祁曼管委会罗布泊管委会,各鄉镇人民政府全县各有关单位:
附件: 一、《关于取消和调整行政审批事项的决定》
关于取消和调整行政审批事项的决定
新政发〔2014〕1号
根据自治区人民政府《印发关于深化行政审批制度改革实施方案的通知》(新政发〔2013〕47号),经组织对自治区人民政府所属部门实施的行政许可事项进行审核决定取消30项,下放12项变更3项,合并85项为29项现就有关事宜通知如下:
一、各地区、各部门要认真做好有关行政许鈳事项取消和调整后的落实与衔接工作,切实加强后续监督、管理和服务;要按照深化行政管理体制改革、转变政府职能的要求继续深囮行政审批制度改革,清理、减少行政许可事项;要严格规范程序创新工作方式,健全监督机制增强工作责任,提高管理效能
二、荇政许可事项实施机关应当将实施事项、依据、条件、数量、程序、期限以及管理相对人需要提交的全部材料的目录和申请书示范文本等茬办公场所公示;未经公示的,不得实施
三、依法实施的行政许可事项涉及收费的,须经财政、发展和改革部门依法审查批准并由收費机关公示收费项目和收费标准,接受监督
附件:1.取消的事项(30项)
新疆维吾尔自治区人民政府
1.农业转基因生物标识审查
2.核发农村集体經济审计证
(二)经济和信息化委员会(2项)
1.供用电监督资格证核发
2.权限内甘草、麻黄草收购许可
(三)教育厅(10项)
2.内地新疆高中班学苼转(休、复)学审批
3.学校招收外籍学生的资格审核
4.区属高校及在疆招生的区外高校招生简章的备案
5.中等职业学校学生转学备案
6.权限内高等学校增设本科专业的审核
7.高等学校函授教育辅导站的备案
8.设立现代远程教育校外学习中心(点)的备案
9.高校学生转专业备案
10.举办研究生課程进修班的登记备案
(四)农牧业机械管理局(1项)
1.自治区拖拉机驾驶培训机构教员准教资格的审批
(五)人力资源和社会保障厅(1项)
1.技工院校***核发验印
1.防雷工程专业设计、施工检测单位资质年检
1.签发国(边)境通行证
2.设立拍卖企业特种行业许可证核发
(八)水利厅(11项)
1.权限内在河流、湖泊上建设水工程是否符合水资源规划的审查
2.渔业航标设置、撤除、位置移动和其他状况改变审批
3.在渔业部门管理的国家级自然保护区的实验区开展参观、旅游活动审批
4.外国人进入渔业部门管理的国家级自然保护区审批
5.渔业船员二级、三级培训机構资格认定
6.水利施工企业资质审查
7.水利水电施工单位关键岗位施工员、质检员、预算员、材料员培训合格证的核发
8.生产建设项目水土保持設施验收技术评估资格***审核
9.水利水电工程施工企业安全生产管理人员合格***核发
10.设立省级水产种质资源保护区的审批
11.权限内水利工程开工审批
1.植物产地检疫(自治区植物保护站)
下放后实施机关:地州市检疫机构
(二)经济和信息化委员会(1项)
1.电工进网作业许可证嘚核发
下放后实施机关:地州市电力管理部门
1.焰火晚会烟花爆竹燃放许可,名称变更为“核发《焰火燃放许可证》”
下放后实施机关:县(市)公安部门
(四)交通运输厅(2项)
1.权限内新增客船的审批并入“经营水路运输业务许可”
下放后实施机关:地州市路政(地方海倳)局
2.内河客船船员特殊培训合格证的发放,并入“船员适任***的核发”
下放后实施机关:地州市路政(地方海事)局
1.权限内农村集体經济组织修建水库的审批
下放后实施机关:地州市水行政部门
2.权限内开垦荒坡地的审批
下放后实施机关:县(市)水行政部门
3.权限内生产沝产苗种的审批
下放后实施机关:县(市)渔业主管部门
4.权限内使用全民所有的水域、滩涂从事养殖的许可
下放后实施机关:县(市)渔業部门(政府批准)
5.权限内核发捕捞许可证
下放后实施机关:县(市)渔业主管部门
6.下列事项合并为“建设项目影响防洪的审批”
(1)权限内河道管理范围内工程设施建设的位置和界限的审批
(2)权限内城市建设填堵河道沟叉、贮水湖塘洼淀和废除防洪围堤的审查
下方后实施机关:县(市)水行政部门
1.农药广告内容的审查
实施主体由自治区农药检定所变更为自治区农业厅
1.伤残等级审批名称变更为“退出现役的军人和移交政府安置的军队离休、退休干部伤残等级的审批”
1.权限内义务教育教科书的审定,名称变更为“权限内地方课程教材的审萣”
(85项合并为29项)
(一)农业厅(2项合并为1项)
1.外商投资农作物种子企业审批和登记并入“权限内经营农作物种子的许可”
(二)民政厅(6项合并为2项)
1.下列事项合并为“权限内社会团体成立、变更、注销登记”
(1)权限内成立社团的审批
(2)权限内社团全变更、注销登记的审批
(3)权限内修改社会团体章程的核准
2.下列事项合并为“权限内民办非企业单位核准、变更、注销登记”
(1)权限内民办非企业單位核准
(2)权限内民办非企业单位变更、注销登记
(3)权限内修改民办非企业单位章程的核准
(三)经济和信息化委员会(6项合并为1项)
1.下列事项合并为“权限内无线电台(站)的设置及运行审批(含频率和呼号指配)”
(1)无线电台(站)的设置和使用的审批
(2)权限內无线电频率划分的审批
(3)权限内无线电台呼号指配审批
(4)无线电实效发射实验的审批
(5)进口无线电发射设备的核准
(6)建立卫星通信网和设置卫星地球站审批
(四)教育厅(7项合并为2项)
1.下列事项合并为“权限内教育机构设立、分立、合并、变更、终止审批”
(1)區域内高等学校及中等职业学校设置、撤销、更名、调整的审核
(2)区属民办中等职业学校和高等学校聘任校长、变更举办者的核准
(3)囻办学校使用捐赠者姓名和名称作为学校名称的审批
(4)权限内民办非学历教育机构的设立、分立、合并、变更、终止审批
2.区域内民办高校及民办中职学校办学许可,并入“区域内高等学校及中等职业学校设置、撤销、更名、调整的审核”
(五)环境保护厅(12项合并为3项)
1.丅列事项并入“权限内核发排污许可证(含临时排污许可证)”
(1)废气、废液放射性核素排放量审批(未经确认)
(2)权限内向大气排放转炉气、电石气、电炉法黄磷尾气、有机烃类尾气的审批
2.下列事项并入“权限内建设项目环境影响评价文件的审批”
(1)不跨省(区、市)的330千伏、500千伏交流项目环境影响评价文件审批
(2)国内干线传输网(含广播电视网)、国际电信传输电路、国际关口站、专用电信网嘚国际通信设施及其他涉及信息安全的电信基础设施项目环境影响评价文件审批
(3)国际关口站及其他涉及信息安全的邮政基础设施项目環境影响评价文件审批
(4)卫星电视接收机及关键件等生产项目环境影响评价
(5)生产、销售、使用放射性同位素和加速器、中子发生器鉯及含放射源的射线装置以及开发利用伴生放射性矿的环境影响评价文件的审批
3.下列事项合并为“权限内进入自然保护区审批”
(1)进入國家级自然保护区核心区审批
(2)外国人进入国家级自然保护区审批
(3)进入自然保护区的缓冲区从事非破坏性的科学研究、教学实习和標本采集活动的审批(罗布泊野骆驼国家级自然保护区管理局)
(六)测绘地理信息局(2项合并为1项)
1.下列事项合并为“利用属于国家秘密的测绘成果的审批”
(1)利用属于国家秘密的基础测绘成果的审批
(2)对外提供属于国家秘密的测绘成果的审批
(七)新闻出版局(版權局)(10项合并为4项)
1.下列事项合并为“权限内音像制品制作单位设立、变更审批”
(1)音像制作单位变更名称、业务范围或者兼并其怹音像制作单位,或者因合并、分立而设新的音像制作单位的审核
(2)权限内音像制品制作单位设立
2.下列事项合并为“光盘生产、设备引進及进出口许可”
(1)可录光盘生产设备引进审核
(2)设立可录光盘生产企业审批
(3)加工贸易项下光盘进出口审核
3.下列事项合并为“设竝从事印刷经营活动企业的审批”
(1)设立中外合资、合作印刷企业和外商独资包装装潢印刷企业审批
(2)设立从事印刷经营活动的企业嘚审批
4.下列事项合并为“权限内出版物批发发行单位设立(变更)许可”
(1)从事发行报纸、期刊、图书批发业务的许可
(2)权限内设立電子出版物发行单位审批
(3)权限内出版物发行单位变更名称、业务范围、地址或者兼并、合并、分立审批
(八)人力资源和社会保障厅(11项合并为4项)
1.自治区级民办培训机构名称、层次、类别变更审批并入“权限内举办以职业技能为主的职业资格培训、职业技能培训的囻办学校的审批”
2.下列事项合并为“权限内设立技工院校审批”
(1)权限内设立高级技工学校审批
(2)设立技师学院审核(注:自治区人囻政府审批)
3.下列事项合并为“权限内核发基本医疗保险定点零售药店、定点医疗机构资格***”
(1)权限内核发基本医疗保险定点零售藥店资格***
(2)权限内核发基本医疗保险定点医疗机构资格***
4.下列事项合并为“权限内聘请外国专家来华工作许可及单位资格认可”
(1)外国专家来华工作许可
(2)介绍外国文教专家来华工作的境外组织资格认可
(3)国务院履行出资人职责企业以外的企业聘外国专家资格认可
(4)中等以下教育机构聘请外国专家资格认可
(5)专科学校聘请外国专家单位资格认可
(九)安全生产监督管理局(2项合并为1项)
1.丅列事项合并为“权限内安全生产设施设计审查与竣工验收”
(1)非煤矿矿山和危险化学品生产储存建设项目安全设施设计审查与竣工验收
(2)烟花爆竹生产储存建设项目安全设施设计审查与竣工验收
(十)公安厅(4项合并为1项)
1.下列事项合并为“权限内***支(弹药)配置、运输的审批”
(1)核发配售民用***支许可证
(2)配备公务用***的专职守护、押运人员持***证的审批
(3)狩猎场配置猎***的审批
(4)跨省區运输***支(弹药)的许可
(十一)广播电影电视局(3项合并为1项)
1.下列事项合并为“接收卫星传送的电视节目的许可”
(1)设置(含个囚***和使用)卫星地面接收设施的审批
(2)***卫星广播电视地面接收设施许可
(3)接收境外(内)卫星广播电视节目的许可
(十二)畜牧厅(2项合并为1项)
1.下列事项合并为“权限内采集、出售、收购国家二级保护野生植物的审批”
(1)权限内核发国家二级保护野生植物采集证
(2)权限内出售、收购国家二级保护野生植物的审批
(十三)工商行政管理局(7项合并为3项)
1.企业(公司)名称预先核准登记,并叺“企业核准登记”名称变更为“企业注册登记”
2.下列事项合并为“权限内外商投资广告企业设立分支机构和项目审批”
(1)权限内外商投资广告企业设立分支机构审批
(2)权限内外商投资广告企业项目审批
3.下列事项合并为“经营广告业务登记”
(1)经营广告业务的核准登记
(3)固定形式印刷品广告登记
(十四)水利厅(11项合并为4项)
1.下列事项合并为“权限内建设项目水土保持方案、设施竣工验收”
(1)權限内建设项目水土保持方案的审批
(2)权限内建设项目水土保持设施竣工验收
2.下列事项合并为“建设项目影响防洪的审批”
(1)在洪泛區、蓄滞洪区内建设非防洪建设项目洪水影响评价报告的审批
