今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著信息技術(shù)在各個行業(yè)越來越深入,我國工控領(lǐng)域的安全可靠性問題日益突出,工控系統(tǒng)的復(fù)雜化、信息化加劇了系統(tǒng)的安全隱患。網(wǎng)絡(luò)安全等級保護是我國網(wǎng)絡(luò)安全保障的基本制度,本文基于網(wǎng)絡(luò)安全等級保護理論對工控系統(tǒng)的安全研究分析,從多個層面進行安全防護,降低安全風險,提高工控系統(tǒng)的綜合防護能力。
關(guān)鍵詞:工業(yè)控制系統(tǒng);網(wǎng)絡(luò)安全;等級保護
Abstract: With the deepening of information technology in various industries, the safety and reliability of industrial control field in China has become increasingly prominent. The complexity and informatization of industrial control system have aggravated the hidden dangers of system security. Cyber security level protection is the basic system of cyber security in China. Based on the theory of cyber security level protection, this paper studies and analyses the security of industrial control system,carries out security protection from various levels, reduces security risks and improves the comprehensive protection capability of industrial control system.
Key words: Industrial control system;Cyber security;Classified protection
1 引言
工業(yè)控制系統(tǒng)安全問題層出不窮,2010年,“震網(wǎng)”病毒入侵伊朗核電站、破壞伊朗核計劃,導(dǎo)致伊朗核電站計劃失敗,至今仍然未能恢復(fù)。2016年12月,黑客利用Industroyer惡意軟件攻擊烏克蘭一所變電站,導(dǎo)致基輔等地區(qū)電力供應(yīng)短暫中斷,這款惡意軟件不需要手動操作,可自動擾亂工業(yè)控制系統(tǒng)的正常運行,對電網(wǎng)等基礎(chǔ)設(shè)施的安全運行構(gòu)成嚴重威脅。2017年5月12日20時左右,全球爆發(fā)大規(guī)模勒索軟件感染事件,波及一百多個國家或地區(qū),我國石油、交通等涉及國計民生的部分工控系統(tǒng)“中招”,造成嚴重后果。6月27日晚11時許,勒索病毒“Wanna Cry”變種為“Petrwrap”病毒,在烏克蘭和俄羅斯爆發(fā),逐漸蔓延到歐洲多國。包括切爾諾貝利核電站在內(nèi)的烏克蘭大量設(shè)施受到影響,烏克蘭Ukrenego電力供應(yīng)商系統(tǒng)也遭中斷。通過這次安全事件,工控系統(tǒng)的安全再次成為關(guān)注的重點。
工業(yè)控制系統(tǒng)(Industrial Control Systems,ICS),是由各種自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構(gòu)成。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設(shè)備(IED),以及確保各組件通信的接口技術(shù)。工業(yè)控制系統(tǒng)的操作系統(tǒng)、殺毒軟件安裝及升級更新、設(shè)備維修時筆記本電腦的隨便接入、操作行為、控制終端、管理終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備故障等都存在許多潛在的風險。
工業(yè)控制系統(tǒng)被廣泛應(yīng)用于石油、石化、冶金、電力、燃氣、煤礦、煙草以及市政等領(lǐng)域,用于控制關(guān)鍵生產(chǎn)設(shè)備的運行。這些領(lǐng)域中的工業(yè)控制系統(tǒng)一旦遭到破壞,不僅會影響產(chǎn)業(yè)經(jīng)濟的持續(xù)發(fā)展,更會對國家安全造成巨大的損害。網(wǎng)絡(luò)安全等級保護是網(wǎng)絡(luò)安全工作的基本制度、基本國策;是開展網(wǎng)絡(luò)安全工作的基本方法;是信息化健康發(fā)展、維護國家網(wǎng)絡(luò)安全的根本保障,是國家意志的體現(xiàn),也是目前嚴峻的安全形勢下,亟待完成的基礎(chǔ)安全防護,本文主要講述在工業(yè)控制系統(tǒng)中如何實現(xiàn)網(wǎng)絡(luò)安全等級保護的相關(guān)要求。
