工業(yè)控制系統(tǒng)應(yīng)急預(yù)案編制研究

沈笑慧 鮑克 嚴丹

摘 要：工業(yè)控制系統(tǒng)應(yīng)急預(yù)案的編制是工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作的重要環(huán)節(jié)之一，是保障工業(yè)控制系統(tǒng)信息安全的重要手段。文中介紹了工業(yè)控制系統(tǒng)的安全現(xiàn)狀和我國應(yīng)急體系現(xiàn)狀。其次分析了工業(yè)控制系統(tǒng)與信息系統(tǒng)相比的特殊性及編制工業(yè)控制系統(tǒng)應(yīng)急預(yù)案的難點，提出了編制工控系統(tǒng)應(yīng)急預(yù)案的對策。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；應(yīng)急預(yù)案；工業(yè)互聯(lián)網(wǎng)；工控安全

中圖分類號：TP309 文獻標識碼：A 文章編號：2095-1302（2018）07-00-02

0 引 言

工業(yè)控制系統(tǒng)（Industrial Control System，ICS）是指工業(yè)生產(chǎn)控制各業(yè)務(wù)環(huán)節(jié)涉及的有關(guān)人員、軟硬件系統(tǒng)和平臺的集合[1]。工控系統(tǒng)包括但不局限于可編程邏輯控制器（PLC），分布式控制系統(tǒng)（DCS），數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）等工業(yè)生產(chǎn)控制系統(tǒng)；緊急停車系統(tǒng)（ESD），安全儀表系統(tǒng)（SIS）等工業(yè)控制過程安全保護系統(tǒng)；制造執(zhí)行系統(tǒng)（MES），企業(yè)資源計劃系統(tǒng)（ERP）等工業(yè)生產(chǎn)調(diào)度與管理信息系統(tǒng)；工業(yè)云平臺、工業(yè)大數(shù)據(jù)平臺等工業(yè)服務(wù)應(yīng)用系統(tǒng)。近年來，隨著信息技術(shù)和工業(yè)技術(shù)的不斷發(fā)展與融合，工業(yè)互聯(lián)網(wǎng)應(yīng)運而生，成為制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化的重要載體，工業(yè)互聯(lián)網(wǎng)給工業(yè)企業(yè)帶來高效、高質(zhì)、便捷等優(yōu)勢的同時，也將工控系統(tǒng)暴露在互聯(lián)網(wǎng)上，工控系統(tǒng)的安全隱患日益增多。工控系統(tǒng)往往涉及能源、制造、商業(yè)設(shè)施、水務(wù)、市政等與民生息息相關(guān)的重點領(lǐng)域，因此，工控系統(tǒng)的安全也直接決定著社會的安全。

工控安全事件是指由于人為、軟硬件缺陷或故障、自然災(zāi)害等原因，對工業(yè)控制系統(tǒng)、工業(yè)控制系統(tǒng)數(shù)據(jù)造成或者可能造成嚴重危害，影響正常工業(yè)生產(chǎn)的事件[2-3]。近年來，工控安全事件頻發(fā)，如2011年發(fā)現(xiàn)的“Duqu”病毒可從工業(yè)控制系統(tǒng)制造商處收集情報數(shù)據(jù)；2012年，惡意程序Flame火焰病毒攻擊多個中東國家，該病毒能收集各行業(yè)的敏感信息；2013年，兩座美國電廠遭USB病毒攻擊，感染了工廠工控系統(tǒng)，造成巨大損失；2014年，一種類似“震網(wǎng)”病毒的新型惡意軟件“Havex”，可以感染SCADA等工控系統(tǒng)控制軟件，并有能力禁用水電大壩，使核電站過載，甚至可以關(guān)閉一個國家的電網(wǎng)；2015年12月，烏克蘭電力系統(tǒng)遭受黑客攻擊，將可遠程訪問并控制工控系統(tǒng)的BlackEnergy（黑暗力量）惡意軟件植入烏克蘭電力部門，造成電網(wǎng)主機系統(tǒng)和監(jiān)控系統(tǒng)崩潰，導(dǎo)致伊萬諾-弗蘭科夫斯克地區(qū)約半數(shù)家庭停電數(shù)小時[4]。