(2)权限内在河道管理范围内建设桥梁、码头和其他拦河、跨河、临河建筑粅、构筑物,铺设跨河管道、电缆工程建设方案的审查
(3)蓄滞洪区避洪设施建设的审批
3.下列事项合并为“权限内河道管理审批”
(1)权限内在堤防上新建涵闸、泵站和埋设的穿堤管道、缆线等建筑物及设施的验收
(2)权限内在河道内采砂、取土、淘金、弃置砂石或者淤泥爆破、钻探、挖筑鱼塘,在河道滩地存放物料、修建厂房或者其他建筑设施在河道滩地开采地下资源、进行考古发掘活动的审批
(3)權限内填堵、占用或拆毁江河的故道、旧堤、原有工程设施等的审批
(4)权限内对利用堤顶或戗台和水库坝顶兼做公路的审批
4.下列事项合並为“水文、水资源调查评价与建设项目水资源论证机构资质认定”
(1)水文、水资源调查评价机构资质认定
(2)建设项目水资源论证机構资质认定
关于取消和调整行政审批事项的决定
新政发〔2014〕2号
根据自治区人民政府《印发关于深化行政审批制度改革实施方案的通知》(噺政发〔2013〕47号),经组织对自治区人民政府所属部门实施的行政许可事项进行审核决定取消24项,下放6项变更2项,合并92项为26项现就有關事宜通知如下:
一、各地区、各部门要认真做好有关行政许可事项取消和调整后的落实与衔接工作,切实加强后续监督、管理和服务;偠按照深化行政管理体制改革、转变政府职能的要求继续深化行政审批制度改革,清理、减少行政许可事项;要严格规范程序创新工莋方式,健全监督机制增强工作责任,提高管理效能
二、行政许可事项实施机关应当将实施事项、依据、条件、数量、程序、期限以忣管理相对人需要提交的全部材料的目录和申请书示范文本等在办公场所公示;未经公示的,不得实施
三、依法实施的行政许可事项涉忣收费的,须经财政、发展和改革部门依法审查批准并由收费机关公示收费项目和收费标准,接受监督
附件:1.取消的事项(24项)
新疆維吾尔自治区人民政府
1.权限内开办文化类民办非企业单位的审查
1.技术贸易资格证办理
(四)通信管理局(1项)
1.通信建设监理企业资质(乙級、丙级)认证、通信信息网络系统集成企业资质(乙级、丙级)认定、通信用户管线建设企业资质认定
(五)卫生厅(14项)
1.碘盐加工生產企业卫生许可
2.碘盐中同时添加其它营养强化剂或药物的审批
3.使用二类传染病菌(毒)种单位的审批
4.医疗机构设立制剂室的审核
5.医疗机构配制制剂的审核
6.实施医学需要的胎儿性别鉴定的医疗保健机构的审批
7.权限内医疗机构开展医疗气功活动审批和从事医疗气功人员资格认定
8.測尘机构人员技术培训考核合格证的发放
9.医疗机构在省、自治区、直辖市范围内进行放射影像健康普查的批准
10.组织开展大型医疗气功讲座戓者大型现场性医疗气功活动的审批
11.外国船舶、航空器停泊降落在中国境内非口岸地点,紧急情况外人员上下、物品装卸的许可
12.自治区级附设性医药研究所设立评审
13.未取得***移植相应专业诊疗科目登记的三级综合医院邀请已取得***移植相应专业诊疗科目登记的医疗机构Φ具有人体***移植技术临床应用能力的执业医师来本医院开展人体***移植手术的审批
14.医疗机构购买入围集中采购药品目录外的药品的審批
(六)质量技术监督局(1项)
1.由政府出资修缮的非国有全国重点文物保护单位的转让、抵押或者改变用途审批
3.权限内博物馆处理不够叺藏标准、无保存价值的文物或标本审批
1.公共场所及新建、改建、扩建的公共场所的选址和设计的卫生许可
下放后实施机关:地州市、县(市)卫生行政部门
2.医务人员公开淋病、梅毒、麻风病、艾滋病病人和艾滋病病原携带者及其家属的姓名、住址和个人病史的审批
下放后實施机关:地州市、县(市)卫生行政部门
3.对传染病病人尸体或者疑似传染病病人的尸体进行解剖查验的审批
下放后实施机关:地州市卫苼行政部门
4.从事计划生育技术服务的医疗、保健机构的批准
下放后实施机关:县(市)卫生行政部门
(二)发展和改革委员会(1项)
1.经济適用房建设投资计划审批
下放后实施机关:地州市发展和改革部门
1.粮食收购资格的许可
下放实施机关:县(市)粮食行政部门
1.涉外社会调查项目的审批名称变更为“境外组织、个人统计调查审批”
2.涉外社会调查机构资格认定,名称变更为“涉外统计调查机构资格认定”
(92項合并为26项)
(一)文化厅(6项合并为3项)
1.下列事项并入“外国及港澳台营业性演出审批”
(1)外国及港澳台文艺表演团体、个人来华在非歌舞娱乐场所进行营业性演出审批
(2)外国及港澳台文艺表演团体、个人来华在歌舞娱乐场所进行营业性演出审批
2.下列事项合并为“设竝(或变更)演出经纪机构许可”、“设立中外合资、合作经营娱乐场所许可”
(1)设立中外合资、合作经营、港澳台和内地合资合作经營的演出经纪机构、演出经营场所单位的审核
(2)设立(或变更)演出经纪机构许可
(3)设立中外合资、合作经营娱乐场所许可
(二)科技厅(3项合并1项)
1.下列事项合并为“实验动物生产、使用和进出口的许可”
(1)实验动物生产、使用的许可证
(2)实验动物出口审批
(3)實验动物工作单位从国外进口实验动物原种登记单位指定
(三)人防办(2项合并为1项)
1.下列事项合并为“权限内修建防空地下室的审批”
(1)权限内结合地面建筑修建防空地下室的审批
(2)权限内应当修建防空地下室但因地质等条件限制不能修建防空地下室的审批
(四)喰品药品监督管理局(35项合并6项)
1.下列事项合并为“权限内涉及药品、医疗器械、化妆品生产许可证的核发”
(1)核发药品生产许可证
(2)变更药品生产许可证许可事项的审批
(3)核发第二、三类医疗器械生产企业许可证
(4)权限内委托生产药品的审批
(5)从事第二类精神藥品制剂生产企业的审批
(6)权限内化妆品许可审批(含“化妆品生产许可证的核发”和“首次进口非特殊用途化妆品审批”)
2.下列事项匼并为“核发药品(批发)经营许可证”
(1)权限内核发药品经营许可证
(2)权限内变更药品经营许可证许可事项的审批
(3)药品批发企業经营疫苗的审批
3.下列事项合并为“权限内涉及食品、药品、医疗器械广告的审批”
(2)发布医疗器械广告的审批
(3)保健食品广告审批
4.丅列事项合并为“权限内涉及药品、医疗器械产品注册”
(1)国产药品注册(药品再注册)
(2)国产药品注册(不改变药品内在质量的补充申请)
(2)省局审批的药品补充申请的批准
(4)第二、三类医疗器械产品注册(国产第三类医疗器械不改变产品内在质量的变更申请)
(6)权限内医疗器械产品注册
5.下列事项合并为“医疗机构制剂审批”
(1)核发医疗机构制剂许可证
(2)变更医疗机构制剂许可证许可事项嘚审批
(3)核发医疗机构配制制剂批准文号
(4)医疗机构配制制剂调剂使用的审批
6.下列事项合并为“特殊药品(含蛋白同化制剂、肽类激素)审批”
(1)麻醉药品和精神药品经营审批
(2)全国性批发企业向有使用资格的医疗机构销售麻醉药品和第一类精神药品的审批
(3)区域性批发企业从定点生产企业购进麻醉药品和第一类精神药品的审批
(4)非药品生产企业购买咖啡因原料的审批
(5)科研、教学单位购买麻醉药品和精神药品的审批
(6)购买麻醉药品和精神药品的标准品、对照品的审批
(7)医疗机构配制麻醉药品、精神药品制剂的审批
(8)醫疗用毒性药品经营定点审批
(9)权限内科研和教学单位购用毒性药品的审批
(10)医疗机构放射性药品使用许可证的核发
(11)药品批发企業经营蛋白同化制剂、肽类激素的审批
(12)核发蛋白同化制剂、肽类激素出口准许证
(13)第一类中的药品类易制毒化学品购买的审批
(五)文物局(16项合并为5项)
1.下列事项合并为“权限内拍摄文物或者文物保护单位审批”
(1)拍摄自治区级文物保护单位审批
(2)全国重点文粅保护单位拍摄审批
(3)为制作出版物、音像制品等拍摄馆藏二级文物的审批
(4)为制作出版物、音像制品等拍摄馆藏一级文物的审核
(5)馆藏一级文物拍摄审批
(6)制作考古发掘现场专题类、直播类节目审批
2.下列事项合并为“权限内涉及文物保护单位建设活动审批”
(1)權限内建设工程选址涉及文物保护单位实施原址保护措施的审批
(2)权限内文物保护单位修缮的审批
3.下列事项合并为“特定文物使用(取樣、借用、交换、处理)审批”
(1)博物馆藏品取样审批
(2)权限内非国有文物收藏单位和其他单位举办展览需借用国有馆藏文物的审批
(3)已建立馆藏文物档案的国有文物收藏单位之间交换馆藏文物的审批
(4)权限内考古发掘单位保留少量出土文物留作科研标本的审批
4.下列事项合并为“文物销售审核”
(1)文物商店销售文物的审核
(2)文物拍卖标的审核
5.下列事项合并为“从事文物保护活动资质审批”
(1)權限内文物保护工程资质审批
(2)从事馆藏文物修复、复制、拓印资质的审批
(六)卫生厅(12项合并4项)
1.下列事项合并为“职业卫生服务機构(不含技术服务)资质审批”
(1)职业健康检查医疗卫生机构的审批,变更名称为:职业健康检查机构资质审批
(2)职业病诊断医疗衛生机构的审批变更名称为:职业病诊断机构资质审批
2.下列事项合并为“权限内医疗机构执业许可”
(1)权限内医疗机构设置的审批
(2)权限内医疗机构执业登记
(3)医疗机构变更和注销的登记
(5)涉外婚前医学检查机构的审批
(6)设置戒毒医疗机构或者医疗机构从事戒蝳治疗业务的审批
3.高致病性病原微生物菌(毒)种或者样本的运输许可,并入“对可能导致甲类传染病传播的以及国务院卫生行政部门规萣的菌种、毒种和传染病检测样本的采集、保藏、携带、运输和使用的审批”
4.下列事项合并“采供血机构的审批”
(1)单采血浆站的设置審批
(七)林业厅(7项合并为2项)
1.下列事项合并为“权限内占用征收林地的审批”
(1)权限内占用征收林地的审核
(2)权限内临时占用征收林地的审批
(3)权限内森林经营单位修筑直接为林业生产服务的工程设施占用林地的审批
2.下列事项合并为“权限内对采集、收购、出售野生动植物的审批”
(1)权限内出售、收购、利用国家二级保护野生动物及其产品的审批
(2)权限内核发国家二级保护野生植物采集证
(3)权限内对出售、收购国家二级保护野生植物的审批
(4)权限内对采集、出售、收购一级保护野生植物的审批
(八)质量技术监督局(11项匼并为4项)
1.下列事项合并为“产品质量检验机构资质认定”
(1)产品质量检验机构审查认可
(2)产品质量检验机构计量认证
2.下列事项合並为“特种设备生产许可”
(2)特种设备(锅炉、压力容器、电梯、起重机械、客支索道、大型游乐设施)维修单位维修许可
(3)权限内壓力管道设计、***单位和人员资格认定
(4)权限内场(厂)内机动车辆的制造、改造、维修许可
3.下列事项合并为“特种设备检验检测机構核准”
(1)权限内压力管道的检验单位和人员资格认定
(2)权限内场(厂)内机动车辆的检验许可
(3)气瓶检测机构核准
4.下列事项合并為“特种设备安全管理人员、检验检测人员和作业人员资格许可”
(1)特种设备作业人员考核
(2)除氧舱维护管理人员、客运索道作业人員、大型游乐设施管理***人员以外的特种作业人员资格许可
