工控系统里不可忽视的安全问题

　　2011年10月25日发布了关于加强工业控制系统信息安全管理的通知，要求各地区、各有关部门、有关国有大型企业充分认识工业控制系统信息安全的重要性和紧迫性，切实加强工业控制系统信息安全管理，以保障工业生产运行安全、国家经济安全和人民生命财产安全。

　　2013年8月22日国家发改委下发《关于组织实施2013年国家信息安全专项有关事项的通知》，这是继去年该专项后的又一次政策支持。此次专项主要针对金融、云计算与大数据、信息系统保密管理、工业控制等领域面临的信息安全实际需要而来，专项重点支持领域包括金融信息安全领域、云计算与大数据信息安全领域、信息安全分级保护领域、工业控制信息安全等四大领域。

　　发展现状分析

　　工业领域的安全可分为三类，即功能安全（FunctionSafety），物理安全（PhysicalSafety）和信息安全（Information Security）。作为信息安全，包含范围很大，工业控制系统的信息安全只是其中的一部分。我们要在全面了解通用信息安全的同时，了解工业控制系统信息安全的个性要求。

　　从总体结构上来讲，工业系统网络可分为三个层次：企业管理层、数采信息层和控制层。企业管理层主要是办公自动化系统，一般使用通用以太网，可以从数采信息层提取有关生产数据用于制定综合管理决策。数采信息层主要是从控制层获取数据，完成各种控制、运行参数的监测、报警和趋势分析等功能。控制层负责通过组态设汁，完成数据采集、A/D转换、数字滤波、温度压力补偿、PID控制等各种功能。

　　近十年来，随着信息技术的迅猛发展，信息化在生产企业中的应用取得了飞速发展，互联网技术的出现，使得工业控制网络中大量采用通用TCP/IP技术，ICS网络和企业管理网的联系越来越紧密。另一方面，传统工业控制系统采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通所必须考虑的通信安全问题。企业管理网与工业控制网的防护功能都很弱或者甚至几乎没有隔离功能，因此在工控系统开放的同时，也减弱了控制系统与外界的隔离，工控系统的安全隐患问题日益严峻。系统中任何一点受到攻击都有可能导致整个系统的瘫痪。

　　随着信息化和工业化深度融合的推进，网络化管理操作成为重要的发展趋势，同时也使得针对工业控制系统的病毒和木马攻击也呈现出攻击来源复杂化、攻击目的多样化以及攻击过程持续化的特征。此外，由于我国芯片、操作系统等软、硬件产品，以及通用协议和标准90%以上依赖进口，这使得我国工控系统的核心技术受制于国外，高端市场拥有自主知识产权的产品和系统较少。现在，工控安全开始被广泛关注，随着移动互联网技术的快速发展和海量数据的应用，也将我国本土信息安全技术创新和产业化推向飞速发展的前沿。

　　工业控制系统信息安全的三个目标优先级服务为可用性、完整性、保密性。对于今后信息安全产业发展的趋势，智能化、运营化、精细化是未来发展的必然选择，在大数据时代的智能化安全，将通过对海量安全数据的挖掘，通过数据融合，智能化深入分析和良好呈现，更注重体系的安全态势预知，强调系统的“预防”能力。

　　应对措施分析

　　一是加强连接管理，严格管理工业控制系统与公共网络之间连接，严格控制移动设备的交叉使用。

　　二是加强组网管理，同步规划、同步建设、同步运行安全防护措施，采用虚拟专用网络、冗余备份、数据加密、身份认证等措施，加强关键工业控制系统通信网络的防护。

　　三是加强配置管理，建立服务器等关键设备安全配置和审计制度，严格账户、口令以及端口和服务的管理。

　　四是加强设备选择与升级管理，严格设备采购、技术服务的安全管理，严格软件升级、补丁安装管理。

　　五是加强数据管理，通过采取访问权限控制、数据加密、安全审计、灾难备份等措施加强对地理、矿产、原材料等国家基础数据以及其他重要敏感数据的保护，切实维护个人权益、企业利益和国家信息资源安全。