2 網(wǎng)絡(luò)安全等級保護流程
開展網(wǎng)絡(luò)安全等級保護工作,可以實現(xiàn)網(wǎng)絡(luò)安全領(lǐng)域“明確重點、突出重點、保護重點”的目標,將有限的財力、物力、人力投入到重要信息系統(tǒng)安全保護中,有效保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系到國家安全、經(jīng)濟建設(shè)、社會穩(wěn)定的重要信息系統(tǒng)的安全。
等級保護的規(guī)定流程為“定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查”[1],如圖1所示。
圖1 等級保護的規(guī)定流程
根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權(quán)益的危害程度,將系統(tǒng)的安全保護等級分成5級(從第1級到第5級逐級增高)。定級后2級以上系統(tǒng)須在公安機關(guān)備案,公安機關(guān)審核合格后頒發(fā)備案證明;各單位各部門根據(jù)系統(tǒng)等級按照國家標準進行安全建設(shè)整改,聘請測評機構(gòu)進行等級測評;公安機關(guān)定期開展監(jiān)督、檢查、指導(dǎo)。
3 網(wǎng)絡(luò)安全等級保護標準的發(fā)展
近年來,云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制等新技術(shù)、新應(yīng)用在國家關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的應(yīng)用日益廣泛,這4個領(lǐng)域面臨的安全威脅日益嚴重,原有網(wǎng)絡(luò)安全等級保護標準體系已經(jīng)很難適應(yīng)新技術(shù)、新應(yīng)用的發(fā)展,因此對現(xiàn)有的標準體系(GB/T 22239《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》)進行了修訂和補充,形成了以下系列標準:
(1)《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第1部分 安全通用要求》;
(2)《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第2部分 云計算安全擴展要求》;
(3)《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第3部分 移動互聯(lián)安全擴展要求》;
(4)《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第4部分 物聯(lián)網(wǎng)安全擴展要求》;
(5)《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第5部分 工業(yè)控制系統(tǒng)安全擴展要求》;
(6)《網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求第6部分 大數(shù)據(jù)安全擴展要求》。
企業(yè)用戶應(yīng)結(jié)合自身行業(yè)特點和企業(yè)特點,將第1部分和第5部分結(jié)合使用,實現(xiàn)各級技術(shù)要求和管理要求。
4 工業(yè)控制系統(tǒng)的層次結(jié)構(gòu)
ICS是由計算機設(shè)備與工業(yè)過程控制部件組成的自動控制系統(tǒng),從上到下共分為5個層級,依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層,不同層級的實時性要求不同[2]。該層次結(jié)構(gòu)的簡要劃分模型如圖2所示。
圖2 工業(yè)控制系統(tǒng)架構(gòu)
各個層次功能與作用的詳細介紹如表1所示。
表1 工業(yè)控制系統(tǒng)各個層次功能列表
5 工業(yè)控制系統(tǒng)中保護的對象
在工業(yè)控制系統(tǒng)中,各個層次由不同的設(shè)備或系統(tǒng)組成,這些設(shè)備或系統(tǒng)就是網(wǎng)絡(luò)安全等級保護中需要保護的對象,如表2所示。
表2 工業(yè)控制系統(tǒng)各個層次中的保護對象
6 工業(yè)控制系統(tǒng)等級保護總體原則和要求