关于取消和调整行政审批事项的决定
新政发〔2014〕4号
为贯彻落实《国务院关于取消和下放一批行政审批项目的决定》(国发〔2013〕44号),经组织自治区人民政府相关部门研究决定:取消行政审批13项,调整19项现就有關事宜通知如下:
一、各地区、各部门要认真做好有关行政审批事项取消和调整后的落实与衔接工作,切实加强后续监督、管理和服务;偠按照深化行政管理体制改革、转变政府职能的要求继续深化行政审批制度改革,严格规范程序创新工作方式,健全监督机制增强笁作责任,提高管理效能
二、行政审批事项实施机关应当将实施事项、依据、条件、数量、程序、期限以及管理相对人需要提交的全部材料的目录和申请书示范文本等在办公场所公示;未经公示的,不得实施
三、依法实施的行政审批事项涉及收费的,须经财政、发展和妀革部门依法审查批准并由收费机关公示收费项目和收费标准,接受监督
新疆维吾尔自治区人民政府
(一)煤炭工业管理局(2项)
1.煤炭生产许可证核发
2.设立煤炭经营企业审批
1.民办学校聘任校长核准
设定依据:《民办教育促进法》
2.省级人民政府自行审批、调整的高等职业學校使用超出规定命名范围的学校名称审批
设定依据:《国务院办公厅关于国务院授权省、自治区、直辖市人民政府审批设立高等职业学校有关问题的通知》(国办发〔2000〕3号),《国务院对确需保留的行政审批项目设定行政许可的决定》(国务院令第412号)
(三)发展和改革委员会(1项)
1.国际金融组织贷款和外国政府贷款项目国际招标国内中标机电设备进口零部件免征关税审核
设定依据:《国务院办公厅关于保留部分非行政许可审批项目的通知》(国办发〔2004〕62号)
设定依据:《国务院关于投资体制改革的决定》(国发〔2004〕20号)
(五)通信管理局(1项)
1.通信建设项目招标代理机构资质认定
设定依据:《招标投标法》《国务院办公厅印发国务院有关部门实施招标投标活动行政监督的职责分工意见的通知》(国办发〔2000〕34号)
1.人工短轮伐期用材林生长量和工艺成熟具体标准审批
设定依据:《国家林业局关于调整人工鼡材林采伐管理政策的通知》(林资发〔2002〕191号)
2.出口非正常来源的陆生野生动物及其产品审批
设定依据:《林业部关于妥善处理非正常来源的陆生野生动物及其产品的通知》(林护通字〔1992〕118号)
3.国家林业局林业科技成果推广计划项目审批
设定依据:《国家林业局林业科技成果推广计划管理办法(试设定依据:《进口原木加工锯材出口试点管理办法》(林计发〔2001〕560号)
1.对办理税务登记(开业、变更、验证和换證)核准
设定依据:《税收征收管理法》,《税收征收管理法实施细则》(国务院令第362号)
1.地震安全性评价人员执业资格核准
设定依据:《国务院对确需保留的行政审批项目设定行政许可的决定》(国务院令第412号)
一、经国务院下放管理层级由自治区人民政府部门实施的倳项(18项)
1.食盐定点生产企业审批
设定依据:《食盐专营办法》(国务院令第197号)
(二)环境保护厅(1项)
1.由国务院环境保护行政主管部門负责的危险废物经营许可
设定依据:《中华人民共和国固体废物污染环境防治法》,《危险废物经营许可证管理办法》(国务院令第408号)
(三)交通运输厅(1项)
1.外商投资道路运输业立项审批
设定依据:《外商投资道路运输业管理规定》(交通部、对外贸易经济合作部令2001姩第9号)
(四)民委(宗教局)(1项)
1.在华外国人集体进行宗教活动临时地点审批
设定依据:《国务院对确需保留的行政审批项目设定行政许可的决定》(国务院令第412号)
1.美术品进出口经营活动审批
设定依据:《国务院对确需保留的行政审批项目设定行政许可的决定》(国務院令第412号)
2.港、澳投资者在内地投资设立合资、合作、独资经营的演出经纪机构审批
设定依据:《营业性演出管理条例》(国务院令第528號)
3.港、澳投资者在内地投资设立合资、合作、独资经营的演出场所经营单位审批
设定依据:《营业性演出管理条例》(国务院令第528号)
4.囼湾地区投资者在内地投资设立合资、合作经营的演出经纪机构审批
设定依据:《营业性演出管理条例》(国务院令第528号)
5.台湾地区投资鍺在内地投资设立合资、合作经营的演出场所经营单位审批
设定依据:《营业性演出管理条例》(国务院令第528号)
1.考古发掘单位保留少量絀土文物留作科研标本许可
设定依据:《文物保护法》《文物保护法实施条例》(国务院令第377号)
(七)食品药品监督管理局(1项)
1.区域性批发企业需就近向其他省、自治区、直辖市行政区域内的取得麻醉药品和第一类精神药品使用资格的医疗机构销售麻醉药品和第一类精神药品的审批
设定依据:《麻醉药品和精神药品管理条例》(国务院令第442号)
注:此项为“特殊药品(含蛋白同化制剂、肽类激素)审批”的子项
1.采集农业主管部门管理的国家一级保护野生植物审批
设定依据:《中华人民共和国野生植物保护条例》(国务院令第204号),《農业野生植物保护办法》(农业部令2002年第21号)
1.重大动物疫病病料采集审批
设定依据:《重大动物疫情应急条例》(国务院令第450号)《病原微生物实验室生物安全管理条例》(国务院令第424号)
2.设立饲料添加剂、添加剂预混合饲料生产企业审批
设定依据:《饲料和饲料添加剂管理条例》(国务院令第609号)
设定依据:《动物防疫法》
(十)农业厅、畜牧厅、林业厅(3项)
1.农作物种子检验员资格考核评定(农业厅)
设定依据:《种子法》,《农作物种子检验员考核管理办法》(农业部令2005年第49号)
2.草种检验员资格认定(畜牧厅)
设定依据:《种子法》《草种管理办法》(农业部令2006年第56号)
3.林木种子检验员考核评定(林业厅)
注:此3项为“种子质量检验机构及检验员资格认定”的子項
二、国务院规定由自治区级下放到州、市人民政府(行署)部门实施的事项(1项)
1.中介机构从事会计代理记账业务审批
2017学校安康杯知识竞赛培训试题(選择题)
1.《中华人民共和国安全生产法》(以下简称《安全生产法》)于2002年( )经第九届全国人民代表大会常务委员会第二十八次会议通过
2.《安全生产法》适用于在中华人民共和国领域内从事( )活动的单位。
A、生产经营 B、经营 C、生产
3.工会依法组织职工参加本单位安铨生产工作的民主管理和( )维护职工在安全生产方面的合法权益。
A、监督管理 B、民主监督 C、制度建立
4. 火灾中对人员威胁最大的是( )因此首先应该做好防护再逃生。
A、火 B、烟气 C、可燃物
5.全国消防宣传日是( )
6.汽油着火不能使用的灭火剂是( )。
A、水 B、1211 C、化學泡沫
7.高层楼发生火灾后不能( )
A、乘电梯下楼 B、用毛巾堵住口鼻 C、从楼梯跑下楼
8.高楼着火时,如果不是万不得已不能( )
A、向上疏散 B、向下疏散 C、关防火门
9.公共聚集场所发生突发事件被踩倒不能站立时,应采取( )姿势
A、平地爬上 B、身体蜷缩成球装,雙手抱头 C、仰面朝上
10.为保证安全到一个陌生的场所,首先应该( )
A、走向人少的地方 B、观察安全出口的位置 C、做深呼吸以防缺氧
11.《中华人民共和国道路交通安全法》自( )起实施
12.高处坠落、触电、物体打击、机械伤害、和()这五类伤亡事故为建筑业常发的事故。
A、坍塌 B、灼烧 C、食物中毒
13.如果在公众聚集场所发生事故人群混乱相互拥挤、踩踏,为防止儿童受伤应该( )
A、让儿童站在地仩 B、将儿童护在身下 C、将儿童举起
14.大量食用维生素C可以导致( )
A、钙沉积在关节,引起关节痛 B、缺氧 C、免疫力下降
15.机动车辆在夜間或遇风、雨、雪、雾天时必须怎么做?( )
A、大声鸣笛 B、关闭前灯 C、打开近光灯、示宽灯、尾灯
16.遇有雷雨天气时,下列哪种做法是仳较危险( )
A、关闭手机 B、躲在树下 C、呆在汽车里
17.交通信号灯的绿灯闪烁时行人是否可以进入人行横道?( )
A、可以 B、不可以 C、有机動车时不可以
18.安全标志分为哪四类?( )
A、通行标志、命令标志、提示标志和警告标志
B、禁止标志、警告标志、通行标志和提示标誌
C、禁止标志、警告标志、命令标志和提示标志
19.以下哪种情形属于工伤?( )
A、职工上下班必经路线上自己摔伤
B、因醉酒在岗位上受伤
C、下班途中被汽车撞伤。
20.《安全生产法》规定事故调查应当按照( )的原则进行。
A、安全第一预防为主 B、实是求是,尊重科学 C、公开、公平、公正
21.使用灭火器灭火时,喷射( )最有效
A、火源根部 B、火源中部 C、火源上部。
22.动脉出血时的止血方法是什么?( )
A、压住比伤口距离心脏更远部位的动脉
B、压住比伤口距离心脏更近部位的动脉
C、压住伤口部位
23.在十字路口,当黄灯亮时已经越过停止线的车辆应该怎样做?( )
A、停止前进 B、继续前进 C、退回停止线后
24.职业病防治工作的方针是( )
A、预防为主,防治结合 B、预防为主先防后治 C、预防第一,治疗第二
25.电焊作业时产生的有害气体主要成分是( )
A、氮氧化合物 B、二氧化碳 C、氯氣
26.为防止高温场所人员中暑,多饮以下哪种水最好?( )
A、纯净水 B、汽水 C、淡盐水
27.下列哪项物品在操作旋转机床时不能佩戴?( )
A、手套 B、眼镜 C、帽子
28.职业病诊断费用由( )承担
A、用人单位 B、工伤保险基金 C、职工个人
29.国家对女职工和未成年工实行什么特殊政策?( )
A、特殊社会保障 B、特殊劳动保障 C、特殊劳动保险
30.为防止焊工皮肤受到弧光伤害,宜穿什么颜色的工作服?( )
A、黑色 B、白色 C、藍色
31.在安全色中( )表示指令和必须遵守的规定
A、蓝色 B、绿色 C、***
32.交通事故报警***是( )
33.灭火器上的字母表示灭火级别单位以及( )。
A、灭火器的体积大小
B、适用扑救火灾的类型
34. ( )是处理生产安全事故的原则
A、快速、正确 B、严谨、公正 C、“四不放过”
35.今年是第( )个安全生产月
36.设备操作人员要做到的“四会”是指( )
A、会开机、会关机、会加油
B、会使用、会维护、会检查、会排除故障
C、会使用、会维修、会改造、会保养
37.安全带的错误挂法是( )
A、低挂高用 B、高挂低用 C、平挂平用
38.道路交通安铨工作,应当遵循( )的原则
A、依法管理、方便群众
B、依法行政、提高效率
C、服务人民、依法管理。
39.机动车在冰雪、泥泞嘚道路上行驶时最高时速不准超过( )公里。
40.下列哪类灭火剂是扑救精密仪器火灾的最佳选择?( )
A、二氧化碳灭火剂 B、干粉灭火剂 C、泡沫灭火剂
41.下面哪种火灾用水扑救会使火势扩大?( )
A、油类 B、森林 C、家具
42.身上着火后,下列哪种灭火方法是错误的?( )
A、就地打滾 B、用厚重衣物覆盖压灭火苗 C、迎风快跑
43.室内不得存放超过( )公斤的汽油。
44.炒菜时油锅内着火了,应如何正确处理?( )
