工控系統里不可忽視的安全問(wèn)題

　　2011年10月25日發(fā)布了關(guān)于加強工業(yè)控制系統信息安全管理的通知，要求各地區、各有關(guān)部門(mén)、有關(guān)國有大型企業(yè)充分認識工業(yè)控制系統信息安全的重要性和緊迫性，切實(shí)加強工業(yè)控制系統信息安全管理，以保障工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全。

　　2013年8月22日國家發(fā)改委下發(fā)《關(guān)于組織實(shí)施2013年國家信息安全專(zhuān)項有關(guān)事項的通知》，這是繼去年該專(zhuān)項后的又一次政策支持。此次專(zhuān)項主要針對金融、云計算與大數據、信息系統保密管理、工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要而來(lái)，專(zhuān)項重點(diǎn)支持領(lǐng)域包括金融信息安全領(lǐng)域、云計算與大數據信息安全領(lǐng)域、信息安全分級保護領(lǐng)域、工業(yè)控制信息安全等四大領(lǐng)域。

　　發(fā)展現狀分析

　　工業(yè)領(lǐng)域的安全可分為三類(lèi)，即功能安全（FunctionSafety），物理安全（PhysicalSafety）和信息安全（Information Security）。作為信息安全，包含范圍很大，工業(yè)控制系統的信息安全只是其中的一部分。我們要在全面了解通用信息安全的同時(shí)，了解工業(yè)控制系統信息安全的個(gè)性要求。

　　從總體結構上來(lái)講，工業(yè)系統網(wǎng)絡(luò )可分為三個(gè)層次：企業(yè)管理層、數采信息層和控制層。企業(yè)管理層主要是辦公自動(dòng)化系統，一般使用通用以太網(wǎng)，可以從數采信息層提取有關(guān)生產(chǎn)數據用于制定綜合管理決策。數采信息層主要是從控制層獲取數據，完成各種控制、運行參數的監測、報警和趨勢分析等功能?？刂茖迂撠熗ㄟ^(guò)組態(tài)設汁，完成數據采集、A/D轉換、數字濾波、溫度壓力補償、PID控制等各種功能。

　　近十年來(lái)，隨著(zhù)信息技術(shù)的迅猛發(fā)展，信息化在生產(chǎn)企業(yè)中的應用取得了飛速發(fā)展，互聯(lián)網(wǎng)技術(shù)的出現，使得工業(yè)控制網(wǎng)絡(luò )中大量采用通用TCP/IP技術(shù)，ICS網(wǎng)絡(luò )和企業(yè)管理網(wǎng)的聯(lián)系越來(lái)越緊密。另一方面，傳統工業(yè)控制系統采用專(zhuān)用的硬件、軟件和通信協(xié)議，設計上基本沒(méi)有考慮互聯(lián)互通所必須考慮的通信安全問(wèn)題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護功能都很弱或者甚至幾乎沒(méi)有隔離功能，因此在工控系統開(kāi)放的同時(shí)，也減弱了控制系統與外界的隔離，工控系統的安全隱患問(wèn)題日益嚴峻。系統中任何一點(diǎn)受到攻擊都有可能導致整個(gè)系統的癱瘓。

　　隨著(zhù)信息化和工業(yè)化深度融合的推進(jìn)，網(wǎng)絡(luò )化管理操作成為重要的發(fā)展趨勢，同時(shí)也使得針對工業(yè)控制系統的病毒和木馬攻擊也呈現出攻擊來(lái)源復雜化、攻擊目的多樣化以及攻擊過(guò)程持續化的特征。此外，由于我國芯片、操作系統等軟、硬件產(chǎn)品，以及通用協(xié)議和標準90%以上依賴(lài)進(jìn)口，這使得我國工控系統的核心技術(shù)受制于國外，高端市場(chǎng)擁有自主知識產(chǎn)權的產(chǎn)品和系統較少?，F在，工控安全開(kāi)始被廣泛關(guān)注，隨著(zhù)移動(dòng)互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和海量數據的應用，也將我國本土信息安全技術(shù)創(chuàng )新和產(chǎn)業(yè)化推向飛速發(fā)展的前沿。

　　工業(yè)控制系統信息安全的三個(gè)目標優(yōu)先級服務(wù)為可用性、完整性、保密性。對于今后信息安全產(chǎn)業(yè)發(fā)展的趨勢，智能化、運營(yíng)化、精細化是未來(lái)發(fā)展的必然選擇，在大數據時(shí)代的智能化安全，將通過(guò)對海量安全數據的挖掘，通過(guò)數據融合，智能化深入分析和良好呈現，更注重體系的安全態(tài)勢預知，強調系統的“預防”能力。

　　應對措施分析

　　一是加強連接管理，嚴格管理工業(yè)控制系統與公共網(wǎng)絡(luò )之間連接，嚴格控制移動(dòng)設備的交叉使用。

　　二是加強組網(wǎng)管理，同步規劃、同步建設、同步運行安全防護措施，采用虛擬專(zhuān)用網(wǎng)絡(luò )、冗余備份、數據加密、身份認證等措施，加強關(guān)鍵工業(yè)控制系統通信網(wǎng)絡(luò )的防護。

　　三是加強配置管理，建立服務(wù)器等關(guān)鍵設備安全配置和審計制度，嚴格賬戶(hù)、口令以及端口和服務(wù)的管理。

　　四是加強設備選擇與升級管理，嚴格設備采購、技術(shù)服務(wù)的安全管理，嚴格軟件升級、補丁安裝管理。

　　五是加強數據管理，通過(guò)采取訪(fǎng)問(wèn)權限控制、數據加密、安全審計、災難備份等措施加強對地理、礦產(chǎn)、原材料等國家基礎數據以及其他重要敏感數據的保護，切實(shí)維護個(gè)人權益、企業(yè)利益和國家信息資源安全。