审计概述

• 系统名称：生产线PLC与SCADA监控
• 系统类型：工业控制系统（ICS）
• 审计深度：标准审计（以文档与配置核查、访谈、现场目视检查、被动网络观察和样本验证为主，避免对生产环境产生影响的主动扫描与破坏性测试）
• 审计目标：基于IEC 62443与业界最佳实践，评估OT网络、SCADA/PLC、现场总线、远程维护、补丁与备份等关键安全控制的完备性与有效性；满足“现场总线访问控制、远程维护白名单、关键设备离线补丁策略与备份”的专项要求
• 审计范围：生产线OT网络边界与分段、SCADA服务器与工程站、PLC/远程I/O/现场设备、现场总线与交换设备、远程维护链路与跳板机、备份与恢复设施、补丁与漏洞管理流程、日志与监控、物理与环境、变更与事件响应
• 适用标准：优先遵循IEC 62443（2-1、3-2、3-3、4-1/4-2），参考NIST SP 800-82 Rev.3、ISO/IEC 27001:2022等

风险等级说明（适用于下文所有检查项）

• 高：一旦失效可能造成生产中断、安全事故或关键数据/控制丧失
• 中：可能造成局部业务影响、暴露面扩大或为进一步攻击提供条件
• 低：改进项或合规性细节，不构成直接高风险，但应纳入持续优化

检查清单

以下检查项按安全域组织。每项包含：风险等级、检测方法、整改建议、验证标准。编号示例：D1-1 表示“域1-项1”。

域1：资产、分区与通道（IEC 62443-3-2）

• D1-1 资产清单完整准确（含PLC/RTU/HMI/SCADA/交换机/现场设备、固件版本、网络地址、关键级别）

  • 风险等级：高
  • 检测方法：审阅资产台账与网络拓扑；现场抽查设备铭牌与管理IP；对比变更记录；被动捕获MAC/IP（在可控条件下）比对
  • 整改建议：建立统一台账与更新流程；关键资产100%登记、含固件与配置基线
  • 验证标准：关键资产台账覆盖率100%，其余≥98%；信息项完整率≥95%

• D1-2 分区与通道定义（Zones/Conduits）及SL-T确定

  • 风险等级：高
  • 检测方法：审阅分区/通道文档、SL目标；比对网络设备ACL/防火墙策略与图纸一致性
  • 整改建议：按IEC 62443-3-2完成分区建模、通道边界控制与SL目标设定
  • 验证标准：所有OT子网均归属明确分区；每个跨分区通道具备控制策略与风险说明

• D1-3 关键性分类（安全/产能/质量）与依赖关系图

  • 风险等级：中
  • 检测方法：访谈工艺与维护团队；核对SIS/高危回路；形成数据/控制流矩阵
  • 整改建议：完善业务影响分析（BIA），形成系统间依赖图
  • 验证标准：关键回路与关键设备有明确分类与保护优先级

• D1-4 现场总线/SCADA协议数据流清单（主/从、发布/订阅端）

  • 风险等级：中
  • 检测方法：审图+被动流量观察（维护窗口或镜像口，不注入流量）；比对控制策略
  • 整改建议：出具数据流白名单，为后续白名单化与告警提供基线
  • 验证标准：关键协议/端口/会话路径清晰，未发现“未知通道”

域2：网络分段与边界防护（IEC 62443-3-3 SR 5）

• D2-1 IT/OT边界DMZ与默认拒绝策略

  • 风险等级：高
  • 检测方法：审阅边界拓扑、路由与防火墙规则；确认无OT直连互联网
  • 整改建议：建立OT DMZ，采用最小通信白名单；消除直连互联网路径
  • 验证标准：无OT→Internet直接路由；边界策略“显式允许、默认拒绝”

• D2-2 分区间通道仅放行必要端口/协议（如Modbus、Profinet等）

  • 风险等级：高
  • 检测方法：审查ACL/防火墙对象组与规则命中；抽样路径合规性核查
  • 整改建议：按数据流白名单收敛端口/IP；为现场总线定向放行
  • 验证标准：规则与数据流一一对应；无“任意任意”宽泛规则