對工業(yè)控制系統(tǒng)的軟件、硬件、網(wǎng)絡(luò)協(xié)議等的安全性,規(guī)定了需要保護的數(shù)據(jù)、指令、協(xié)議等要素,其具體實現(xiàn)方式、防護手段應(yīng)根據(jù)具體的工業(yè)控制系統(tǒng)品牌、配置、工程實際等具體確定。但應(yīng)保證這些防護措施對系統(tǒng)的正常運行不產(chǎn)生危害或災(zāi)難性的生產(chǎn)停頓,經(jīng)過工業(yè)現(xiàn)場的工程實踐驗證,并獲得用戶認可[3]。
工業(yè)控制系統(tǒng)等級保護定義有總體原則、技術(shù)要求和管理要求共三類說明。其中,總體原則是針對工業(yè)控制系統(tǒng)整體提出的安全域保護原則;技術(shù)要求和管理要求是針對不同安全保護等級對工業(yè)控制系統(tǒng)應(yīng)該具有的基本安全保護能力提出的安全要求。
6.1 安全域保護原則
根據(jù)工業(yè)控制系統(tǒng)安全域模型的劃分原則,將工業(yè)控制系統(tǒng)劃分為若干安全域,再根據(jù)系統(tǒng)實際情況,對不同的安全域采取不同的安全保護措施[4]。
(1)安全域劃分
在一個工業(yè)大系統(tǒng)或復(fù)雜系統(tǒng)中,對所有組件采取相同等級的安全措施是不實際或不必要的。在不同的實際情況下,資產(chǎn)的安全等級不同,因此提出使用安全域(或受保護的區(qū)域)的概念。
劃分安全域時,應(yīng)綜合考慮資產(chǎn)重要性、資產(chǎn)價值、資產(chǎn)地理位置、系統(tǒng)功能、控制對象、生產(chǎn)廠商及資產(chǎn)被破壞時所造成的損失、社會影響程度等因素,將控制系統(tǒng)進行安全域劃分。
(2)安全域邊界防護
在不影響各安全域工作的前提下,在各安全域邊界處設(shè)置不同的安全隔離設(shè)備,確保各個安全域之間有清楚明晰的邊界設(shè)定。
(3)安全域保護措施
依據(jù)定級對象安全等級,結(jié)合各安全域?qū)嶋H情況,按照等級保護標準中第1級至第4級基本要求,采取不同安全保護措施。
6.2 技術(shù)要求和管理要求
技術(shù)要求和管理要求是保證工業(yè)控制系統(tǒng)安全不可分割的2個部分。技術(shù)要求主要通過在工業(yè)控制系統(tǒng)中部署軟、硬件并正確配置其安全功能來實現(xiàn)。管理要求主要通過控制各種角色的活動,從政策、制度、標準、流程以及記錄等方面做出規(guī)定來實現(xiàn)[5]。
技術(shù)要求分為物理安全、邊界防護、生產(chǎn)管理層安全、過程監(jiān)控層安全、現(xiàn)場控制層安全、現(xiàn)場設(shè)備層安全,其中各層級安全要求又分為網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全。
管理要求主要來自于通用安全要求,分為安全策略和管理制度、安全管理機構(gòu)和人員、安全建設(shè)管理、安全運維管理四大類。
技術(shù)要求和管理要求從各個層面或方面提出了工業(yè)控制系統(tǒng)的每個組件應(yīng)該滿足的安全要求,工業(yè)控制系統(tǒng)具有的整體安全保護能力通過不同組件實現(xiàn)基本安全要求來保證[6]。除了保證系統(tǒng)的每個組件滿足安全要求外,還要考慮組件之間的相互關(guān)系,來保證系統(tǒng)的整體安全保護能力。
以下重點介紹技術(shù)類3級安全要求。
(1)物理環(huán)境安全
物理環(huán)境安全是保護工業(yè)控制系統(tǒng)中物理設(shè)備不受直接破壞,保護的對象主要有機房、辦公場所、重要和關(guān)鍵工業(yè)控制設(shè)備所在的區(qū)域。
對上述區(qū)域的位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護等方面提出要求。為了防止非授權(quán)人員進入重要物理區(qū)域,例如機房,出入口應(yīng)配置電子門禁系統(tǒng),控制、鑒別和記錄進入的人員。為了防止感應(yīng)雷,通過采取機柜、設(shè)施和設(shè)備等接地系統(tǒng)安全接地來實現(xiàn)防雷擊,還應(yīng)部署防雷保安器或過壓保護裝置[7]。
在工業(yè)控制系統(tǒng)中,對于室外控制設(shè)備也應(yīng)該采取必要的措施進行安全防護,因此,工業(yè)控制系統(tǒng)擴展安全要求中明確規(guī)定了室外控制設(shè)備的安裝位置、安裝方式:①室外控制設(shè)備應(yīng)放置于采用鐵板或其他防火絕緣材料制作的箱體或裝置中;②控制設(shè)備應(yīng)安裝在金屬或其他絕緣板上(非木質(zhì)板),并緊固于箱體或裝置中;③室外控制設(shè)備應(yīng)采取措施避免極端天氣環(huán)境;④室外控制設(shè)備應(yīng)放置于遠離強電磁干擾和熱源的地方。
(2)網(wǎng)絡(luò)和通信安全