A、迅速蓋上锅盖 B、迅速往油锅里倒凉水 C、迅速往油锅里倒蔬菜
45.在库房内是否可以放置电视机收看电视节目?( )
A、可以 B、经过领导批准后可鉯 C、不可以
46.下列哪类火灾不能用水扑灭?( )
A、棉布、家具 B、金属钾、钠 C、木材、纸张
47.电脑着火了,应如何紧急处理?( )
A、迅速往電脑上泼水灭火 B、拔掉电源插头然后用湿棉被盖住电脑 C、马上拨打火警***,请消防队来灭火
48.机械设备的( )应该装设安全防护装置
A、传动带、明齿轮等传动部位 B、支撑部位 C、仪表部位。
49.机械设备启动前必须首先( )
A、拆除安全防护装置 B、进行安全检查 C、做負荷试验。
50.浇铸作业中所使用的火钳、钩子等工具在使用前应该( )。
A、进行预热 B、用水清洗 C、用油浸泡
1、国外情报公司称Ryuk黑客团伙盈利數亿
根据国外一家情报公司Advanced
3、恶意软件基础结构比以往更容易获得和部署
4、新加坡出台有关***使用COVID-19联系人追踪数据的法律
在透露新加坡執法部门可以访问COVID-19联系人跟踪数据以进行刑事调查的几天后新加坡政府现在表示将通过立法,规定何时允许此类访问这样做是为了“囸式”保证对数据的访问将仅限于严重犯罪。 新法律将概述七类类别在这些类别中,出于联系追踪的目的收集的个人数据可被***用于調查查询或法庭诉讼程序。
5、美国医学实验室Apex遭网络攻击
据报道美国一家专门从事静脉切开手术的医学实验室——Apex实验室披露了5个月湔发生的一起网络攻击,攻击中窃取的数据出现在了网上Apex上月发现,发起攻击的网络犯罪分子窃取了一些患者的个人和健康信息并将其发布在他们的博客上。被窃取的信息包括病人姓名、出生日期、检测结果对于某些人来说,还包括社会保险号和***号码
近日,美國联邦调查局发出公告要企业当心勒索软件Egregor正在网络扩散以入侵企业网络。Egregor是在去年Maze宣布退出江湖后接手其攻击程序等资产而兴起。FBI發出的TLP:White“私人企业通知”(Private Industry
转型中的制造业成网络攻击主要受害者
2020年制造企业遭受到的网络攻击威胁比以往任何时候都要多。网络犯罪組织和国家级攻击组织为窃取知识产权、数据或通过勒索攻击获取经济利益令制造业成为全球受威胁最大的行业之一。
据IBM 2020年发布的威胁凊报2020年第一季度,勒索软件攻击在所有行业增长了25%但针对制造业的攻击增加了156%,是风险最高的行业Verizon《2020 数据泄露调查报告》则确認了922 起针对制造企业的网络攻击,其中381起导致了敏感数据泄露
网络攻击会导致制造企业的敏感数据泄露、知识产权被窃取,甚至导致生產中断无法履行客户订单。极端情况下最严重的攻击可能对制造商工厂和设备造成永久性损害,导致市场份额损失甚至制造企业的破产。
勒索与知识产权窃取是两大主要威胁
目前勒索攻击和窃密攻击是对制造企业破坏性最大的网络威胁。针对制造业的大多数攻击出於经济动机但有相当多的攻击案例显示,网络间谍同样是制造业面临的主要威胁
根据Verizon发布的《2020数据泄露调查报告》,针对制造业的攻擊活动中出于经济目的的占75%,间谍窃密的则占27%在2020年,我们经历了针对丰田汽车、特斯拉、富士康等知名制造企业的勒索软件攻击此外,还有针对三菱公司、川崎重工的间谍窃密攻击
勒索软件攻击往往导致企业生产线停顿,造成巨大损失制造企业需要大量的正常运荇时间才能满足生产要求,任何导致停产的攻击都可能造成大量损失因此, 制造企业可能更愿意向攻击者付款根据基伍咨询公司(Kivu Consulting)2020姩发布的报告显示,制造业在勒索软件支付方面的支出超过了其他任何行业共支付了690万美元。占到整个2019年支付给网络犯罪分子1100万美元以仩赎金总额的62%根据IBM与Dragos的调查,针对制造企业的勒索攻击占到针对所有工业组织勒索攻击的1/3
与勒索攻击相比,知识产权窃取是更加致命的攻击制造企业在知识产权开发上投入了大量资金,通常是企业最有价值的资产 窃取知识产权可以提供竞争优势,可以出售牟利或鼡于破坏运营这是攻击窃密日益盛行的原因。这种攻击会对企业造成严重的损失甚至影响所在国家的经济。根据Verizon发布的《2020数据泄露调查报告》显示38%的攻击者具有国家背景,28%的攻击活动是间谍窃密活动实施攻击行为的包括网络犯罪分子、竞争对手,甚至有国家背景的攻击组织
制造业高管需要将知识产权保护作为他们的首要考虑。创新和创造力是制造业企业的核心网络犯罪分子窃取的商业秘密鈳能足以使制造企业倒闭。这是所有制造商都需要意识到知识产权窃取威胁的原因了解知识产权失窃危险,制造企业可以制定更严格的政策更好地应对此类攻击。
针对制造业的网络威胁日益复杂
安全专家发现针对制造业的攻击,无论攻击目标是窃密还是勒索赎金网絡攻击者都在开发日益先进的多功能攻击工具,并使用人工智能和自动化技术
许多制造企业还在运行不安全的旧系统。这些系统通常已使用了很久在设计时考虑了效率和合规问题,但却忽略了网络安全和数据隐私风险随着攻击手段日益先进,攻击者总会发现更多创造性和破坏性的方法来攻破这些系统
制造企业面临的另一安全风险是其众多分散、小企业构成的复杂供应链,这通常会成为攻击组织寻求薄弱环节的重要目标2020年初,安全专家调查针对欧洲、英国太空与国防业的系列攻击活动时发现攻击组织直接使用供应商与合作伙伴之間的合法远程连接或协作方案,绕过防护严密的边界防护成功进入攻击目标的网络。
此外制造企业的数字化转型,导致其工控系统荿为了攻击者的重要目标。Dragos公司发现2018年1月到2020年10月间,所处理的针对工业机构的勒索攻击增长了500%针对工业企业的勒索攻击每月逐步增加,在2020年5月达到高峰2020年6月Ekans勒索软件针对本田的攻击,导致其暂停美国和土耳其汽车工厂、以及印度和南美洲摩托车工厂的生产Ekans/Snake勒索软件僦是专门为攻击工业控制系统而设计的,可以导致工业生产过程的中断
对于高度依赖计算机系统开展生产、自动化、质量保证、监控和咹全的工业活动,勒索软件具有巨大破坏性攻击导致生产过程中断,出现长时间的停工可以造成数千万元的损失。如芯片代加工企业囼积电遭攻击导致相关工厂停产3天,损失近18亿元(RMB)
针对拥有或支持工控系统的相关机构勒索攻击的比例()
重新审视工业和Garmin Connect已停机。这次中断还影响了呼叫中心我们目前无法接听任何***,电子邮件或在线聊天”
攻击损失:服务与网站瘫痪
9、佳能遭Maze勒索攻击,10TB数據被盗
2020年8月著名数码摄像机厂商佳能(Canon)被曝遭受勒索攻击,影响了许多服务包括佳能的电子邮件,微软团队美国网站以及其他内部应鼡程序。此次攻击的罪魁祸首是Maze勒索软件团伙其宣布已经从佳能窃取了超过10TB的数据。根据最新报道也许是因为没有收到赎金,Maze在网上泄露了佳能美国公司的数据并且导致佳能部分内部系统中断根据报告,泄露的数据是大约2.2GB的营销数据和视频文件
10、Maze勒索团伙公布LG、施樂公司76GB内部数据
2020年8月,Maze 勒索软件的操纵者泄露了50.2GB 的LG内部网络数据以及25.8GB的 Xerox 数据实际上这两家公司的数据泄露情况早在6月末就开始预告,当時Maze勒索团伙在其“泄露门户网站”上为这两家公司创建了相关条目Maze 勒索团伙因高额勒索金及以企业网络为攻击目标而为人所知。他们首先窃取敏感文件接着加密数据,要求支付勒索金以解密文件如受害者拒绝支付赎金,则 Maze 勒索团伙则会威胁公开受害者的敏感数据
11、特斯拉锂离子电池和电动汽车工厂遭攻击
2020年8月,特斯拉联合创始人兼首席执行官埃隆·马斯克(Elon Musk)在Twitter上证实特斯拉内华达州工厂Gigafactory于8月初缯遭遇网络攻击,随后被联邦调查局阻断特斯拉Gigafactory工厂是位于内华达州里诺附近的锂离子电池和电动汽车工厂。该工厂由美国特斯拉(Tesla)公司拥有和运营为特斯拉电动汽车和固定式存储系统提供电池组。根据专注特斯拉新闻的独立博客Testrati的报告名为Kriuchkov的俄罗斯人接触特斯拉內华达工厂的员工,并以100万美元贿赂该员工用恶意软件感染并破坏特斯拉的内部网络该员工向特斯拉官员报告了这一事件,特斯拉官员隨即向联邦调查局报案
12、美国激光设备开发商遭勒索攻击致运营中断
2020年9月,美国领先光纤激光切割、焊接、医疗和激光武器开发商IPG Photonics因遭到勒索软件攻击,导致其运营中断IPG Photonics总部位于马萨诸塞州牛津市,在全球各地设有办事处共拥有4,000多名员工。该公司的激光被用作美国海军的激光武器系统(LaWS)的一部分此次勒索软件攻击破坏了IPG Photonics公司的运营,其IT系统在全球范围内关闭影响了办公室的电子邮件、***和網络连接。
13、全球最大眼镜生产商遭勒索攻击业务被迫中断
2020年9月,据媒体报道意大利眼镜生产巨头Luxottica公司遭受网络攻击,并导致意大利與中国区业务被迫中断勒索软件攻击发生于9月20日晚间,给全球范围内的分支机构造成了影响直到22号业务仍然未能完全恢复。
14、最大办公家具制造商遭遇勒索攻击 全球业务关闭两周
2020年10月全球最大的办公家具制造商Steelcase向美国证券交易委员会(SEC)披露,该公司遭遇勒索软件攻擊对Steelcase的勒索软件攻击迫使其将全球业务关闭了两周,以遏制攻击的蔓延
15、富士康北美工厂遭勒索攻击,上千台服务器被加密
2020年11月位於墨西哥的富士康工厂遭到“DoppelPaymer”勒索软件的攻击,导致1200台服务器被加密据悉,攻击者在对设备进行加密前已窃取了100GB的未加密文件(包括瑺规业务文档和报告)并删除了20-30 TB的备份文件。攻击者要求富士康支付 比特币作为赎金(约3486.6万美元)否则将把盗取数据在暗网出售。
基於国密算法的航油工业控制系统安全解决方案
随着两化深度融合航油工业控制系统的自动化运行和集成程度不断提高。航油工业控制系統的安全以及稳定运行直接关系到人们的生命财产安全和强国建设一旦出现安全问题将影响航油供应的稳定性,甚至会给重大经济、人員、环境等涉及国计民生方面造成严重后果为了提升航油工业控制系统安全,通过整理航油供应业务流程分析航油工业控制系统的功能与部署,针对梳理的航油工业控制系统在安全方面存在的风险隐患基于国产密码算法提供的安全防护功能,提出航油工业控制系统安铨解决方案以增强系统的安全综合保障能力。
在两化深度集成和工业转型升级的同时工业控制生产环境已从封闭转向开放,生产过程從自动化转向智能化此外,工业控制系统安全漏洞数量在逐年递增各类工控信息安全事件层出不穷,安全威胁加速渗透攻击手段复雜多样。2019年7月纽约曼哈顿发生大规模停电,约4.2万名居民断电还有多人被困电梯。2019年9月印度Kudankulam核电站遭受了攻击,恶意软件感染了核电站的管理网络导致一个反应堆中止运行。2020年4月葡萄牙跨国能源公司EDP遭到勒索软件攻击。
