導(dǎo)語：工業(yè)控制系統(tǒng)信息安全防護(hù)思考一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：隨著“工業(yè)4.0”時代的來臨、“互聯(lián)網(wǎng)+”的提出以及“兩化融合”腳步的加快，工業(yè)控制系統(tǒng)也朝著智能化的方向迅速發(fā)展，越來越多的工業(yè)控制系統(tǒng)與辦公網(wǎng)、互聯(lián)網(wǎng)進(jìn)行了連接，使得工業(yè)控制系統(tǒng)從原來封閉的“信息孤島”變?yōu)榱司W(wǎng)絡(luò)攻擊的主要目標(biāo)。本文針對當(dāng)前我國工業(yè)控制系統(tǒng)存在的問題，提出了工業(yè)控制系統(tǒng)的安全防護(hù)的工作建議，為工業(yè)控制系統(tǒng)的安全防護(hù)建設(shè)工作提供可參考的理論依據(jù)。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；安全防護(hù)；監(jiān)測預(yù)警；體系

隨著“工業(yè)4.0”時代的來臨、“互聯(lián)網(wǎng)+”的提出以及“兩化融合”腳步的加快，工業(yè)自動化與控制網(wǎng)絡(luò)也向著分布式、智能化的方向迅速發(fā)展，越來越多基于TCP/IP的通信協(xié)議和接口被采用[1]。然而，在工業(yè)控制系統(tǒng)越來越開放的同時，也同步削弱了與外界的隔離和安全保護(hù)。因此，企業(yè)在享受網(wǎng)絡(luò)互連帶來的種種便利的同時也面臨著各種各樣的網(wǎng)絡(luò)安全威脅，包括病毒、木馬、黑客以及敵對勢力。再加上工業(yè)控制系統(tǒng)的漏洞逐年增多，工業(yè)控制系統(tǒng)被攻擊的可能性變?yōu)楝F(xiàn)實，一旦工業(yè)控制系統(tǒng)遭到攻擊，不僅導(dǎo)致大規(guī)模的財產(chǎn)損失和人員傷亡，甚至可能威脅國家安全。

1工業(yè)控制系統(tǒng)的安全問題

（1）意識不到位、組織無保障對于工業(yè)控制系統(tǒng)信息安全問題，因為本廠、本行業(yè)沒有出現(xiàn)過安全事件，上級領(lǐng)導(dǎo)和主管單位沒有明確要求，國家和行業(yè)沒有參考標(biāo)準(zhǔn)，多數(shù)企業(yè)表現(xiàn)出對工作沒有緊迫性。企業(yè)沒有中長期戰(zhàn)略，沒有預(yù)算開展本項工作，對于工業(yè)控制系統(tǒng)的信息安全，沒有主責(zé)領(lǐng)導(dǎo)，沒有保障團(tuán)隊，沒有工作體系。（2）制度不完善、應(yīng)急靠經(jīng)驗現(xiàn)在大部分行業(yè)還未形成完整的工業(yè)控制系統(tǒng)信息安全保障體系，缺乏工業(yè)控制系統(tǒng)規(guī)劃、建設(shè)、運維和廢止全生命周期的信息安需求，欠缺配套的管理體系、處理流程、人員責(zé)任等規(guī)定。對于安全事件預(yù)防、響應(yīng)、處置及應(yīng)急不夠健全，缺乏應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)化的事件處理流程，發(fā)生信息安全事件后通常依靠經(jīng)驗判斷安全事件影響范圍，嚴(yán)重性、逐一排查，響應(yīng)能力不高。（3）技術(shù)尚不足，產(chǎn)品靠國外目前，我國工業(yè)控制系統(tǒng)中的80%以上的PLC、操作系統(tǒng)、工業(yè)應(yīng)用軟件以及工業(yè)協(xié)議和標(biāo)準(zhǔn)接口依賴進(jìn)口。國外產(chǎn)品不排除留有后門的可能性，以及工業(yè)控制系統(tǒng)暴露的安全漏洞逐年增多，給安全生產(chǎn)帶來了威脅。（4）互聯(lián)互通，卻在裸奔隨著OT技術(shù)和IT技術(shù)的不斷融合，工業(yè)控制系統(tǒng)逐步與辦公網(wǎng)、互聯(lián)網(wǎng)進(jìn)行了互聯(lián)，但是缺少安全防護(hù)措施。各系統(tǒng)之間未進(jìn)行邊界防護(hù)，網(wǎng)絡(luò)中存在的威脅無法感知，病毒木馬入侵難以阻斷，違規(guī)操作、誤操作屢有發(fā)生，非法終端接入無法管控，安全事件不斷發(fā)生。（5）人員欠專業(yè)，情報未共享工業(yè)控制系統(tǒng)信息安全是一個新興的交叉領(lǐng)域，要求從事該領(lǐng)域的技術(shù)人員既要懂工業(yè)控制系統(tǒng)，又要有信息安全的知識，同時還要對網(wǎng)絡(luò)知識有所了解。目前，市場上也現(xiàn)成的復(fù)合型人才較少，專業(yè)人才的缺乏對工業(yè)控制網(wǎng)絡(luò)安全防護(hù)的發(fā)展形成明顯的制約。