一旦發(fā)生工控安全事件會造成嚴重的社會影響和經(jīng)濟損失。因此，制定體系化、操作性強的工控系統(tǒng)應(yīng)急預(yù)案刻不容緩，由于其自身的特殊性和復(fù)雜性，使工控預(yù)案的編制面臨嚴峻的困難和挑戰(zhàn)。本文分析了工業(yè)控制系統(tǒng)相較信息系統(tǒng)的特殊性和編制應(yīng)急預(yù)案的難點，并提出了編制工控系統(tǒng)應(yīng)急預(yù)案的對策。

1 應(yīng)急預(yù)案的意義

應(yīng)急預(yù)案是應(yīng)急管理中的重要內(nèi)容，國家層面和省級政府層面均需制定應(yīng)急預(yù)案，為突發(fā)事件做好應(yīng)對工作，學術(shù)界對應(yīng)急預(yù)案也有較多的研究[5]。我國關(guān)于應(yīng)急預(yù)案相繼出臺了一系列的法律、法規(guī)和政策文件。

2003年我國通過了《突發(fā)公共衛(wèi)生事件應(yīng)急條例》，同年國務(wù)院辦公廳成立了應(yīng)急預(yù)案工作小組；2006年國務(wù)院頒布了《國家突發(fā)公共事件總體應(yīng)急預(yù)案》，明確提出了應(yīng)對各類突發(fā)公共事件的工作原則，規(guī)定了國務(wù)院應(yīng)對特別重大突發(fā)公共事件的組織體系、工作機制等內(nèi)容，是指導(dǎo)預(yù)防和處置各類突發(fā)公共事件的規(guī)范性文件；2016年全國人民代表大會常務(wù)委員會發(fā)布了《中華人民共和國網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案作出了相應(yīng)規(guī)定，并將關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全作為單獨章節(jié)寫進此法中。2017年1月，中央網(wǎng)信辦印發(fā)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，同年5月，印發(fā)了《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》，旨在指導(dǎo)工業(yè)和信息化主管部門和工業(yè)企業(yè)做好工控系統(tǒng)信息安全事件應(yīng)急管理相關(guān)工作，保障工控系統(tǒng)信息安全。

應(yīng)急預(yù)案在應(yīng)對工控安全事件中起到舉足輕重的作用，可提高應(yīng)對工控安全事件的組織協(xié)調(diào)和應(yīng)急處置能力，預(yù)防和減少工控安全事件造成的損失和危害，保障工業(yè)生產(chǎn)正常運行，維護國家經(jīng)濟安全和人民生命財產(chǎn)安全。

2 工控系統(tǒng)相較信息系統(tǒng)的特殊性

目前網(wǎng)絡(luò)安全事件的應(yīng)急預(yù)案發(fā)展相對成熟，《信息安全技術(shù)信息安全事件分類分級指南》和《國家網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)預(yù)案》等規(guī)定已出臺，而工控系統(tǒng)由于自身的特殊性和復(fù)雜性[6，7]，其應(yīng)急預(yù)案仍在研究編制中。工業(yè)控制系統(tǒng)與傳統(tǒng)的信息系統(tǒng)相比有以下幾點特殊性：

（1）系統(tǒng)特征：信息系統(tǒng)是由計算機硬件、網(wǎng)絡(luò)和通訊設(shè)備、計算機軟件、信息資源、信息用戶和規(guī)章制度組成的以信息處理為基礎(chǔ)的人機一體化系統(tǒng)，工控系統(tǒng)如前所述，除了軟硬件系統(tǒng)和平臺，還包括人員，屬于信息物理融合系統(tǒng)。

