工控系統里不可忽視的安全問題

　　2011年10月25日發布了關于加強工業控制系統信息安全管理的通知，要求各地區、各有關部門、有關國有大型企業充分認識工業控制系統信息安全的重要性和緊迫性，切實加強工業控制系統信息安全管理，以保障工業生產運行安全、國家經濟安全和人民生命財產安全。

　　2013年8月22日國家發改委下發《關于組織實施2013年國家信息安全專項有關事項的通知》，這是繼去年該專項后的又一次政策支持。此次專項主要針對金融、云計算與大數據、信息系統保密管理、工業控制等領域面臨的信息安全實際需要而來，專項重點支持領域包括金融信息安全領域、云計算與大數據信息安全領域、信息安全分級保護領域、工業控制信息安全等四大領域。

　　發展現狀分析

　　工業領域的安全可分為三類，即功能安全（FunctionSafety），物理安全（PhysicalSafety）和信息安全（Information Security）。作為信息安全，包含范圍很大，工業控制系統的信息安全只是其中的一部分。我們要在全面了解通用信息安全的同時，了解工業控制系統信息安全的個性要求。

　　從總體結構上來講，工業系統網絡可分為三個層次：企業管理層、數采信息層和控制層。企業管理層主要是辦公自動化系統，一般使用通用以太網，可以從數采信息層提取有關生產數據用于制定綜合管理決策。數采信息層主要是從控制層獲取數據，完成各種控制、運行參數的監測、報警和趨勢分析等功能?？刂茖迂撠熗ㄟ^組態設汁，完成數據采集、A/D轉換、數字濾波、溫度壓力補償、PID控制等各種功能。

　　近十年來，隨著信息技術的迅猛發展，信息化在生產企業中的應用取得了飛速發展，互聯網技術的出現，使得工業控制網絡中大量采用通用TCP/IP技術，ICS網絡和企業管理網的聯系越來越緊密。另一方面，傳統工業控制系統采用專用的硬件、軟件和通信協議，設計上基本沒有考慮互聯互通所必須考慮的通信安全問題。企業管理網與工業控制網的防護功能都很弱或者甚至幾乎沒有隔離功能，因此在工控系統開放的同時，也減弱了控制系統與外界的隔離，工控系統的安全隱患問題日益嚴峻。系統中任何一點受到攻擊都有可能導致整個系統的癱瘓。

　　隨著信息化和工業化深度融合的推進，網絡化管理操作成為重要的發展趨勢，同時也使得針對工業控制系統的病毒和木馬攻擊也呈現出攻擊來源復雜化、攻擊目的多樣化以及攻擊過程持續化的特征。此外，由于我國芯片、操作系統等軟、硬件產品，以及通用協議和標準90%以上依賴進口，這使得我國工控系統的核心技術受制于國外，高端市場擁有自主知識產權的產品和系統較少?，F在，工控安全開始被廣泛關注，隨著移動互聯網技術的快速發展和海量數據的應用，也將我國本土信息安全技術創新和產業化推向飛速發展的前沿。

　　工業控制系統信息安全的三個目標優先級服務為可用性、完整性、保密性。對于今后信息安全產業發展的趨勢，智能化、運營化、精細化是未來發展的必然選擇，在大數據時代的智能化安全，將通過對海量安全數據的挖掘，通過數據融合，智能化深入分析和良好呈現，更注重體系的安全態勢預知，強調系統的“預防”能力。

　　應對措施分析

　　一是加強連接管理，嚴格管理工業控制系統與公共網絡之間連接，嚴格控制移動設備的交叉使用。

　　二是加強組網管理，同步規劃、同步建設、同步運行安全防護措施，采用虛擬專用網絡、冗余備份、數據加密、身份認證等措施，加強關鍵工業控制系統通信網絡的防護。

　　三是加強配置管理，建立服務器等關鍵設備安全配置和審計制度，嚴格賬戶、口令以及端口和服務的管理。

　　四是加強設備選擇與升級管理，嚴格設備采購、技術服務的安全管理，嚴格軟件升級、補丁安裝管理。

　　五是加強數據管理，通過采取訪問權限控制、數據加密、安全審計、災難備份等措施加強對地理、礦產、原材料等國家基礎數據以及其他重要敏感數據的保護，切實維護個人權益、企業利益和國家信息資源安全。