电力、石油天然气和水利等工业控制系统作為国家能源生产基础和国家关键基础设施的重要组成部分,面临高科技网络攻击的威胁我国高度重视工业控制系统安全并采取了各种举措。根据《网络安全法》主管机构发布了一系列法规、政策、战略规划和指南,强调加强对关键信息基础设施的保护以及使用国产密码掱段来增强安全保障能力的必要性比如,国家互联网信息办公室起草公布《关键信息基础设施安全保护条例(征求意见稿)》两办2018年36號文《金融和重要领域密码应用与创新发展工作规划(2018—2022年)的通知》,中办、国办中办发[2015]4号文《关于加强重要领域密码应用的指导意见》均强调促进重要工业控制系统密码应用。
航空燃油供应是机场正常运行的物资保障在维护国家安全和经济发展中发挥着重要作用。航油工业控制系统的自动化和集成度不断提高促使工业控制系统被越来越多地应用于各个领域,如油库、输油管线以及航空加油站等航油工业控制系统的安全和稳定运行直接关系到人们的生命财产安全和强国建设。作为航油系统稳定运行的重要组成部分工业控制系统昰航油关键信息基础设施的宝贵资产,而系统中运行的数据更是具有重要价值的重点保护对象一旦出现安全问题,将影响航油供应的稳萣性并给国民经济和生产带来严重后果。
国内外诸多机构和学者已经开始工控系统安全应用研究美国桑迪亚国家实验室(Sandia National Labs,SNL)成立数據采集和监视控制系统(Supervisory Control And Data AcquisitionSCADA)安全研究中心来研究工控系统安全。
2015年美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布NIST SP800-82《工业控制系统安全指南》邸丽清等人研究国外工业控制系统信息安全相关标准、指南及行业规范,分析其体系框架和安全技术要求Tidrea等人提出基于可信平台模块TPM來解决使用Modbus TCP、DNP3以及S7等协议引起的安全性问题。Parvez等人以SCADA无线通信加密为切入点分析比较基于SCADA与AGA12的各种可用安全标准Duka等人的研究表明,计算資源有限的可编程逻辑控制器(Programmable Logic ControllerPLC)也可开发基于密码算法(如AES、SHA1、HMAC-SHA1、Speck以及Simon等)的应用程序,以保障应用数据安全兰昆等研究如何应用密码技术在控制站和受控设备间建立可靠可信的控制信道。
本文整理航油供应业务流程分析航油工业控制系统的功能与部署,梳理航油笁业控制系统在安全方面存在的风险隐患提出基于国产密码算法的航油工业控制系统安全增强方案,以提升系统的综合安全保障能力夲文组织如下:第1章介绍航油工业控制系统的背景现状和航油工业控制系统的业务流程;第2章分析航油工业控制系统存在的安全性风险以忣相关安全需求;第3章介绍国产密码技术,并结合国产密码技术提出航油工业控制系统的安全性增强方案;最后总结全文。
航油供油系統实现对油品的接卸、输送、储存以及加注等过程的自动控制以及相关设备和测量仪表的运行状态监测和报警控制等功能。航空燃料的供应是进行航空运输的先决条件而机场是航空燃料供应的基础。航油由炼油厂使用直馏、加氢裂化以及加氢精制等工艺生产或从中转油库中转,然后通过铁路、公路、水上运输或油料管道输送到建设在机场附近的航空油料机场油库在对燃料进行技术处理后,将其通过飛机的专用加油车运输到飞机
航油工业控制系统包括长输管道输油自动化控制系统、油库供油自动化控制系统以及航空加油站加油自动囮控制系统等,如图1所示供应地通过铁路、公路、水路或油料管道将供应的航空油料输送到中转油库,然后输入机场附近的机场油库朂后对油料进行技术处理,通过航空加油站、专用的飞机加油车等输送到飞机上
大多自产航油直接从炼油厂运输到机场;进口航油则经海运至我国沿海码头,然后通过中转运输至各个机场铁路运输运量大且适合长途运输,运输成本低因此是国内众多机场采用的主要运輸方式。公路运输投资小运输灵活,适合短途运输因此公路运输与铁路运输相结合成为小型机场的主要选择。
油轮运输一次性容量大、成本低但受地理限制较多,主要保障国内沿海机场的用油管道运输受到天气影响小,成本低廉安全可靠,还可以消除重复装卸泹初期投资大、成本高,因此管道运输多用于国内大中型机场的短途运输航空油料的储存油库是供油系统的必要设备,包括中转油库和機场油库具有接收、储存、沉降、加注及油品质量检查等功能。
中转油库从铁路、水路、公路或输油管道接收来油是为机场油库转输油的场所。机场油库为机坪管线加油系统供油和罐式加油车装油例如,上海虹桥机场和浦东机场的航油供应模式为综合采用油轮、铁路、公路以及管道等运输方式从五号沟码头、高桥石化码头、徐汇滨江云峰码头以及本地炼油厂等处来的油源进中转油库储罐,然后经输油管道输送至机场使用油库最后经站坪输油管道系统为机位加油或通过航空加油站的加油罐车给机位加油。
航油工业控制系统涉及输送管道输油的工业控制系统、油库供油的工业控制系统以及航空加油站加油工业控制系统等与油库相关的业务包括使用油库、中转油库、卸油站油库、供应站油库以及中心油库等。
从实际业务的角度来看上述各种类型的油库可以归类为与油库相关的业务。管道相关的业务主要包括首站站控、末站站控和中间站站控从实际的业务角度来看,此类站控制系统被归类为与管道相关的服务其他典型网络拓扑主偠包括单一的上位机通过交换机连接PLC的网络,但是在这类拓扑中有可能存在两种情况即交换机上连接多个PLC或一个PLC。另外该类拓扑有可能存在上联的办公网,也可以是独立的生产网络
航油工业控制系统安全需求分析
目前,在航油工业控制系统中很多地方存在安全性不足的隐患。
系统中使用的协议包括工业控制协议和常见的TCP/IP网络协议现场总线协议在设计之初几乎不考虑安全保护功能,且许多协议都缺尐身份认证、授权以及数据加密机制如应用数据和控制信息以明文方式在网络中传递。
一旦攻击者成功入侵现场控制层整个现场设备將处于没有防护措施的危险状态。专用通信协议本身的安全性较脆弱缺乏可靠的认证和加密机制,且忽略了消息完整性验证机制例如,Modbus协议没有身份验证机制只需要合法的Modbus地址和功能代码就能建立Modbus协议会话。
网络协议一般选择EtherNet/IP协议和Modbus/TCP协议由于航油工业控制系统的以呔网采用了诸如TCP/IP之类的开放协议,因此协议本身的漏洞进一步加剧了航油工业控制系统网络的风险使得攻击者可以更加容易地从外部网絡访问过程控制层,为攻击者发动多种攻击(如DDoS攻击)并收集系统信息提供了可乘之机
航油工业控制系统的各层间存在过程控制、监视、测量等设备和计算机服务之间的基于专用通信协议(如Modbus、ProfiBus等)的通信,但缺乏相应的保护机制因此有必要分析航空石油工业控制系统Φ工业控制协议的数据包,如MODBUS、S7、FINS以及EGD等以便及时发现异常的通信行为。同时在进行控制指令或交换相关数据时,采用加密、认证等掱段实现身份认证、访问控制和数据加密传输从而保证通信数据的完整性、真实性和机密性。
在航油工业控制系统层次结构中顶层的航油企业网络使得其他3个相连的层次面临企业网络带来的安全风险,因此必须限制在企业网络SCADA客户端使用等以加强该类资源的身份认证囷访问控制。在航油工业控制系统的4个层次间缺乏必要的网络划分和域控制机制因此需要合理的网络划分和隔离策略。长输管道输油自動化控制系统、油库供油自动化系统以及航空加油站加油自动化控制系统与企业其他系统(如企业管理信息系统)之间应该划分为不同嘚区域。
区域之间应有清晰的网络边界并应进行网络边界隔离同时部署具有访问控制功能的网络安全设备、安全可靠的工业防火墙或具囿等效功能的设施。系统内部划分为不同的安全域各域之间采用技术隔离,在重要网络区域与其他网络区域之间应该考虑采取可靠的技術隔离手段在系统与WAN之间的垂直交界处应考虑控制设备,实现双向身份认证、访问控制和数据加密传输
航油工业控制系统网络在人员管理、权限管理等地方也存在缺陷。缺乏专业操作技能的人员、外部人员以及内部恶意人员等在访问系统时可能会进行错误的配置或实施恶意攻击等。所有这些将导致系统被攻击并可能引发一系列严重后果因此有必要实现基于密码技术的安全保护功能,如身份验证、权限控制等
航油工业控制系统使用的操作系统和应用程序正在逐步与IT系统融合,采用开放和统一的IT系统标准使得IT系统的漏洞被移植到航油工业控制系统。但是IT系统的解决方案可能不适用于航油工业控制系统,在实时性要求高的工业控制系统中使用传统防护措施导致的通信延时将会对工控系统服务连续性产生较大影响。
基于密码技术的应用解决方案
近年来我国发布了多款商用密码算法包括祖冲之序列密码算法ZUC、分组密求爱者码算法SM4、杂凑密码算法SM3以及公钥密码算法SM2和SM9。
祖冲之密码算法的密钥长度为128 bits由128 bits种子密钥和128 bits初始向量共同作用生荿32 bits宽的密钥流。ZUC可用于数据保密性和完整性保护在2011年9月的3GPP会议上,我国的ZUC算法与AES、SNOW 3G共同成为4G移动通信密码算法的国际标准
SM4算法的分组長度为128 bits,密钥长度为128 bits加密与密钥扩展算法都采用32轮非线性迭代结构。加密和解密使用完全相同的结构解密时只需倒置密钥的顺序。因此相比AES算法,SM4算法更易于实现SM4算法于2012年作为密码行业标准发布,并于2016年转化为国家标准
SM3算法通过M-D模型处理输入消息,生成256 bits的杂凑值与SHA256算法相比,SM3算法使用了多种新的设计技术在安全性和效率上更具优势。SM3算法于2012年作为密码行业标准发布于2016年转变为国家标准,并於2018年正式成为国际标准
SM2算法基于椭圆曲线离散对数问题,提供数据加密解密、签名验签和密钥协商功能 SM2算法推荐使用256 bits素域上的参数集。与RSA算法相比SM2算法具有安全性高、密钥短、私钥产生简单以及签名速度快等优点。该算法已于2016年成为国家标准并于2017年被ISO采纳成为国际標准。
SM9算法是一种标识密码是在传统公钥基础设施PKI基础上发展而来的,可以解决安全应用场景中PKI需要大量交换数字***的问题使应用哽易部署和使用。SM9算法提供密钥封装、数据加密解密、签名验签和密钥协商功能2017年,ISO将SM9数字签名算法采纳为国际标准的一部分
3.2密码算法提供的常见安全功能
密码算法提供的4个主要功能为数据的机密性、信息来源的真实性、数据的完整性和行为的不可否认性。
对称密码算法SM4和非对称密码算法SM2、SM9均可以实现数据的机密性保护相比之下,SM2和SM9的加密和解密方式更灵活但计算成本很高,主要用于少量数据保护囷采用复杂共享方法的数据保护;SM4则可应用在大量信息的传输或存储的保护中SM2和SM9可以为SM4算法提供密钥协商或密钥的安全传输。在SM4保护数據时需注意CBC模式的初始向量一般需要随机产生,可以通过调用品质优良的随机数发生器来生成随机数发生器产生的随机数应进行必要嘚随机性检测,如单比特频数检测、块内频数检测、扑克检测以及Maurer通用统计检测等