2加強(qiáng)工業(yè)控制系統(tǒng)安全防護(hù)的工作建議

2.1確定工業(yè)控制系統(tǒng)目錄，實施分類分級管理。一是根據(jù)國家系列文件中關(guān)于工業(yè)控制系統(tǒng)的定義和范圍，以及我國工業(yè)控制系統(tǒng)承載業(yè)務(wù)的重要程度，明確劃定我國工業(yè)控制系統(tǒng)類別和范圍，制定我國工業(yè)控制系統(tǒng)目錄，建立針對工業(yè)控制系統(tǒng)核心控制器、工作站、服務(wù)器、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等資產(chǎn)的認(rèn)定和清查登記制度，定期開展工業(yè)控制系統(tǒng)普查登記工作；二是盡快啟動我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全檢查，從涉及國計民生的關(guān)鍵業(yè)務(wù)入手，理清可能影響關(guān)鍵業(yè)務(wù)運轉(zhuǎn)的工業(yè)控制系統(tǒng)，準(zhǔn)確掌握我國工業(yè)控制系統(tǒng)的安全狀況，科學(xué)評估面臨的網(wǎng)絡(luò)安全風(fēng)險，以查促管、以查促防、以查促改、以查促建，同時為構(gòu)建工業(yè)控制系統(tǒng)分類分級安全管理保障體系提供基礎(chǔ)性數(shù)據(jù)和參考；三是充分借鑒國外工業(yè)控制系統(tǒng)信息安全分類保護(hù)的先進(jìn)經(jīng)驗和做法[2]，按照國內(nèi)工業(yè)控制系統(tǒng)等級保護(hù)相關(guān)標(biāo)準(zhǔn)和規(guī)定要求，建立適用于我國不同工業(yè)控制系統(tǒng)的抗威脅能力分類分級安全管理體系，建立包括信息安全技術(shù)標(biāo)準(zhǔn)、信息安全保護(hù)計劃、信息安全預(yù)案等在內(nèi)的工業(yè)控制系統(tǒng)信息安全保護(hù)技術(shù)框架體系，根據(jù)系統(tǒng)特征提供針對性信息安全保護(hù)技術(shù)方案。2.2健全工業(yè)控制系統(tǒng)安全監(jiān)管體系，加大監(jiān)管力度。（1）建立健全安全監(jiān)管工作機(jī)制成立我國工業(yè)控制系統(tǒng)管理委員會，建立高效有力的網(wǎng)絡(luò)空間協(xié)調(diào)指揮機(jī)制；明確我國工業(yè)控制系統(tǒng)安全保護(hù)職能部門，具體負(fù)責(zé)我國工業(yè)控制系統(tǒng)的安全防護(hù)和管理工作，統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)與信息的安全保障工作；建立包括自評估、委托評估和檢查評估等不同形式的工業(yè)控制系統(tǒng)信息安全風(fēng)險評估制度。（2）加大工業(yè)控制系統(tǒng)安全產(chǎn)品監(jiān)管與引導(dǎo)工作力度一是建立工控產(chǎn)品分類、優(yōu)先級采購、測評認(rèn)證、觸發(fā)式調(diào)查和反調(diào)查等內(nèi)容在內(nèi)的供應(yīng)鏈安全風(fēng)險管理制度，對投入使用的工控產(chǎn)品進(jìn)行安全準(zhǔn)入認(rèn)證；二是在當(dāng)前工控領(lǐng)域國外進(jìn)口產(chǎn)品依然占據(jù)著主導(dǎo)地位的情況下，應(yīng)制定專門規(guī)定，敦促相關(guān)供應(yīng)商及時處理自身產(chǎn)品存在的漏洞、進(jìn)行系統(tǒng)升級或安裝補(bǔ)??；三是出臺激勵政策，鼓勵單位優(yōu)先采用性能可靠、具有自主知識產(chǎn)權(quán)的國產(chǎn)化工控和安全防護(hù)裝備；四是適時組織技術(shù)交流和調(diào)研，引導(dǎo)國外知名工控設(shè)備供應(yīng)商與國內(nèi)優(yōu)秀工控安全廠商開展合作。