在工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)邊界安全尤為重要,為了防止從外部網(wǎng)絡(luò)和內(nèi)部非重要網(wǎng)絡(luò)對重要網(wǎng)絡(luò)區(qū)域的入侵,要求限制和監(jiān)測非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為、內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為;對于無線網(wǎng)絡(luò)使用進行嚴格控制,對所有參與無線通信的用戶(人員和軟件進程)提供唯一性標識和身份鑒別,確保無線網(wǎng)絡(luò)通過受控的邊界防護設(shè)備接入內(nèi)部網(wǎng)絡(luò)。監(jiān)視和控制區(qū)域邊界通信,默認拒絕所有非必要的網(wǎng)絡(luò)數(shù)據(jù)流,僅允許例外網(wǎng)絡(luò)數(shù)據(jù)流;邊界防護機制失效時,能阻止所有邊界通信(也稱故障關(guān)閉)并及時進行報警,但故障關(guān)閉功能的設(shè)計不應(yīng)干擾安全相關(guān)功能的運行。
在審計安全中,鑒于工業(yè)控制系統(tǒng)設(shè)備的多樣性和復(fù)雜性,要求應(yīng)能集中管理審計事件并從系統(tǒng)多個組件收集審計記錄。按照工業(yè)標準格式輸出審計記錄,用于商業(yè)日志分析工具進行分析。
在訪問控制中,要求網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則,對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾,實現(xiàn)對內(nèi)容的訪問控制。
(3)設(shè)備和計算安全
測評對象為工業(yè)控制系統(tǒng)中的設(shè)備,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、終端、數(shù)據(jù)庫管理系統(tǒng)、控制器、控制單元、記錄裝置、傳感器、執(zhí)行機構(gòu)、保護裝置等[8]。
要求對上述設(shè)備的遠程管理、組態(tài)文件下裝等重要操作進行身份鑒別;禁止使用默認賬戶和密碼登錄,密碼應(yīng)有復(fù)雜度要求;具有鑒別失敗處理功能;同時,應(yīng)防止身份鑒別信息在傳輸過程中被竊聽。
對于防止惡意代碼,應(yīng)在重要和關(guān)鍵設(shè)備、關(guān)鍵網(wǎng)絡(luò)節(jié)點、所有入口和出口處對惡意代碼進行檢測和清除,并對惡意代碼庫進行統(tǒng)一升級和更新;在重要和關(guān)鍵設(shè)備、關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新。應(yīng)做到對可能造成損害的移動代碼技術(shù)執(zhí)行使用進行限制;采取措施防止、檢測、報告和減輕惡意代碼或未經(jīng)授權(quán)軟件的影響。對重要和關(guān)鍵設(shè)備中重要程序或文件完整性檢測,并在檢測到破壞后進行恢復(fù)。
對工業(yè)控制系統(tǒng)中重要設(shè)備的用戶登錄、操作、行為、資源使用情況等信息應(yīng)保留審計記錄,以便于發(fā)生安全事件時進行分析、跟蹤、追責。審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息,并對審計記錄進行保護,按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。另外,審計記錄產(chǎn)生時的時間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時鐘產(chǎn)生,以確保審計分析的正確性。
(4)應(yīng)用系統(tǒng)安全
測評對象為與企業(yè)資源相關(guān)的財務(wù)管理、資產(chǎn)管理、人力管理等系統(tǒng)的軟件和數(shù)據(jù)資產(chǎn),與生產(chǎn)制造相關(guān)的倉儲管理、先進控制、工藝管理等系統(tǒng)的軟件和數(shù)據(jù)資產(chǎn),監(jiān)控軟件,控制程序等。
登錄上述應(yīng)用系統(tǒng)時,應(yīng)對登錄的用戶進行身份標識和鑒別,鑒別信息具有復(fù)雜度要求并定期更換;啟用登錄失敗處理功能;強制用戶首次登錄時修改初始口令;用戶身份鑒別信息丟失或失效時,應(yīng)采用鑒別信息重置或其他技術(shù)措施保證系統(tǒng)安全;應(yīng)對同一用戶采用2種或2種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別。
上述應(yīng)用系統(tǒng)應(yīng)提供訪問控制功能,對登錄的用戶分配賬號和權(quán)限;重命名系統(tǒng)默認賬號或修改這些賬號的默認口令;及時刪除或停用多余的、過期的賬號,避免共享賬號的存在;應(yīng)授予不同賬號為完成各自承擔任務(wù)所需的最小權(quán)限,并在它們之間形成相互制約的關(guān)系。