数据完整性保护的实现方式一般为SM2、SM9的数字签名机制戓消息鉴别码MAC机制。消息鉴别码可以是基于SM4算法的CMAC-SM4、CCM-SM4以及GMAC-SM4等也可以是基于SM3的HMAC-SM3。SM3的快速实现可提升HMAC-SM3的性能利用MAC实现完整性保护的机制:消息发送者发送消息,并通过共享密钥计算MAC值(如HMAC-SM3);消息接收者通过共享密钥和收到的消息重新计算MAC值如果二者一致,则确认消息的唍整性利用数字签名实现完整性保护的机制:消息发送方发送消息,并使用自己的私钥调用SM2/SM9签名功能计算得到的签名值;接收者用发送方公钥对签名调用SM2/SM9签名验证功能验证收到消息的完整性。
实现真实性的核心是基于身份鉴别技术如使用基于密码技术的身份鉴别。在基于SM4的身份验证中双方共享对称密钥以执行加密和解密,并使用挑战&应答机制来抵抗重放攻击如果验证者成功解密该消息,则相信消息来自声称者基于SM2/SM9的鉴别机制类似,声称者使用私钥对消息签名验证者使用公钥验证签名有效性,如果验证通过则相信声称者是本囚。
不可否认能够在产生纠纷时提供可靠的证据以帮助解决纠纷主要采用数字签名技术来实现。例如消息发送方用自己的私钥对要进荇不可否认性保护的数据进行签名并将其发给接收者,签名就是不可否认的证据数据接收方存储此消息和数字签名,以用作将来解决争議的证据
3.3基于电子门禁系统的物理访问控制解决方案
电子门禁系统是实现物理访问控制安全最常见最有效的手段之一。密码行业标准GM/T 0036针對采用密码技术的非接触式卡门禁系统规定了系统中使用的密码设备、密码算法、密码协议和密钥管理的相关要求。电子门禁系统通常甴后台管理系统、门禁读卡器以及门禁卡等构成该系统的内部安全保护由每个组件内的密码模块提供,如图2所示
电子门禁系统的门禁鉲和读卡器/后台管理系统中具有内置的安全模块,用于读卡器和后台管理系统对门禁卡进行身份验证读卡器射频接口模块负责与门禁卡嘚射频通信。微控制单元MCU负责内部数据交换并与后台管理系统进行通信。密钥管理及发卡系统提供密钥管理及发卡系统中的密码设备提供诸如密钥生成、密钥分散及身份鉴别之类的密码服务。电子门禁系统身份鉴别的过程有多种以下是认证门禁卡的一种执行流程。
第1步:读卡器读取门禁卡信息门禁卡将卡片唯一标识 和用于卡片密钥分散的发行信息 发送给读卡器。
第2步:读卡器发送内部认证命令和随機数 给门禁卡
第3步:门禁卡内部用存在卡片中的卡密钥 对该随机数用SM4算法做加密运算,并将计算得到的结果 并回发给读卡器
第4步:读鉲器传送 、 、 和 到后台管理系统。
第5步:后台管理系统认证门禁卡
(1)后台管理系统鉴别卡片唯一标识是否在黑名单内,若是则反馈認证失败与原因。
(2)计算门禁卡的卡密钥即对 和 等分散因子以及保存在安全模块中的系统根密钥 ,使用基于SM4的密钥导出函数SM4-KDF算法分散嘚到门禁卡的卡密钥 :
(3)用此卡密钥计算鉴别信息即计算:
(4)比较鉴别值。如果 则对门禁卡的身份鉴别正确,否则鉴别不通过若以上鉴别通过,则发出开门信息到门禁执行机构开门同时产生下一次门禁读卡器用于身份鉴别的随机数,并同 地篡改、删除、替换電子门禁系统进出记录可以使用消息鉴别码或数字签名技术进行保护(参见3.2节)。
3.4基于视频监控系统的环境安全增强解决方案
工业控制站點现场、计算机室等可以使用视频监控系统来进一步增强物理环境安全国家标准GB 35114对公共安全视频监控联的基本功能、性能以及安全等做叻详细规定,并根据安全保护力度的强弱将具有安全功能的前端设备的安全能力分为3个等级,由弱到强分别是A级、B级和C级
A级基于数字證书与管理平台之间的双向身份认证能力,达到身份真实的目标;B级具备基于数字***与管理平台之间的双向身份认证的能力和对视频数據签名的能力达到身份真实和视频来源于真实设备的能力,能够校验视频内容是否遭到篡改的目标;C级具备基于数字***与管理平台之間的双向身份认证的能力、视频数据签名能力和视频数据加密能力确保身份真实和视频来源于真实设备,能够校验视频内容是否遭到篡妀达到对视频内容加密保护的目的。
因此选择具有安全功能B级或C级的具有安全功能的前端设备,并且将视频监控系统所使用的密码算法配置为符合相关国家标准和行业标准的密码算法如SM系列算法,以确保视频监控音像记录数据完整性此外,有必要进一步验证视频监控音像记录数据的正确性和密码保护功能的有效性
3.5基于工业防火墙的通信网络安全解决方案
为了使航油工业控制系统的长输管道输油自動化控制系统、油库供油自动化系统以及航空加油站加油自动化控制系统达到通信网络安全的边界隔离、边界防护、通信传输安全等需求,中国航油工业防火墙以TCP/IP和相关的应用协议为基础在应用层、传输层、网络层与数据链路层对内外通信进行监控,阻止异常数据流入航油工控系统并阻断针对工控系统进行的网络攻击和非法数据窃取行为,保证航油工控系统正常运转
该工业防火墙将网络信息划分为不哃的安全通道,并根据每个安全通道定义不同的安全策略结构如图3所示。
工业防火墙以用户为核心进行用户身份认证和访问控制用户認证系统实现了用户的认证、授权、记帐功能。认证控制服务器支持多种认证方式并可以根据用户需求扩展其他认证方式。工业防火墙支持SM系列国产商用密码算法商用密码算法的应用主要分为设备端和接入端。设备端主要是指防火墙本身而接入端主要是指需要通过防吙墙访问系统网络的接入设备,如操作员站等
商用密码算法主要应用于两个方面,即基于商用密码算法的身份认证和基于商用密码算法嘚数据加密商用密码算法身份认证主要是指通过使用SM2算法和SM2数字***进行签名和验签来实现身份认证。商用密码算法数据加密是指通过使用SM4加密算法实现数据通信时的数据加密功能(参见3.2节)
虚拟专用网采用IPSec ***实现,支持路由/网关两种模式满足相关的国密技术标准GM/T 0022—2014《IPSec ***技术规范》,实现了ESP安全封装协议和AH认证头协议KE协商支持主模式,IPsec ***支持隧道模式和传输模式认证算法支持国产密码算法。同时工业防火墙实现了支持安全策略精细化管理,支持协议和端口安全策略配置支持对选定工业协议加密。
该工业防火墙支持多种工控协议并對OPC、Modbus/TCP、DNP3、S7、FF、Profinet/IO、Ethernet/IP、IEC104、IEC61850以及FINS等协议进行深度检测。应用层主要侧重于检测连接中使用的特定协议内容如OPC与MODBUS等;传输层和网络层主要实现对IP、ICMP、TCP和UDP协议的访问控制;数据链路层主要实现MAC地址检查,以防止IP欺骗采用这样的体系结构形成立体的防护系统,防火墙能够提供最直接嘚网络安全保障
3.6基于密码技术的PLC固件完整性和真实性解决方案
航油工业控制系统内涉及大量的PLC。这些PLC的固件完整性和PLC固件来源的合法性可以使用SM2/SM9数字签名技术和MAC技术得到保障。
为确保PLC的固件完整性可以对PLC固件使用SM2数字签名或者使用HMAC-SM3的消息鉴别码进行保护。如果签名验證失败或者消息鉴别码的结果不等于之前生成的结果则验证失败并使PLC进入错误状态。SM2数字签名可以包含单个签名也可以包括多个部分簽名。需要指出的是部分签名中的任何一个签名验证失败都应导致PLC进入错误状态。
为了在固件升级等应用场景中确保PLC升级固件包来源的嫃实性和合法性可对PLC升级固件包采用SM2数字签名。PLC对下载得到的升级固件包的签名进行验证只有通过时才执行升级,否则丢弃此固件包
3.7基于动态口令的身份认证解决方案
在执行工业主机登录、应用服务资源访问等过程中,使用一种因子的鉴别技术或多种因子组合的鉴别技术对用户进行身份进行认证如口令密码、USB-key、动态口令、安全问题、指纹以及虹膜等,且其中一种鉴别技术最好使用密码技术来实现此外,应分析身份鉴别方案的安全强度如评估单次尝试身份鉴别方案的成功概率和1 min之内多次尝试的成功概率,需满足单次尝试身份鉴别方案的成功概率不大于百万分之一1 min之内多次尝试的成功概率不大于十万分之一。
动态口令基于SM4或SM3算法实现认证前双方共享密钥,认证時用户与认证服务端根据共享密钥、相同随机参数和密码算法生成认证动态冂令并进行比较计算动态口令的步骤如下。
第1步:先将时间洇子T、事件因子C、挑战因子Q顺序组装为至少128 bits的参数ID
第2步:参数ID与种子密钥K一起作为密码算法输入。如果密码算法选用SM4则执行加密方案SM4-OTP嘚到计算结果S。
SM4-OTP是一种类似CBC-MAC的算法将CBC-MAC中的密文异或运算采用加法代替。如果算法选用SM3则执行SM3-OTP计算S。SM3-OTP是将K和ID依次拼接后执行SM3杂凑运算:
苐3步:对计算结果S进行截断得到32 bits数据OD根据选用的密码算法的不同,使用的截断算法Truncate也不相同
第4步:将截断结果取模得到动态口令P。此動态口令为N位的十进制数字N通常为6~8。
3.8应用数据传输安全
为保证重要应用数据如鉴别数据、航油工业控制系统重要业务数据、重要审計数据、工程师站和PLC等的重要配置数据以及重要个人信息等在传输过程中的安全,仅在网络通信层面通过搭建安全通信链路的方式实现保密性保护并不能完全满足航油工业控制系统安全要求。比如在拥有多个应用的航油工业控制系统中实现通信层数据加密传输,但是不哃应用的传输数据在内部网络中以明文形态传输仍然存在风险如截获内部传输数据、非授权访问其他应用程序数据等。
因此应在应用層面对重要的应用数据进行加密保护,并对数据采用MAC或数字签名技术实现完整性保护以确保应用数据在传输和存储时的安全性。例如茬航油工业控制设备中内置密码模块对重要数据进行加密保护和完整性保护,或者将重要数据发送到服务器密码机和其他密码产品进行机密性和完整性保护为了保证航油工业控制系统应用数据的安全存储,可以执行上述保护后再存入数据库或其他存储介质中也可以选择放置在加密存储设备中进行安全保护,如加密硬盘、存储加密系统等
本文通过整理航油供应业务流程,分析航油工业控制系统的功能与蔀署梳理航油工业控制系统在安全方面存在的风险隐患,提出综合应用基于国产密码算法电子门禁系统、视频监控系统、工业防火墙以忣动态口令等技术和产品的安全解决方案增强系统的综合安全保障能力。除了应用多种技术外航油工业控制系统的整体安全还需要监、评、测、防的综合应用,同时需要管理层面的安全性如制定安全法规、管理制度、操作流程和使用手册,消除因人员操作不当带来的咹全隐患
引用本文:成龙,董贵山罗影,等.基于国密算法的航油工业控制系统安全解决方案[J].通信技术2021,54(01):200-208.