（2）系統(tǒng)用途：信息系統(tǒng)通常是信息化領(lǐng)域的管理運行系統(tǒng)，實現(xiàn)數(shù)據(jù)收集和輸入，具有數(shù)據(jù)存儲、傳輸、加工、查詢，統(tǒng)計分析、預(yù)測決策等功能，為單位的管理和業(yè)務(wù)工作服務(wù)，是以人使用信息管理為中心的系統(tǒng)；而工業(yè)控制系統(tǒng)是工業(yè)領(lǐng)域的生產(chǎn)運行系統(tǒng)，是控制生產(chǎn)過程的中心系統(tǒng)。

（3）系統(tǒng)要求：信息系統(tǒng)要求保障業(yè)務(wù)安全，確保信息系統(tǒng)的保密性、完整性和可用性，而工控系統(tǒng)要求保障生產(chǎn)安全，對工控系統(tǒng)的連續(xù)性、實時性有更高的要求。

（4）造成影響：信息系統(tǒng)發(fā)生安全事件可能造成信息泄露、數(shù)據(jù)被篡改、造成社會負面影響等危害，而工控系統(tǒng)發(fā)生安全事件可能造成人員傷亡、對環(huán)境造成破壞、帶來社會恐慌、造成較大的經(jīng)濟損失等嚴重后果。

3 編制工控系統(tǒng)應(yīng)急預(yù)案的難點

（1）人員安全意識不強，對應(yīng)急預(yù)案的重視不夠。傳統(tǒng)的工控系統(tǒng)與互聯(lián)網(wǎng)為物理隔離，受到來自網(wǎng)絡(luò)的攻擊較少，隨著工控系統(tǒng)與互聯(lián)網(wǎng)的不斷融合，受到的威脅顯著增多，但系統(tǒng)相關(guān)的管理人員、工作人員由于長期缺乏安全需求的推動，安全意識和相關(guān)技術(shù)相對欠缺。大量工業(yè)企業(yè)責任人對網(wǎng)絡(luò)安全工作認識還不到位，重發(fā)展輕安全，對應(yīng)急預(yù)案缺乏重視。

（2）安全事件涉及面大，責任難明確。工控應(yīng)急涉及多個部門甚至多家單位，造成應(yīng)急組織機構(gòu)關(guān)系復(fù)雜、各機構(gòu)職責不明確等難題。安全事件發(fā)生后，難以第一時間聯(lián)系到各環(huán)節(jié)負責人，應(yīng)急處置時間延長，存在造成更大損失的可能。

（3）安全事件等級劃分難以規(guī)范化。當前，對安全事件等級的研判主要依靠工作人員的經(jīng)驗，缺乏量化標準，容易出現(xiàn)對安全事件等級判斷不正確，導(dǎo)致采取的應(yīng)急處置措施有誤等情況。

（4）缺少應(yīng)急演練，應(yīng)急預(yù)案修訂困難。目前，工業(yè)企業(yè)很少針對工控系統(tǒng)開展應(yīng)急演練，即使開展演練也多采用紙上推演方式，難以發(fā)現(xiàn)應(yīng)急預(yù)案的不足并及時修正。

4 工控系統(tǒng)應(yīng)急預(yù)案編制對策

針對編制工控系統(tǒng)應(yīng)急預(yù)案的難點，提出以下幾點應(yīng)對策略：

（1）加強網(wǎng)絡(luò)安全培訓(xùn)教育工作，成立應(yīng)急領(lǐng)導(dǎo)小組。工控系統(tǒng)是工業(yè)生產(chǎn)系統(tǒng)，工業(yè)生產(chǎn)人員應(yīng)具備過硬的生產(chǎn)技術(shù)能力，但可能存在安全防護意識不強，缺乏網(wǎng)絡(luò)安全知識和應(yīng)急處置能力等問題。加強人員的網(wǎng)絡(luò)安全培訓(xùn)是形勢所需。可對工控系統(tǒng)相關(guān)人員開展網(wǎng)絡(luò)安全宣傳培訓(xùn)教育工作，定期開展應(yīng)急預(yù)案的培訓(xùn)工作等，利于應(yīng)急預(yù)案的編制。