（3）建立健全工控安全事件應(yīng)急響應(yīng)與處理機(jī)制建立不同部門主導(dǎo)、不同目的和技術(shù)實現(xiàn)手段、針對不同對象建立健全包括應(yīng)急處理協(xié)調(diào)、指揮調(diào)度、安全信息通報、應(yīng)急處置預(yù)案、災(zāi)難備份設(shè)施、信息安全應(yīng)急支援服務(wù)在內(nèi)的信息安全應(yīng)急處置機(jī)制，建立完善事件分析和責(zé)任追究體制。2.3鼓勵工業(yè)控制系統(tǒng)安全科技創(chuàng)新，提高防護(hù)水平。應(yīng)加快推進(jìn)工業(yè)控制系統(tǒng)的關(guān)鍵技術(shù)突破和產(chǎn)品國產(chǎn)化進(jìn)程，重點在工業(yè)控制領(lǐng)域協(xié)議安全、核心控制芯片、系統(tǒng)漏洞分析挖掘、系統(tǒng)完整性校驗、篡改恢復(fù)等關(guān)鍵技術(shù)方面實現(xiàn)突破，實現(xiàn)嵌入式工業(yè)可信安全終端、工控安全互聯(lián)中間件、訪問控制、工控診斷大數(shù)據(jù)平臺、安全運維監(jiān)管平臺、工業(yè)網(wǎng)絡(luò)APT防護(hù)、工控異常監(jiān)測系統(tǒng)、入侵誘捕和分析系統(tǒng)等產(chǎn)品產(chǎn)業(yè)化。2.4開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全培訓(xùn)，強(qiáng)化人才培養(yǎng)。一是注重工業(yè)控制系統(tǒng)安全專業(yè)技術(shù)人才培養(yǎng)。政府應(yīng)加大投入，推動我國屬高校工控網(wǎng)絡(luò)安全學(xué)科建設(shè)和教學(xué)、實踐環(huán)境建設(shè)，加強(qiáng)專業(yè)人才培養(yǎng)。二是單位加大工控安全專業(yè)從業(yè)人員專業(yè)技能培訓(xùn)力度。2.5建立工業(yè)控制系統(tǒng)信息共享平臺，提升態(tài)勢感知能力。借鑒美國、歐盟等的先進(jìn)經(jīng)驗，充分了解工業(yè)控制系統(tǒng)提供商、運營單位、政府部門、信息安全承包商、專家隊伍、公眾等各方對信息共享的需求[3]，盡快建立有效的工業(yè)控制系統(tǒng)風(fēng)險信息共享機(jī)制，明確信息共享的條件，建立包括安全信息收集、上報、通報、匯總、分析、、共享以及共享主體、共享內(nèi)容、共享流程、共享的技術(shù)和政策保障措施等內(nèi)容的信息安全合作共享制度和公共服務(wù)平臺，打破“信息孤島”，建立態(tài)勢感知監(jiān)測預(yù)警平臺。

3結(jié)束語

本文針對我國當(dāng)前工業(yè)控制系統(tǒng)存在的問題，提出了相應(yīng)的安全防護(hù)工作建議，為我國工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)工作提供可參考的理論依據(jù)。

參考文獻(xiàn)：

[1]王孝良，崔保紅，李思其.關(guān)于工業(yè)控制系統(tǒng)信息安全的思考與建議[J].信息網(wǎng)絡(luò)安全，2012（8）.

[2]STOUFFERK,FALCOJ,SCARFONEK.GuidetoIndustrialControlSystems(ICS)Security[S].American：NIST,2011.

[3]熊琦，竟小偉，詹峰.美國石油天然氣行業(yè)ICS系統(tǒng)信息安全工作綜述及對中國的啟[J].中國信息安全，2012(2)：211-215.

[4]馮偉.我國工業(yè)控制系統(tǒng)面臨的信息安全挑戰(zhàn)及措施建議[J].信息安全與技術(shù)，2013（02）.

[5]夏春明，劉濤，王華忠，吳清.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及發(fā)展趨勢[J].信息安全與技術(shù)，2013.

作者:李季 單位:廣州地鐵集團(tuán)有限公司