• D2-3 访问交换机端口安全（禁用未用口、MAC限制、风暴控制）

  • 风险等级：中
  • 检测方法：抽查交换机配置与端口状态；现场核对未用口封帽/断电
  • 整改建议：启用端口安全、关闭未用端口并物理封堵
  • 验证标准：未用口禁用率100%；关键端口启用MAC限制

• D2-4 无线接入（如存在）隔离于OT生产网

  • 风险等级：高
  • 检测方法：查阅无线控制器配置、现场勘察；确认与生产网无三层互通
  • 整改建议：无线仅用于来宾/运维隔离网，禁入生产控制域
  • 验证标准：无线与OT生产网无路由互通；策略默认拒绝

域3：访问控制与账号管理（IEC 62443-3-3 SR 1/2）

• D3-1 唯一账号与禁止共享管理员账户

  • 风险等级：高
  • 检测方法：审查AD/本地账户；核对操作日志与人岗匹配
  • 整改建议：为每位操作者/工程师配置唯一ID，禁用共享账号
  • 验证标准：关键系统无共享账号；日志可追溯到个人

• D3-2 最小权限与分权（操作/工程/维护分离）

  • 风险等级：高
  • 检测方法：角色矩阵与权限抽查；跨角色权限比对
  • 整改建议：按岗位定义角色并剥离多余权限
  • 验证标准：无超配；高危操作需双人或审批

• D3-3 密码与身份策略（复杂度、有效期、锁定）适配OT

  • 风险等级：中
  • 检测方法：审查策略与系统配置；抽样验证
  • 整改建议：结合OT可用性与标准，设置合理参数并记录例外
  • 验证标准：策略与例外有据可依并获批准

• D3-4 默认/厂商账号处理

  • 风险等级：高
  • 检测方法：清单对照与配置核查；现场确认
  • 整改建议：删除或更改默认凭据，限制内置账户使用
  • 验证标准：无默认口令可用；内置账号使用留痕

域4：远程维护与白名单控制（重点）

• D4-1 远程维护统一通过受控跳板机/会话网关

  • 风险等级：高
  • 检测方法：拓扑与接入流程审查；确认无直连PLC/SCADA的外部通道
  • 整改建议：集中远程入口，强制经跳板审计
  • 验证标准：所有远程会话均留存审计日志与会话记录

• D4-2 远程维护白名单（源IP/设备证书/账户）与时间窗控制

  • 风险等级：高
  • 检测方法：检查防火墙/网关白名单、工单与变更记录；抽样比对
  • 整改建议：实施多维度白名单与工单驱动的临时授权
  • 验证标准：仅白名单主体在授权时间内可接入；过期自动失效

• D4-3 强认证与会话审计（建议MFA、命令/屏幕记录）

  • 风险等级：高
  • 检测方法：验证认证策略与审计留存；抽样回放
  • 整改建议：启用强认证与全会话审计，敏感操作双人复核
  • 验证标准：远程会话100%可追溯，关键操作有复核记录

• D4-4 远程服务默认关闭，按需启用

  • 风险等级：中
  • 检测方法：配置核查；比对工单启停记录
  • 整改建议：建立启停流程与超时自动关闭
  • 验证标准：无长期常开远程隧道；启停与工单一致

域5：现场总线访问控制（重点）

• D5-1 物理接口控制（柜门上锁、端口封堵、钥匙管理）

  • 风险等级：高
  • 检测方法：现场检查柜体、端口封帽/锁具、钥匙台账
  • 整改建议：关键柜体上锁、端口封堵并张贴警示；钥匙受控
  • 验证标准：关键端口100%物理防护；钥匙领用可追溯