（2）加強信息安全防護能力，成立技術(shù)支撐隊伍。建立工控安全應(yīng)急專家組，對工控系統(tǒng)應(yīng)急預(yù)案進行論證和審定；加強工控安全應(yīng)急技術(shù)支撐隊伍建設(shè)，做好工控安全事件的監(jiān)測預(yù)警、預(yù)防防護、應(yīng)急處置、應(yīng)急技術(shù)支援工作。

（3）建立應(yīng)急聯(lián)動機制，便于及時開展應(yīng)急處置工作。建立《應(yīng)急單位負責人清單》，一旦發(fā)生安全事件，可通過清單第一時間聯(lián)系到責任人，便于應(yīng)急預(yù)案開展、協(xié)調(diào)，使應(yīng)急響應(yīng)時間最小化。當責任人員發(fā)生變動時，及時更新清單，確保清單人員的有效性。

（4）細化工控系統(tǒng)安全事件類型，根據(jù)不同事件制定處置流程。工控系統(tǒng)涉及眾多行業(yè)，包括電力、交通運輸、水力、能源等，不同行業(yè)發(fā)生安全事件后造成的影響不同，處置流程不能一概而論，針對不同安全事件類型，制定具有針對性的處置流程，使應(yīng)急預(yù)案具有可實施性，事件發(fā)生后，能指導(dǎo)相關(guān)人員立即采取有效措施，防止事態(tài)進一步擴大，減少損失。

（5）加強應(yīng)急演練，在實踐中不斷修訂應(yīng)急預(yù)案。通過應(yīng)急演練可建立健全工控信息安全事件應(yīng)急預(yù)案工作機制，鍛煉相關(guān)部門、單位和人員應(yīng)對工控信息安全突發(fā)事件的組織指揮能力和應(yīng)急處置能力，在演練過程中發(fā)現(xiàn)預(yù)案的不足之處，探索有效、合理的事件應(yīng)急處置流程和方法，在實踐中不斷優(yōu)化應(yīng)急預(yù)案，提高應(yīng)急工作的水平和效率。

5 結(jié) 語

編制工控安全應(yīng)急預(yù)案是當前各省、市信息化主管部門和工控企業(yè)迫在眉睫的任務(wù)，是一項非常重要的基礎(chǔ)管理工作，應(yīng)急預(yù)案是否有效，關(guān)乎人員安全、企業(yè)利益、社會穩(wěn)定等大問題，必須給予高度的重視。本文通過比較工控系統(tǒng)與信息系統(tǒng)的不同點，分析了編制工控安全應(yīng)急預(yù)案的幾個難點，最后提出了編制工控安全應(yīng)急預(yù)案的對策，為相關(guān)工控安全提供了借鑒參考。

參考文獻

[1]工業(yè)和信息化部. 工業(yè)控制系統(tǒng)信息安全防護能力評估方法[S].2017

[2]工業(yè)和信息化部. 工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南[S].2017

[3]彭勇，江常青，謝豐，等.工業(yè)控制系統(tǒng)信息安全研究進展[J].清華大學學報（自然科學版），2012，52（10）：1396-1408.

[4]國家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟. 工業(yè)信息安全態(tài)勢白皮書[R]. 2017

[5]周慧娟. 鐵路應(yīng)急管理中的預(yù)案管理與資源配置優(yōu)化[D]. 北京：北京交通大學，2011：1-8.

[6] DAVID A. Multiple efforts to secure control systems are under way，but challenges remain，GAO-07-1036[R]. Washington DC，USA：US government accountability office（US GAO），2007.

[7] NIST SP800-82. Guide to industrial control systems（ICS）security[S]. Gaithersburg，USA：National institute of standards and technology（NIST），2011.

[8]王小山，楊安，石志強，等. 工業(yè)控制系統(tǒng)信息安全新趨勢[J]信息網(wǎng)絡(luò)安全，2015（1）：6-11.