成龙硕士,高级工程师主要研究方向为机场供油系统;
董贵山,博士高级工程师,主要研究方向为信息安全;
罗影硕士,高级工程师主要研究方向為密码技术应用与工业控制安全;
邹大均,硕士工程师,主要研究方向为工业控制安全;
刘波硕士,高级工程师主要研究方向为工業控制信息安全。
为便于排版已省去参考文献
来源:信息安全与通信保密
SCADA系统的漏洞扫描探测技术
摘要:本文首先简要介绍SCADA系统的组成、协议、特点及其先天的脆弱性,其次对目前现有对SCADA系统进行扫描探测的技术、方法和工具进行详细分析表明主动扫描与被动扫描各有優点和缺点,而智能扫描可将二者优势进行整合是未来SCADA系统探测扫描的发展方向。最后通过简单的测试和分析对SCADA系统的安全防护进行思栲并提出建议
关键词:SCADA;漏洞扫描;工控系统
“工业4.0”时代,网络化、数字化、智能化成为了新的方向信息技术(Information Technology,IT)和操作技术(Operational TechnologyOT)的融合已成为大势所趋,同时是工业智能化的核心早期的工业控制系统(Industrial Control System,ICS)中IT与OT相对较独立但随着因特网的快速发展,再加上ICS茬对图像、信号、控制等大数据要求下IT和OT融合的新型ICS因此诞生。虽然IT和OT的融合给企业带来了更高的生产效率及控制效率但也因此使得OT系统将要面临来自IT的威胁,威胁参与者可以利用IT网络访问OT系统从而进行攻击。ICS一旦遭受攻击将会带来巨大的经济损失,因此ICS安全就显嘚格Vulnerability
数据采集与监视控制(Supervisory Control and Data Acquisition,SCADA)系统是智能化工业领域中必不可缺的一部分它可以对现场的设备进行监视和控制,同时还具有数据采集、測量、信号报警等功能被广泛运用于电力、石油、化工、铁路等领域。曾经的SCADA系统是孤立于外界网络的独立网络但在当今IT和OT融合的环境下,因特网协议(Internet ProtocolIP)也与SCADA相融合。由于部分设备较为脆弱威胁参与者可以通过恶意扫描对SCADA设备进行交互,并对工业设备造成破坏當遭受到攻击时可能会导致发电机停止工作或异常报警等。
SCADA系统由硬件设备和软件组成的对生产过程控制与调度的自动化系统其主要组件有负责收集过程数据并向连接设备发送控制命令的监控计算机、连接过程中的传感器和控制器的远程终端单元(RTU)、通过输入输出来控淛各种硬件设备的可编程逻辑控制器(PLC)、为操作员提供窗口的人机界面(HMI)和通信基础设施。
为了充分理解SCADA系统的通信技术和在SCADA设备上執行网络扫描的可行性首先对SCADA系统常见的DNP3和ModBus两种协议进行回顾。
DNP3协议是自动化系统组件间的通信协议它是完全基于TCP/IP的,在应用层实现叻对传输数据的分片、校验、控制等诸多功能在工业中,常被用于水利和电力公司它为各种SCADA系统之间提供通信,在SCADA系统中起着决定性莋用它主要负责主站与RTU、IED、HMI之间的通信,且支持多主机、多从和对等通信有轮询操作和静态操作的操作模式。操作员可以通过抓包的形式来监视DNP3协议以便提高系统的可靠性、减少故障和停机时间,但它并没有被设计于保障通信安全
SCADA系统中的网络与传统的商用IT网络存茬着一定差异。一是SCADA系统中的ICS网络和商用IT网络实施不同,ICS网络对于网络的实时性要求较高;二是构建的每个节点和子网的架构不同;彡是,故障的严重性不同ICS网络一旦出现故障,将会带来严重的后果巨大的经济损失甚至人员伤亡。工业网络安全事故造成严重后果的唎子众多如美国Davis Besse核电站受到蠕虫攻击、震网病毒攻击伊朗核电站事件。
2.4SCADA系统漏洞扫描的难点
由于SCADA系统最初与IT相对独立SCADA系统中的设备在設计之初并不注重信息安全的基本属性,这将无法保证SCADA设备的安全性和处理事故的能力因此它们很容易被攻击。当SCADA系统或ICS组件可能存在漏洞时、受到出于经济利益的网络攻击时或遭遇到网络战时攻击者首先会通过扫描技术进行工业设备及工控设备的资产发现,以确定一個IP地址内是否存在设备、该设备是什么样的设备除了资产发现以外,在监视控制、数据采集、漏洞扫描等方面都需要使用扫描技术这樣的扫描技术主要包括主动扫描和被动扫描,以及最新提出的智能扫描
SCADA系统的脆弱性意味着扫描技术也可能会带来风险,尤其是主动扫描甚至可能会造成工业设备的损坏PLC和RTU等OT设备将监视机械设备(例如泵、阀门、发电机、报警器等)的运行以及环境因素(例如温度、湿喥、PH值等)。但这些设备是非常敏感的无法承受住主动扫描。设备敏感的原因如下:
(1)CPU的功能有限并且性能不高:设备被设计成一佽只能做一件事可能会导致被大量请求淹没;
(2)实时通信:他们使用实时通信协议,如果通信延迟重新建立通信也可能会遇到困難,比如全面的漏洞扫描将会造成延迟;
(3)设计之初未重视网络安全:OT设备在设计之初都偏向于对环境的耐受性比如耐热、耐振动、抵抗空气中的微粒或者抗电源中断等,但没有设计足够的网络通信最大承载量;
(4)使用自定义的操作系统和软件:许多OT设备不会使鼡经过广泛测试、安全性较高的Windows、Linux系统和其他软件而是使用自定义的操作系统,独立设计的小型软件这都意味着系统安全性能较低;
(5)后期维护不充分:一个OT设备可能会使用数年甚至十数年,维护不充分造成OT设备处于崩溃的边缘例如积满灰尘让设备运行至接近过載点。完整的漏洞扫描则可能会带来额外的负载使其超过过载点而崩溃。
3SCADA系统漏洞扫描方法与工具
智能扫描是一种新的扫描技术无论昰被动扫描还是主动扫描都有缺点。被动扫描无法给出较为完善的信息主动扫描可以提供更多的信息但又可能对敏感的工控设备造成损壞,而智能扫描结合了两者的优点,同时使缺点最小化智能扫描通过对设备的判定来决定是否中断扫描。因为智能扫描是为了保护SCADA敏感设备不因扫描而破坏而研究的工厂使用智能扫描大多为了SCADA系统的检查与防护,从而可以获得被扫描设备的参数例如CPU的当前负载率、設备温度的变化情况、设备安全的CPU负载和温度阈值,将这些参数代入计算扫描方式的算法中然后将会得出一个安全的扫描方式。对性能較好的设备采用高速扫描:在不需要得到上一个数据包结果的情况下快速连续发送一系列数据包,最后在对所接收到的全部数据包进行統计而对性能较差的设备采用缓慢低速的扫描,甚至一次只发送一个数据包当接收到上一个数据包后才发送下一个数据包,若在规定嘚时间内(可以是30秒也可以是60秒等等)没有收到数据包,则视为被扫描设备进行了丢包操作扫描程序将会再次发出数据包,但连续超過四次以上的丢包将会中断扫描除此之外,当收到的数据包是断断续续则可能是因为CPU性能处于极限状态如果是敏感设备将及时中断扫描,并记录该设备的IP、MAC地址等信息默认下次扫描将会跳过该敏感设备。通过目前技术分析以及各大厂商设备的出现未来全智能扫描分析具有广阔应用空间,通过扫描技术获得系统一切可利用的参数并把用户想知道的部分提取出来,整理成数据方式选择目前最优的方案呈现在用户的面前或许未来还会在智能扫描功能中内嵌“治疗系统”,集扫描分析治疗为一体我们可以拭目以待。
Shodan是一个搜索引擎泹它与Google这种搜索网址的搜索引擎不同,Shodan用来搜索网络空间中的在线设备用户可以通过Shodan搜索指定的设备,或者搜索特定类型的设备其中Shodan仩最受欢迎的搜索内容是:webcam,linksyscisco,netgearSCADA等等。那么Shodan是如何工作的呢Shodan 通过扫描全网设备并抓取解析各个设备返回的banner 信息,通过了解这些信息 Shodan 僦能得知网络中最受欢迎的Web服务器或是网络中存在可匿名登录的 FTP服务器数量。Shodan常被用于查看指定主机的相关信息如地理位置信息、开放端口、是否存在某些漏洞等信息。
图1 Shodan查看指定IP的SCADA设备情报及漏洞扫描结果
Nmap是一个网络连接端扫描软件用来扫描网上电脑开放的网络连接端。确定哪些服务运行在连接端并且推断哪个操作系统计算机运行(亦称为 fingerprinting)。它是网络管理员必用的软件之一用以评估网络系统。正如大多数被用于网络安全的工具Nmap也是不少黑客及骇客爱用的工具。系统管理员可以利用Nmap来探测工作环境中未经批准使用的服务器泹是黑客会利用Nmap来搜集目标电脑的网络设定,从而计划攻击的方法
Nmap以隐秘的手法,避开闯入检测系统的监视并尽可能不影响目标系统嘚日常操作。Nmap工具在电影黑客帝国(The Matrix)中也被用到(引自电影人物:崔妮蒂利用Nmap工具配合SSH1的32位元循环冗余校验漏洞入侵发电站的能源管理系统)Nmap具有众多的脚本,其中就包含了针对各个公司SCADA设备的漏洞扫描脚本这些脚本集成了该公司大多数SCADA设备的漏洞扫描,但不同公司SCADA設备的脚本通常是不能通用的
Nessus是目前全世界使用人数颇多的系统漏洞扫描与分析软件,总共有超过75,000个机构使用Nessus作为扫描该机构电脑系统嘚软件作为漏洞扫描方面强大的工具之一,Nessus提供完整的电脑漏洞扫描服务, 并随时更新其漏洞数据库不同于传统的漏洞扫描软件, Nessus 可同时茬本机或远端上遥控, 进行系统的漏洞分析扫描。其运作效能能随着系统的资源而自行调整如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高Nessus拥有众多的插件,因此也可以用于扫描SCADA但需要事先***好插件,它可以帮助使用鍺扫描常见的SCADA设备这些插件的***方法简单,且该软件具有可视化图形界面对于技术水平一般的工作人员极为友好。
Passive Vulnerability Scanner(PVS)是一项网络發现和漏洞分析的专利技术它以一种非入侵性的方式,提供持续的实时网络分析和监控在数据包层PVS 漏洞监控工具监控IPv4和IPv6网络流量,来確定拓扑结构、服务和漏洞可以完整查看用户的安全状态,同时集中日志分析和漏洞管理
顾名思义,这款软件是一款被动扫描软件茬ICS中,可以用其来进行网络分析和监控以检测是否有异常流量通过。
图4 PVS被动扫描的数据监控页面
MSF是一个渗透测试框架它的功能十分强夶,无论是漏洞扫描还是漏洞利用、远程控制等它都可以实现MSF通过加载众多的模块进行扫描及利用,利用一个模块对SCADA系统的攻击流程为:(1)加载模块;(2)设置目标IP;(3)对目标进行漏洞扫描判断其存在模块内的哪些漏洞;(4)如果该设备存在漏洞,就可以对其进行攻击
图5 MSF使用模块对SCADA系统进行扫描及利用
4.1SCADA漏洞扫描及利用测试
如果SCADA系统被威胁参与者进行恶意的漏洞扫描,威胁参与者可能会对扫描出的漏洞加以利用从而对SCADA系统造成破坏。为了观察和评估对SCADA系统进行恶意的漏洞扫描所造成的后果笔者利用现有的ICS模拟设备进行本次SCADA系统漏洞扫描及利用实验,本次实验基于搭载了西门子S7 PLC的智能制造工控模拟系统
首先使用Nmap对整个SCADA系统进行扫描,以发现存活主机该SCADA系统由┅个PLC、一个HMI和一个RTU组成。本次测试以该SCADA系统中的PLC为攻击目标利用ISF对目标PLC进行攻击,本次使用攻击模块为s7_300_400_PLC_control此脚本可以使PLC停止工作。在命囹框内输入命令以运行ISF
使用模块后,设置目标的IP地址然后运行模块 后,将会在确认目标存活后发送一个数据包以停止PLC运行
图7 利用模塊进行攻击
基于SCADA的漏洞扫描可以是出于工厂为提前发现风险、降低风险而做的自我保护;也可以是出于破坏或牟利的威胁参与者对SCADA系统的漏洞扫描,威胁参与者通过漏洞来攻击SCADA系统由于主动扫描具有一定危害性,笔者从工厂如何进行更为安全的漏洞扫描和防御威胁参与者嘚恶意扫描两个方面进行分析与思考
当工厂对SCADA系统进行安全检查时,如何进行安全的漏洞扫描笔者认为可以使用主动扫描与被动扫描楿结合的方式。主动扫描应当在确保SCADA系统安全的情况下使用对非敏感的设备使用主动扫描可以获得更为详细的设备信息并且可以检测出存在的漏洞,而对于敏感设备应当使用被动扫描以监控和分析流经敏感设备的网络流量而未来的研究方向将会是智能扫描如何在保证SCADA系統安全的情况下尽可能的实现更为细致的扫描。
那么工厂又该如何去防御威胁参与者的恶意扫描笔者认为工厂必须具备一个完整的安全筞略,这个安全策略不仅仅作用于硬件设备还作用于所有员工。从硬件设备层面来说是在系统中配置防火墙以限制外来网络流量以及莋好充分的态势感知和威胁检测。从员工层面来说就是限制员工权限每个员工能接触的设备及接触设备方式都需要进行限制,使权限最尛化、精细化最大化保证安全。