• D5-2 工程站到现场总线接入经受管控交换机/ACL

  • 风险等级：高
  • 检测方法：交换机ACL/端口策略核查；工程站网卡/路由检查
  • 整改建议：仅授权工程站在维护窗通过指定端口接入
  • 验证标准：非授权主机无法接入现场总线/写入控制

• D5-3 PLC运行/写保护（钥匙开关/逻辑写保护）

  • 风险等级：高
  • 检测方法：现场查看运行模式；配置项确认写保护
  • 整改建议：生产运行时置于RUN/只读；变更需审批与窗口
  • 验证标准：运行期禁止在线写入；变更均可追溯

• D5-4 协议功能限制（限制写功能码/站号/会话来源）

  • 风险等级：中
  • 检测方法：防火墙/网关策略与控制器策略审查
  • 整改建议：对Modbus/Profinet/EtherCAT等实施功能与地址白名单
  • 验证标准：非白名单写操作被阻断并产生告警

• D5-5 便携设备接入控制（临时接入审批与检查）

  • 风险等级：中
  • 检测方法：来访/便携设备管控记录、物理端口检查
  • 整改建议：严格审批、仅在隔离网络接入、接入前安全检查
  • 验证标准：临时接入均有工单/检查记录

域6：控制器与SCADA主机加固

• D6-1 PLC固件签名与版本管理（仅批准版本）

  • 风险等级：高
  • 检测方法：台账与设备状态对照；抽查固件校验信息
  • 整改建议：建立固件白名单与签名校验流程
  • 验证标准：关键PLC固件均为批准版本且可校验

• D6-2 关闭不必要服务（Telnet/FTP/HTTP等），启用安全管理通道

  • 风险等级：高
  • 检测方法：配置审查；被动流量观察是否存在明文管理
  • 整改建议：禁用明文服务，使用加固管理接口（如基于加密和认证的协议）
  • 验证标准：无明文管理流量；最小开放面

• D6-3 SCADA主机OS基线（补丁策略、最小化服务、策略加固）

  • 风险等级：中
  • 检测方法：基线文档与系统配置核查
  • 整改建议：执行主机加固基线并记录例外
  • 验证标准：关键加固项符合率≥95%

• D6-4 应用白名单/受控执行（SCADA/工程站）

  • 风险等级：中
  • 检测方法：检查策略、白名单规则与告警
  • 整改建议：仅允许已批准二进制运行
  • 验证标准：新增/未签名程序无法执行

• D6-5 统一时间源（OT NTP）与日志时间一致

  • 风险等级：中
  • 检测方法：核对时钟同步配置与日志时间偏差
  • 整改建议：配置OT侧权威NTP源并监控偏差
  • 验证标准：关键系统时间偏差≤±1秒（可按现场标准）

域7：工程站与可移动介质

• D7-1 工程站与办公/互联网隔离

  • 风险等级：高
  • 检测方法：路由/代理配置审查、连接测试（在维护窗内、非侵入）
  • 整改建议：物理/逻辑隔离，禁用邮件与网页访问
  • 验证标准：工程站无法直达互联网/办公网

• D7-2 可移动介质受控（使用审批、离线扫描、只读策略）

  • 风险等级：高
  • 检测方法：流程与记录审查；抽查介质使用轨迹
  • 整改建议：建立介质门禁与隔离扫描流程
  • 验证标准：100%介质有审批与扫描记录

• D7-3 工程项目文件版本控制与备份

  • 风险等级：中
  • 检测方法：版本库/备份清单核对；抽样恢复
  • 整改建议：集中版本库、变更记录与签名留痕
  • 验证标准：任一历史版本可在测试环境恢复

• D7-4 工具链完整性校验（安装源校验）

  • 风险等级：中
  • 检测方法：供应包校验记录、哈希值比对
  • 整改建议：实施下载/介质校验流程
  • 验证标准：关键工具100%有校验记录

域8：补丁与漏洞管理（离线策略，重点）

• D8-1 离线补丁仓库与完整性校验

  • 风险等级：高
  • 检测方法：仓库结构与校验记录；哈希/签名验证抽样
  • 整改建议：建立离线镜像与校验清单
  • 验证标准：补丁入库100%完成校验

• D8-2 代表性测试床验证补丁兼容性

  • 风险等级：高
  • 检测方法：测试报告与回归用例；关键场景覆盖率
  • 整改建议：在测试床完成功能/性能/回退验证
  • 验证标准：生产应用前有通过报告与回滚方案

