弱性几部分。

每一个部分有细分若干部分，细分如DCS系统概述、DCS风险与脆弱性检测的目标等等。其中在DCS软件安全风险与脆弱性中涉及到服务器和控制站的操作系统、数据库管理系统、OPC类软件、DCS组态软件以及其他软件等内容。

以服务器和控制站的操作系统为例分别分总则、检查项、检测对象、检测方式与实施、结果判定等细则。

参考文件：

《工业自动化和控制系统网络安全 集散控制系统（DCS）第1部分：防护要求》

《工业自动化和控制系统网络安全 集散控制系统（DCS）第2部分：管理要求》

《工业自动化和控制系统网络安全 集散控制系统（DCS）第3部分：评估指南》

《工业自动化和控制系统网络安全 集散控制系统（DCS）第4部分：风险与脆弱性检测要求》

《信息安全技术  信息安全风险评估规范》

《信息安全技术 网络基础安全技术要求》

《信息安全技术 网络安全等级保护基本要求》

本文授权转载自：“祺印说信安”公众号，如需转载，请联系原作者。