工控系統(tǒng)里不可忽視的安全問題

　　2011年10月25日發(fā)布了關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知，要求各地區(qū)、各有關(guān)部門、有關(guān)國有大型企業(yè)充分認(rèn)識(shí)工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性，切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理，以保障工業(yè)生產(chǎn)運(yùn)行安全、國家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全。

　　2013年8月22日國家發(fā)改委下發(fā)《關(guān)于組織實(shí)施2013年國家信息安全專項(xiàng)有關(guān)事項(xiàng)的通知》，這是繼去年該專項(xiàng)后的又一次政策支持。此次專項(xiàng)主要針對(duì)金融、云計(jì)算與大數(shù)據(jù)、信息系統(tǒng)保密管理、工業(yè)控制等領(lǐng)域面臨的信息安全實(shí)際需要而來，專項(xiàng)重點(diǎn)支持領(lǐng)域包括金融信息安全領(lǐng)域、云計(jì)算與大數(shù)據(jù)信息安全領(lǐng)域、信息安全分級(jí)保護(hù)領(lǐng)域、工業(yè)控制信息安全等四大領(lǐng)域。

　　發(fā)展現(xiàn)狀分析

　　工業(yè)領(lǐng)域的安全可分為三類，即功能安全（FunctionSafety），物理安全（PhysicalSafety）和信息安全（Information Security）。作為信息安全，包含范圍很大，工業(yè)控制系統(tǒng)的信息安全只是其中的一部分。我們要在全面了解通用信息安全的同時(shí)，了解工業(yè)控制系統(tǒng)信息安全的個(gè)性要求。

　　從總體結(jié)構(gòu)上來講，工業(yè)系統(tǒng)網(wǎng)絡(luò)可分為三個(gè)層次：企業(yè)管理層、數(shù)采信息層和控制層。企業(yè)管理層主要是辦公自動(dòng)化系統(tǒng)，一般使用通用以太網(wǎng)，可以從數(shù)采信息層提取有關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策。數(shù)采信息層主要是從控制層獲取數(shù)據(jù)，完成各種控制、運(yùn)行參數(shù)的監(jiān)測、報(bào)警和趨勢分析等功能。控制層負(fù)責(zé)通過組態(tài)設(shè)汁，完成數(shù)據(jù)采集、A/D轉(zhuǎn)換、數(shù)字濾波、溫度壓力補(bǔ)償、PID控制等各種功能。

　　近十年來，隨著信息技術(shù)的迅猛發(fā)展，信息化在生產(chǎn)企業(yè)中的應(yīng)用取得了飛速發(fā)展，互聯(lián)網(wǎng)技術(shù)的出現(xiàn)，使得工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP技術(shù)，ICS網(wǎng)絡(luò)和企業(yè)管理網(wǎng)的聯(lián)系越來越緊密。另一方面，傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議，設(shè)計(jì)上基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護(hù)功能都很弱或者甚至幾乎沒有隔離功能，因此在工控系統(tǒng)開放的同時(shí)，也減弱了控制系統(tǒng)與外界的隔離，工控系統(tǒng)的安全隱患問題日益嚴(yán)峻。系統(tǒng)中任何一點(diǎn)受到攻擊都有可能導(dǎo)致整個(gè)系統(tǒng)的癱瘓。

　　隨著信息化和工業(yè)化深度融合的推進(jìn)，網(wǎng)絡(luò)化管理操作成為重要的發(fā)展趨勢，同時(shí)也使得針對(duì)工業(yè)控制系統(tǒng)的病毒和木馬攻擊也呈現(xiàn)出攻擊來源復(fù)雜化、攻擊目的多樣化以及攻擊過程持續(xù)化的特征。此外，由于我國芯片、操作系統(tǒng)等軟、硬件產(chǎn)品，以及通用協(xié)議和標(biāo)準(zhǔn)90%以上依賴進(jìn)口，這使得我國工控系統(tǒng)的核心技術(shù)受制于國外，高端市場擁有自主知識(shí)產(chǎn)權(quán)的產(chǎn)品和系統(tǒng)較少?，F(xiàn)在，工控安全開始被廣泛關(guān)注，隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和海量數(shù)據(jù)的應(yīng)用，也將我國本土信息安全技術(shù)創(chuàng)新和產(chǎn)業(yè)化推向飛速發(fā)展的前沿。

　　工業(yè)控制系統(tǒng)信息安全的三個(gè)目標(biāo)優(yōu)先級(jí)服務(wù)為可用性、完整性、保密性。對(duì)于今后信息安全產(chǎn)業(yè)發(fā)展的趨勢，智能化、運(yùn)營化、精細(xì)化是未來發(fā)展的必然選擇，在大數(shù)據(jù)時(shí)代的智能化安全，將通過對(duì)海量安全數(shù)據(jù)的挖掘，通過數(shù)據(jù)融合，智能化深入分析和良好呈現(xiàn)，更注重體系的安全態(tài)勢預(yù)知，強(qiáng)調(diào)系統(tǒng)的“預(yù)防”能力。

　　應(yīng)對(duì)措施分析

　　一是加強(qiáng)連接管理，嚴(yán)格管理工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)之間連接，嚴(yán)格控制移動(dòng)設(shè)備的交叉使用。

　　二是加強(qiáng)組網(wǎng)管理，同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施，采用虛擬專用網(wǎng)絡(luò)、冗余備份、數(shù)據(jù)加密、身份認(rèn)證等措施，加強(qiáng)關(guān)鍵工業(yè)控制系統(tǒng)通信網(wǎng)絡(luò)的防護(hù)。

　　三是加強(qiáng)配置管理，建立服務(wù)器等關(guān)鍵設(shè)備安全配置和審計(jì)制度，嚴(yán)格賬戶、口令以及端口和服務(wù)的管理。

　　四是加強(qiáng)設(shè)備選擇與升級(jí)管理，嚴(yán)格設(shè)備采購、技術(shù)服務(wù)的安全管理，嚴(yán)格軟件升級(jí)、補(bǔ)丁安裝管理。

　　五是加強(qiáng)數(shù)據(jù)管理，通過采取訪問權(quán)限控制、數(shù)據(jù)加密、安全審計(jì)、災(zāi)難備份等措施加強(qiáng)對(duì)地理、礦產(chǎn)、原材料等國家基礎(chǔ)數(shù)據(jù)以及其他重要敏感數(shù)據(jù)的保護(hù)，切實(shí)維護(hù)個(gè)人權(quán)益、企業(yè)利益和國家信息資源安全。