• D8-3 维护窗口实施与回退预案

  • 风险等级：高
  • 检测方法：维护计划、变更单与实施记录；回退演练记录
  • 整改建议：定义窗口与通信计划，演练回退
  • 验证标准：每次补丁均有经批准的窗口与回退方案

• D8-4 漏洞通告与风险处置（含不可打补丁资产的补偿控制）

  • 风险等级：中
  • 检测方法：通告订阅、评估记录、补偿措施台账
  • 整改建议：对不可补丁设备实施网络隔离、白名单与监测补偿
  • 验证标准：每个高危漏洞均有处置记录与期限

域9：备份与恢复（重点）

• D9-1 PLC/SCADA/数据库配置与项目文件定期备份

  • 风险等级：高
  • 检测方法：备份清单、成功率报表；抽样校验文件完整性
  • 整改建议：定义频率（关键配置至少每日或每变更）、自动化与校验
  • 验证标准：关键资产备份成功率≥99%；校验通过率100%

• D9-2 离线/不可变备份副本与异地保管

  • 风险等级：高
  • 检测方法：介质清点、存放记录；不可变策略说明
  • 整改建议：采用离线或不可变介质，落实“多副本、隔离”
  • 验证标准：至少一份离线/不可变；异地可用

• D9-3 恢复演练（测试床验证）

  • 风险等级：高
  • 检测方法：演练计划与结果；恢复用时与RTO对比
  • 整改建议：季度演练，覆盖PLC配置、SCADA与数据库
  • 验证标准：关键系统在目标RTO内成功恢复

• D9-4 备份加密与密钥管理

  • 风险等级：中
  • 检测方法：加密策略、密钥托管记录
  • 整改建议：为离站介质/远程副本启用加密并分权管钥
  • 验证标准：密钥受控、定期轮换并可审计

域10：日志、安全监控与告警（IEC 62443-3-3 SR 6）

• D10-1 日志集中与保留（OT优先级事件清单）

  • 风险等级：中
  • 检测方法：日志源清单、集中平台记录；时钟一致性
  • 整改建议：集中收集控制系统、网络与跳板日志
  • 验证标准：关键源接入率100%；保留期限满足法规/企业要求

• D10-2 关键事件检测（编程模式变更、写命令、白名单违规）

  • 风险等级：高
  • 检测方法：规则/用例库审查；抽样触发（在测试床）
  • 整改建议：建立OT场景检测与告警分级
  • 验证标准：关键事件可检测并在SLA内响应

• D10-3 被动网络基线与异常监测

  • 风险等级：中
  • 检测方法：镜像口/只读TAP被动收集与报表
  • 整改建议：记录正常流量基线并识别新主机/新协议
  • 验证标准：基线季度更新；异常有处置闭环

• D10-4 日志审阅与改进机制

  • 风险等级：中
  • 检测方法：周/月审阅记录；问题跟踪
  • 整改建议：定义审阅频率与指标
  • 验证标准：审阅按计划执行并形成整改项

域11：物理与环境安全

• D11-1 生产控制区物理访问控制（门禁、CCTV、巡检）

  • 风险等级：高
  • 检测方法：现场检查、访问记录抽查
  • 整改建议：分区分级门禁与审计留痕
  • 验证标准：关键区域仅授权人员可入，录像可回溯

• D11-2 访客与承包商管理

  • 风险等级：中
  • 检测方法：访客记录、陪同制度执行
  • 整改建议：实名登记、工卡、全程陪同
  • 验证标准：访客记录完整、可追溯

• D11-3 环境与电力（UPS、接地、冗余）

  • 风险等级：中
  • 检测方法：设备台账、巡检记录
  • 整改建议：关键主机与网络设备上UPS并定检
  • 验证标准：关键设备电力冗余达标

域12：变更管理、事件响应与合规

• D12-1 变更管理（MOC）覆盖逻辑与配置变更

  • 风险等级：高
  • 检测方法：变更流程、审批记录、实施与回退
  • 整改建议：将PLC程序/参数/网络策略纳入MOC
  • 验证标准：无未授权变更；变更可追溯