應(yīng)用系統(tǒng)提供安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計;審計信息至少包括事件的日期和時間、主體、客體、類型、結(jié)果等信息。
應(yīng)用系統(tǒng)還應(yīng)該具備軟件容錯能力,提供數(shù)據(jù)有效性檢驗功能,保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求;在故障發(fā)生時,應(yīng)能夠繼續(xù)提供一部分功能,確保能夠?qū)嵤┍匾拇胧粦?yīng)提供自動保護功能,當故障發(fā)生時自動保護當前所有狀態(tài),保證系統(tǒng)能夠進行恢復(fù)。
(5)數(shù)據(jù)安全
工業(yè)控制系統(tǒng)應(yīng)采用校驗碼技術(shù)或加解密技術(shù)保證重要數(shù)據(jù)在傳輸過程或存儲過程的完整性,采用加密或其他保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸或存儲的保密性[9]。
對于重要數(shù)據(jù)應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能,提供異地實時備份功能,利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地,提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性[10]。
綜上所述,工業(yè)控制系統(tǒng)要達到等級保護的要求,必須從物理環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全、安全管理等多個層面去落實相關(guān)規(guī)定,定期開展應(yīng)急演練、漏洞掃描修復(fù)、系統(tǒng)安全管理等防護工作,三級工控系統(tǒng)每年進行一次等級測評,對發(fā)現(xiàn)的安全問題及隱患,依據(jù)網(wǎng)絡(luò)安全等級保護理論進行安全整改加固,消除潛在的安全風險,提高工控系統(tǒng)的綜合安全防護能力。
作者簡介
張 偉(1976-),男,高級工程師,碩士,國家科技部、國資委、北京科委網(wǎng)絡(luò)安全專家,工控系統(tǒng)信息安全技術(shù)國家工程實驗室技術(shù)委員會委員,主要研究方向是網(wǎng)絡(luò)安全。
參考文獻:
[1] 羅常. 工業(yè)控制系統(tǒng)信息安全防護體系在電力系統(tǒng)中的應(yīng)用研究[J]. 機電工程技術(shù), 2016, 45 ( 12 ) : 97 - 100.
[2] 王昱鑌, 陳思, 程楠. 工業(yè)控制系統(tǒng)信息安全防護研究[J]. 信息網(wǎng)絡(luò)安全, 2016, ( 9 ) : 35 - 39.
[3] 陳猛, 史家?guī)X. 電力系統(tǒng)信息安全研究綜述[J]. 工程技術(shù): 全文版, 2016, ( 4 ) : 00211 - 00211.
[4] 安寧鈺, 王志皓, 趙保華. 可信計算技術(shù)在電力系統(tǒng)中的研究與應(yīng)用[J]. 網(wǎng)絡(luò)安全研究, 2017, 3 ( 4 ) : 353 - 358.
[5] 張五一, 李圣泉, 能源行業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全分析與防護[J]. 網(wǎng)絡(luò)安全與通信保密,2015, ( 4 ) : 41 - 44.
[6] 樓鳳丹, 裴旭斌, 王志強, 紀德良. 基于云計算及大數(shù)據(jù)技術(shù)的電力搜索引擎技術(shù)研究[J]. 電網(wǎng)與清潔能源, 2016, 32( 12 ) : 86 - 92.
[7] 秦玉杰. 一種基于分布式蜜罐技術(shù)的勒索蠕蟲病毒監(jiān)測方法[J]. 信息技術(shù)與網(wǎng)絡(luò)安全, 2018, 37 ( 9 ) : 45 - 48.
[8] 徐洋, 朱丹, 張煥國, 等. 云環(huán)境下基于代數(shù)簽名持有性審計的大數(shù)據(jù)安全存儲方案[J]. 計算機科學, 2016, 43 ( 10 ) : 172 - 176.
[9] 歐陽丹. 基于云計算的電力信息系統(tǒng)數(shù)據(jù)安全技術(shù)探討[J]. 華東科技: 學術(shù)版, 2016, ( 5 ) : 234 - 234.
[10] 劉新, 馬雷, 于灝, 等. 云計算環(huán)境下的電力信息系統(tǒng)數(shù)據(jù)安全技術(shù)研究[J]. 信息與電腦: 理論版, 2016, ( 12 ) : 23 - 24.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號