控制系統安全防護 “強身健骨”是關鍵

工業化與信息化的融合，促進工業生產的同時，也存在不少弊端。信息安全問題始終影響工業生產安全。當前工業控制系統的脆弱性，給安全問題帶來巨大隱患。

隨著工業化與信息化進融合發展，更多的信息技術應用到工業領域。目前，超過80%的涉及基礎設施實現自動化作業需要利用工業控制系統，可以說工業控制系統已經成為國家關鍵基礎設施的重要組成部分。因此，工業控制系統安全關系到國家戰略安全。

另一個關系到工業安全的信息安全問題也得到國家的高度重視。各領域的信息安全需求不斷增加，新的安全技術不斷涌現。在“工業4.0”的引領下，封閉的工業控制網絡逐步向著互連互通發展，并成為不可避免的趨勢，這必然會產生大量的工業信息安全問題。

兩化深度融合“脆弱”的控制系統亟需防護

工業與信息互聯互通下，控制系統的脆弱弊端暴露無遺。但工業控制系統領域與傳統的信息安全領域有很大的不同。工業控制系統強調的是工業自動化過程及相關設備的智能控制、監測與管理，而且更為關注系統的實時性與業務連續性。

當前主流的工業控制系統普遍存在安全漏洞，而這些漏洞中甚至是能造成遠程攻擊、越權執行的嚴重威脅類漏洞。近兩年內，這些漏洞的數量更是呈快速增長的趨勢。工業控制系統通信協議種類繁多、系統軟件難以及時升級、設備使用周期長以及系統補丁兼容性差、發布周期長等現實問題，導致工業控制系統的補丁管理困難。因此，在處理威脅嚴重的漏洞時，十分棘手。

此外，操作管理人員的技術水平和安全意識差別較大，人員安全意識缺乏容易發生越權訪問、違規操作，給生產系統埋下極大的安全隱患。同時，工業控制系統領域還沒有足夠的安全政策、管理制度，來規范操作管理人員。在面對新型的APT攻擊時，相關人員無從下手，嚴重缺乏有效的應對措施。

國內系統安全防護標準化任重道遠

面對如此脆弱的工業控制系統，不得不面對工控安全問題時，國家開始采取措施來彌補不足。目前，公安部牽頭組織編制工業控制系統信息安全等級保護系列標準，包括基本要求、設計技術指南和測評要求三部分。針對不同的具體工業控制系統，各項標準也在加緊制定過程中，比如，報至全國工業過程測量和控制標準化技術委員會聯合全國信息安全標準化技術委員會的可編程序控制器（PLC）系統信息安全要求、集散控制系統（DCS）安全防護要求等。

在工業行業領域，國家能源局信息中心和北京油氣調控中心分別牽頭組織編制相關專業領域安全防護標準。總體來說，國內工業控制系統信息安全領域標準正在逐步建立和完善，在翻譯和消化國外類似標準規范的同時，國內工業控制系統制造企業積極參與標準制定工作，在技術要求的國產化方面起到了很大的作用。

目前，當務之急是建立切實可行且行之有效的工業控制系統等級保護強制標準，約束新建工業控制系統信息安全的同時，也能對原有工業控制系統起到很好的監督作用。此外，各個工業行業應向電力行業看齊，積極制定符合本行業特征的工業控制系統信息安全標準規范，以指導和規范本行業的工業控制系統信息安全工作。

工業控制系統安全建議

通常情況下，工業控制系統安全可以分成三個方面，即功能安全、物理安全和信息安全。功能安全是為了達到設備和工廠安全功能，受保護的、和控制設備的安全相關部分必須正確執行其功能，而且當失效或故障發生時，設備或系統必須仍能保持安全條件或進入到安全狀態。物理安全是減少由于電擊、火災、輻射、機械危險、化學危險等因素造成的危害。信息安全是能夠減少對系統資源的非授權訪問和非授權或意外的變更、破壞或者損失。

工業控制系統安全的重要性及其普遍安全防護措施不足的現實，使得加強工業控制系統的安全性成為一項艱巨的任務。下面筆者總結了幾條工業控制系統安全防護的建議：

1、加強對工業控制系統的脆弱性的合作研究，提供針對性地解決方案和安全保護措施。

2、從源頭開始控制，運營組織和關鍵提供商建立工業控制系統開發的全生命周期安全管理。

3、分析檢測及防護，積極展開與安全研究組織或機構的合作，加強對分析研究。

4、同時開發工業控制系統行業專用的漏洞掃描、補丁管理及系統配置核查工具。

5、盡可能采用安全的通信協議及規范，并提供協議異常性檢測能力，建立針對ICS的違規操作、越權訪問等行為的有效監管。

6、建立完善的ICS安全保障體?，加強安全運維與管理。同時更要加強針對ICS的新型攻擊技術的防范研究。