• D12-2 审计追踪（谁/何时/何事）

  • 风险等级：高
  • 检测方法：系统审计日志与会话记录
  • 整改建议：关键操作留痕与留存策略
  • 验证标准：关键操作可追溯到个人与工单

• D12-3 事件响应（IR）与演练（含隔离与恢复预案）

  • 风险等级：高
  • 检测方法：IR手册、通讯录、演练记录
  • 整改建议：制定OT专项IR剧本（PLC被篡改、勒索、异常写入）
  • 验证标准：年度演练完成并闭环整改

• D12-4 第三方与供应链要求（远程接入、SBOM/通告）

  • 风险等级：中
  • 检测方法：合同/SLAs、安全条款与接入审查
  • 整改建议：明确远程接入安全、通告时限、合规义务
  • 验证标准：第三方访问满足白名单、强认证与审计

风险等级

• 高风险：直接影响人身/设备安全、生产连续性或核心控制权；需优先整改并在短期内复核
• 中风险：可能形成攻击路径或影响局部生产/合规；需计划性整改与跟踪
• 低风险：合规或优化项；纳入持续改进清单

检测方法（方法学说明）

• 文档与配置审查：资产清单、分区与数据流、策略基线、变更与工单、备份与恢复、补丁与漏洞处置记录
• 现场核查：柜体与接口、钥匙与门禁、设备铭牌与指示状态（如PLC运行/写保护）
• 被动网络观察：通过镜像口/TAP进行只读监测与基线收集（避免主动探测）
• 访谈与抽样：与工艺、维护、安全人员访谈；选取样本设备/策略进行核验
• 测试床验证：补丁/恢复/检测规则等在代表性测试环境验证
• 严禁未授权/破坏性测试：不对生产PLC/现场总线执行扫描、模糊测试、爆破等活动；所有验证遵循最小影响原则并经批准

整改建议（总体原则）

• 按照分区与通道、白名单与默认拒绝、最小权限与强认证、物理与逻辑双重防护的四大主线推进
• 针对专项要求：
  • 现场总线访问控制：物理+交换机ACL+控制器写保护+协议功能白名单
  • 远程维护白名单：跳板集中、强认证、临时授权、会话审计、到期自动失效
  • 离线补丁与备份：离线仓库与校验→测试床验证→维护窗实施→回退预案；离线/不可变备份+周期性恢复演练
• 对无法立即整改的项，采用补偿控制（隔离、监测、白名单、操作流程）并设定过渡期限
• 所有整改变更均通过MOC流程管理，并在测试床验证后再投产

参考标准

• IEC 62443 系列
  • 62443-2-1: 安全项目与政策管理
  • 62443-3-2: 分区与通道、风险评估与SL目标
  • 62443-3-3: 系统安全要求与安全等级（SR1–SR7）
  • 62443-4-1/4-2: 组件安全开发流程与技术要求
• NIST SP 800-82 Rev.3: 工业控制系统（ICS）安全指南
• ISO/IEC 27001:2022 与附录A控制措施（资产、访问控制、日志、变更、备份等）
• ISO/IEC 27002:2022 控制实践指南
• ISO 31000: 风险管理原则与框架

备注：上述检查项与方法基于通行标准与最佳实践，已按“标准审计”强度设计为非侵入、可操作且面向生产环境安全。对任何需要在生产系统执行的验证，请在获得书面授权并安排维护窗口后实施。