對工業控制系統信息安全防護的思考

◆李 季

（廣州地鐵集團有限公司 廣東 510330）

隨著“工業 4.0”時代的來臨、“互聯網+”的提出以及“兩化融合”腳步的加快，工業自動化與控制網絡也向著分布式、智能化的方向迅速發展，越來越多基于TCP/IP的通信協議和接口被采用[1]。然而，在工業控制系統越來越開放的同時，也同步削弱了與外界的隔離和安全保護。因此，企業在享受網絡互連帶來的種種便利的同時也面臨著各種各樣的網絡安全威脅，包括病毒、木馬、黑客以及敵對勢力。再加上工業控制系統的漏洞逐年增多，工業控制系統被攻擊的可能性變為現實，一旦工業控制系統遭到攻擊，不僅導致大規模的財產損失和人員傷亡，甚至可能威脅國家安全。

1 工業控制系統的安全問題

（1）意識不到位、組織無保障

對于工業控制系統信息安全問題，因為本廠、本行業沒有出現過安全事件，上級領導和主管單位沒有明確要求，國家和行業沒有參考標準，多數企業表現出對工作沒有緊迫性。企業沒有中長期戰略，沒有預算開展本項工作，對于工業控制系統的信息安全，沒有主責領導，沒有保障團隊，沒有工作體系。

（2）制度不完善、應急靠經驗

現在大部分行業還未形成完整的工業控制系統信息安全保障體系，缺乏工業控制系統規劃、建設、運維和廢止全生命周期的信息安需求，欠缺配套的管理體系、處理流程、人員責任等規定。對于安全事件預防、響應、處置及應急不夠健全，缺乏應急響應組織和標準化的事件處理流程，發生信息安全事件后通常依靠經驗判斷安全事件影響范圍，嚴重性、逐一排查，響應能力不高。

（3）技術尚不足，產品靠國外

目前，我國工業控制系統中的80%以上的PLC、操作系統、工業應用軟件以及工業協議和標準接口依賴進口。國外產品不排除留有后門的可能性，以及工業控制系統暴露的安全漏洞逐年增多，給安全生產帶來了威脅。

（4）互聯互通，卻在裸奔

隨著OT技術和IT技術的不斷融合，工業控制系統逐步與辦公網、互聯網進行了互聯，但是缺少安全防護措施。各系統之間未進行邊界防護，網絡中存在的威脅無法感知，病毒木馬入侵難以阻斷，違規操作、誤操作屢有發生，非法終端接入無法管控，安全事件不斷發生。

（5）人員欠專業，情報未共享

工業控制系統信息安全是一個新興的交叉領域，要求從事該領域的技術人員既要懂工業控制系統，又要有信息安全的知識，同時還要對網絡知識有所了解。目前，市場上也現成的復合型人才較少，專業人才的缺乏對工業控制網絡安全防護的發展形成明顯的制約。

2 加強工業控制系統安全防護的工作建議

2.1 確定工業控制系統目錄，實施分類分級管理

一是根據國家系列文件中關于工業控制系統的定義和范圍，以及我國工業控制系統承載業務的重要程度，明確劃定我國工業控制系統類別和范圍，制定我國工業控制系統目錄，建立針對工業控制系統核心控制器、工作站、服務器、網絡設備和安全設備等資產的認定和清查登記制度，定期開展工業控制系統普查登記工作；

二是盡快啟動我國工業控制系統網絡安全檢查，從涉及國計民生的關鍵業務入手，理清可能影響關鍵業務運轉的工業控制系統，準確掌握我國工業控制系統的安全狀況，科學評估面臨的網絡安全風險，以查促管、以查促防、以查促改、以查促建，同時為構建工業控制系統分類分級安全管理保障體系提供基礎性數據和參考；

三是充分借鑒國外工業控制系統信息安全分類保護的先進經驗和做法[2]，按照國內工業控制系統等級保護相關標準和規定要求，建立適用于我國不同工業控制系統的抗威脅能力分類分級安全管理體系，建立包括信息安全技術標準、信息安全保護計劃、信息安全預案等在內的工業控制系統信息安全保護技術框架體系，根據系統特征提供針對性信息安全保護技術方案。

2.2 健全工業控制系統安全監管體系，加大監管力度

（1）建立健全安全監管工作機制

成立我國工業控制系統管理委員會，建立高效有力的網絡空間協調指揮機制；明確我國工業控制系統安全保護職能部門，具體負責我國工業控制系統的安全防護和管理工作，統籌協調網絡與信息的安全保障工作；建立包括自評估、委托評估和檢查評估等不同形式的工業控制系統信息安全風險評估制度。

（2）加大工業控制系統安全產品監管與引導工作力度

一是建立工控產品分類、優先級采購、測評認證、觸發式調查和反調查等內容在內的供應鏈安全風險管理制度，對投入使用的工控產品進行安全準入認證；二是在當前工控領域國外進口產品依然占據著主導地位的情況下，應制定專門規定，敦促相關供應商及時處理自身產品存在的漏洞、進行系統升級或安裝補丁；三是出臺激勵政策，鼓勵單位優先采用性能可靠、具有自主知識產權的國產化工控和安全防護裝備；四是適時組織技術交流和調研，引導國外知名工控設備供應商與國內優秀工控安全廠商開展合作。

（3）建立健全工控安全事件應急響應與處理機制

建立不同部門主導、不同目的和技術實現手段、針對不同對象建立健全包括應急處理協調、指揮調度、安全信息通報、應急處置預案、災難備份設施、信息安全應急支援服務在內的信息安全應急處置機制，建立完善事件分析和責任追究體制。

2.3 鼓勵工業控制系統安全科技創新，提高防護水平

應加快推進工業控制系統的關鍵技術突破和產品國產化進程，重點在工業控制領域協議安全、核心控制芯片、系統漏洞分析挖掘、系統完整性校驗、篡改恢復等關鍵技術方面實現突破，實現嵌入式工業可信安全終端、工控安全互聯中間件、訪問控制、工控診斷大數據平臺、安全運維監管平臺、工業網絡APT防護、工控異常監測系統、入侵誘捕和分析系統等產品產業化。

2.4 開展工業控制系統網絡安全培訓，強化人才培養

一是注重工業控制系統安全專業技術人才培養。政府應加大投入，推動我國屬高校工控網絡安全學科建設和教學、實踐環境建設，加強專業人才培養。

二是單位加大工控安全專業從業人員專業技能培訓力度。

2.5 建立工業控制系統信息共享平臺，提升態勢感知能力

借鑒美國、歐盟等的先進經驗，充分了解工業控制系統提供商、運營單位、政府部門、信息安全承包商、專家隊伍、公眾等各方對信息共享的需求[3]，盡快建立有效的工業控制系統風險信息共享機制，明確信息共享的條件，建立包括安全信息收集、上報、通報、匯總、分析、發布、共享以及共享主體、共享內容、共享流程、共享的技術和政策保障措施等內容的信息安全合作共享制度和公共服務平臺，打破“信息孤島”，建立態勢感知監測預警平臺。

3 結束語

本文針對我國當前工業控制系統存在的問題，提出了相應的安全防護工作建議，為我國工業控制系統安全防護建設工作提供可參考的理論依據。