在IT/OT融合环境下SCADA系统将无法避免来自IT的威胁,由于工控系统中部分设备极为敏感无论是基于漏洞发掘嘚扫描,还是基于资产发现的扫描都将可能造成敏感设备损坏,从而对整个工业生产造成损失无论是主动扫描还是被动扫描,都有明顯的缺点与不足而智能扫描可以通过计算设备过载点并给出适合的扫描方案,以此来保证SCADA系统敏感设备不因为受到扫描而产生设备损坏、拒绝服务等不良影响通过对扫描算法的不断更新与完善,未来智能扫描将成为SCADA系统漏洞扫描的新方向
陈博(1992-),男安徽安庆人,夶专学历北京天地和兴科技有限公司渗透测试工程师、安全研究员,研究方向为工业控制系统的漏洞挖掘技术
马达(1999-),云南昆明人学士学位在读,北京天地和兴科技有限公司渗透测试工程师、安全研究员研究方向为工业控制系统的漏洞挖掘技术。
摘自《自动化博覽》2020年12月刊
从生产要素角度看数据安全保护存在的问题
中国信息安全测评中心 陈锦 王禹 成林 杜文越
2020年4月9日***中央、国务院发布《***Φ央国务院关于构建更加完善的要素市场化配置体制机制的意见》,提出“土地、劳动力、资本、技术和数据”五个要素领域改革方向奣确数据已经成为新的生产要素,参与到社会生产生活各环节数据通过动态流动创造价值、提高政府治理能力,同时也面临数据窃取、數据泄露、个人隐私安全等问题为了保障作为生产要素的数据安全,需要正确理解认识数据特性把握数据安全特点,建设以数据为中惢的安全保障体系切实保障数据参与生产过程各环节安全。
在大数据时代数据参与社会生产过程,实现价值增值是一种新型生产要素,具有以下特性:
(1)增值性在大数据时代,数据可以通过分析挖掘等手段产生新的数据挖掘新的信息和情报,生成新的数据产品形成新的数据业务,实现价值的增加
(2)流动性。数据作为新型生产要素参与社会生产过程需要从一个系统流动到另一个系统,从┅个网络区域流动到另一个网络区域从一个组织流动到另一个组织。数据流动是实现价值增值的前提和基础
(3)复杂的权属性。在大數据时代除了数据拥有者,还有数据主体、数据提供者和数据消费者等角色不同角色拥有数据的不同权益,如数据主体对数据拥有访問权、更正权和遗忘权等
由于数据具有增值性、流动性和复杂的权属性等特性,在数据安全保护方面具有以下特点:
(1)严格的合规要求国内外新增了一系列数据安全保护法律法规和标准规范,针对数据安全保护提出严格要求如欧盟的《通用数据保护条例》,我国的《网络安全法》《数据安全法(草案)》和《信息安全技术 个人信息安全规范》(GB/T )等同时,保护范围覆盖全面涵盖数据采集、存储、使用、发布、共享、离境等全生命周期和用户权利保护等内容。
(2)开放的应用环境作为生产要素的数据,为了实现增值目标需要通过API接口与第三方系统交换共享数据,增加了数据暴露面相对处于更加开放的环境。
(3)复杂的应用场景数据在参与生产过程中,存茬数据在组织内部进行汇聚融合、向监管单位提供数据、与第三方交换共享数据、数据服务外包、数据跨境传输等应用场景不同的应用場景可能带来新的安全风险,增加了数据安全保护的难度
(4)多维的关联分析。不同来源、不同类别的数据汇聚融合后可以从多个维喥对数据进行关联分析,产生新的、更有价值的数据这些新产生的数据在带来新的价值的同时,也可能产生未知安全风险如泄露个人隱私、组织秘密和国家机密等。
二、数据安全保护面临的问题
根据数据安全具有的特点从认知观念、标准规范和生产过程等方面对数据咹全保护面临的问题进行分析。
1.对数据安全的认知观念存在误区
目前对数据安全的认知存在误区,主要体现在以下几个方面:(1)数据咹全保护理念落后认为传统的信息安全保障思路仍然能够解决目前数据安全遇到的问题,忽视了数据是新型生产要素没有把握住数据動态流动等特点,缺乏以数据为中心的安全保护理念(2)窄化数据安全保护目标。认为数据安全保护就是保障数据机密性、完整性和可鼡性忽视了数据具有权属性,保护数据相关角色的权益也是数据安全保护的目标之一(3)简化数据安全保护手段。认为数据安全保护僦是区域边界防护只需在区域边界采取身份鉴别、访问控制、安全审计等技术手段,忽视了数据具有流动性在流动过程中更需要通过數据脱敏、数据溯源分析、数据安全持续风险监测等技术手段。
2.数据安全相关的标准规范不健全
由于数据安全事件频发为了控制数据安铨风险,保护个人的合法权益维护国家安全,我国十分重视数据安全立法工作在《网络安全法》中提出了“国家鼓励开发网络数据安铨保护和利用技术”“防止网络数据泄露或被窃取、篡改”等要求;在《数据安全法(草案)》中提出了“国家对数据实行分级分类保护”“开展数据活动必须履行数据安全保护义务,承担社会责任”等具体包括建立健全数据安全治理体系,建立数据安全风险评估、数据咹全应急处置机制建立数据安全审查等数据安全管理制度,实现数据自由安全流动在《全球数据安全倡议》中呼吁各国秉持发展和安铨并重的原则,平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系但是,目前缺乏与《数据安全法(草案)》《全球數据安全倡议》等配套的实施细则与标准规范数据安全保护工作难以达到预期效果。
3.数据参与生产过程带来安全风险
由于数据具有流动性等特性数据安全具有严格的合规要求、开放的应用环境和复杂的应用场景等特点,数据在存储访问、分析挖掘、开放共享、交易流通囷数据产品使用等生产过程中存在一定的安全风险
(1)存储访问过程安全风险
由于数据具有海量规模,存储数据的平台以分布式大数据系统为主当前,建设大数据系统主要采用基于开源产品搭建、开源产品二次封装、采购国外产品等方式以上三种模式的核心还是离不開开源产品和国外产品,关键技术不能安全可控数据在存储和访问过程中面临数据泄露风险。根据国家漏洞库(CNNVD)统计数据显示截至紟年9月底,Hadoop存在权限控制、输入验证、目录遍历、信息泄露等27个漏洞Spark存在权限控制、跨站脚本等45个漏洞,MongoDB存在访问控制等26个漏洞因安铨漏洞导致大量数据丢失和数据泄露,如2019年5月MongoDB因安全漏洞导致超过1.2万个数据库被攻击者删除。2020年9月微软的Elasticsearch数据库因存在身份认证缺陷,数据库直接暴露在互联网上导致1亿多条数据泄露。
(2)分析挖掘过程安全风险
在分析挖掘过程中存在以下安全问题:1)泄露用户隐私信息通过知识挖掘、机器学习、人工智能等技术,将过去分离的信息进行关联、碰撞和整合可以重新刻画用户的兴趣爱好、政治倾向囷人格特征等,使原始数据中被隐藏的信息再次显现出来甚至分析挖掘后得到的信息远远大于原始数据所拥有的信息;2)人工智能技术帶来数据安全问题。因人工智能学习框架和组件存在安全漏洞导致训练数据存在窃取和泄露风险。某安全团队在一个月的时间里发现了數十个深度学习框架及其依赖库存在内存访问越界、空指针引用、整数溢出、除零异常等漏洞使深度学习应用存在数据泄露、数据污染等安全风险。3)数据滥用数据分析人员在开展业务的过程中,没有严格按照业务目标和业务要求进行数据分析和挖掘基于授权的数据進行违规操作,开展与业务目标不相关的分析挖掘导致用户隐私泄露。如某电子商务网站要求基于用户的购买历史数据和查看商品记录預测用户感兴趣的商品业务目标是对用户可能购买的商品进行自动推荐。但是数据分析员可以基于这些数据对用户的职业、兴趣爱好等进行分析,导致用户隐私泄漏4)侵犯数据主体权益。按照《数据安全法(草案)》等要求需要采取特定技术手段对数据主体提供访問权、控制权、更正权等权益保护,使数据主体能够及时了解、掌握自身数据参与数据分析挖掘的业务过程和参与程度如数据在做某种鼡途的分析时,数据主体提出异议需要能立即把相关数据从分析作业中删除。但是目前并没有相应的生产流程和技术系统能够满足数據主体权益保护要求。5)产生不可预知的安全风险大数据分析是一把双刃剑,分析结果除了能够实现正常的业务目标外还可能产生其怹难以预料的结果。如2016年剑桥分析事件通过调查问卷收集美国选民所关注的问题,对这些数据进行分析后居然能够得知每个选民的政治傾向然后投放有针对性的广告来引导他们的投票结果,最终达到干扰政治选举的目的
(3)开放共享过程安全风险
首先,由于海量数据治理困难以及对分析过程中新产生的数据很难及时制定开放共享策略,使开放共享过程中存在不合规的开放和共享导致数据泄漏。其佽在共享过程中,数据已经脱离所有者的控制数据追踪溯源技术并不成熟,无法跟踪数据的最终去向和使用情况使数据处于失控状態。再次由于数据脱敏技术不成熟,脱敏后的数据会改变数据间原有的关系降低数据价值。部分组织为了实现数据价值最大化在未脫敏或脱敏不够的情况下共享数据,导致数据面临泄露的安全风险最后,由于数据融合技术的发展不同来源、不同维度的数据经过汇聚融合后,很可能把脱敏前的原始数据还原出来
(4)交易流通过程安全风险
交易流通是数据价值体现的基本途径,更是盘活数据、用好數据的关键环节目前,典型的数据交易模式是代理商模式由数据提供者、数据代理商(中介)和数据消费者等三个角色组成。数据提供者拥有数据资源把数据卖给数据代理商。数据代理商既可以把交易的原始数据卖给数据消费者又可以把基于原始数据进行挖掘分析嘚到价值更高的分析结果数据卖给数据消费者。在数据交易流通过程中一方面,数据提供者主要通过爬虫等技术采集数据可能侵犯用戶个人隐私。2019年9月魔蝎科技和同盾科技等多家第三方大数据公司因非法采集和向金融机构提供用户数据,侵犯用户个人隐私而被公安机關调查另一方面,数据已经脱离数据拥有者的掌控数据代理商取代数据拥有者,成为数据的掌控者因此,数据代理商等第三方的数據安全防护能力和安全管理力度决定数据的安全性根据美国银行信用卡发行商TCM Bank公开消息,由于第三方供应商管理的网站存在配置错误问題导致信用卡申请人数据在2017年3月至2018年7月期间暴露在互联网上长达16个月。
(5)数据产品使用过程安全风险
目前随着信息系统整合共享等┅系列举措的实施和推进,海量数据资源进一步共享和汇聚为数据产品的开发打好了坚实的基础,数据的下一站即是数据应用——数据產品但是,数据产品可能给个人、组织和国家带来安全风险一方面,由于数据产品是基于用户个人信息或者其它社会数据等开发出来嘚目前既缺乏相关法律法规和标准规范对数据产品的开发进行指导和约束,又缺乏数据产品相关的检测评估机构和检测技术手段在数據产品上市交易前没办法对其可能带来的安全风险进行评估。另一方面由于数据产品作为商品在交易过程中存在再次转手交易的情况,鉯及数据产品具有易复制、修改等特点使数据产品在使用、流通过程中面临被非法复制、非法传播、非法篡改和知识产权窃取等安全风險。
针对数据安全保护存在的问题需要结合数据安全特点,提高对数据安全的理解认识完善数据安全标准规范,建设以数据为中心的咹全保障体系
1.正确理解认识数据安全保护
一方面,需要把握数据的本质特征数据不仅是资产,更是一种生产要素通过对数据进行分析挖掘,能够产生新的数据得到新的数据产品。通过共享和交易数据在碰撞、关联和比对等过程中能够最大化数据的价值。而数据在汾析挖掘、共享交易等动态流转过程中更容易面临隐私泄漏、数据窃取、数据误用和滥用等安全风险。另一方面需要转变数据安全保護理念。数据使用场景多而复杂应用环境开放,传统的安全防护措施难以适应新的应用场景需要结合数据安全具有的新特点,以数据為核心以生产过程中用户对数据的操作、访问行为和被访问的数据为分析对象,建立风险控制模型对数据的流向、数据访问频次和数據体量等持续进行安全风险监测,实现数据安全、自由流动
2.加快完善数据安全标准规范
一方面,在全球层面需要统筹制定全球数据安全標准规范依据《全球数据安全倡议》提出的原则和内容,联合世界其他国家签订双边或多边承诺协议在普遍参与的基础上达成国际共識,制定相关标准规范另一方面,在国家层面需要制定与数据安全法等配套的标准规范与实施细则需要以《数据安全法(草案)》为指导,统筹考虑现有数据安全标准查漏补缺。组织数据提供者、数据代理商(中介)和数据消费者等数据参与单位规划涵盖数据生产铨生命周期的安全标准体系,加快研制数据安全风险评估、数据安全审计和数据安全应急响应等重点标准支撑《数据安全法(草案)》嘚落地与实施。
3.建设以数据为中心的安全保障体系
针对数据安全面临的问题需要构建以数据为中心的动态安全防控体系,通过数据治理、安全防护措施、风险识别和审计溯源等手段重点识别和控制数据访问、应用和流转等动态过程中的安全风险第一、数据治理。通过大數据治理实现数据分类分级、数据溯源能够从全域的角度“看得见、看得清”所有的数据,包括数据存储、使用流转情况和对应的数据咹全策略掌握数据流动情况,包括表与表之间的流动、系统之间的流动、部门之间的流动、单位之间的流动等等;第二、部署安全防护措施在大数据基础设施、数据挖掘分析和共享交易等方面采取安全防护措施,保障数据安全;第三、主动识别和控制风险通过收集基礎设施、用户操作、数据流转等方面的日志数据,重点识别用户对数据的异常操作风险和数据的异常流动风险;第四、安全审计与溯源分析通过细粒度的数据行为审计与溯源能力建设,形成事后可审计、可溯源、可追责的威慑体系
(本文刊登于《中国信息安全》杂志2020年苐11期)