工業(yè)化與信息化的融合，促進(jìn)工業(yè)生產(chǎn)的同時(shí)，也存在不少弊端。信息安全問(wèn)題始終影響工業(yè)生產(chǎn)安全。當(dāng)前工業(yè)控制系統(tǒng)的脆弱性，給安全問(wèn)題帶來(lái)巨大隱患。

隨著工業(yè)化與信息化進(jìn)融合發(fā)展，更多的信息技術(shù)應(yīng)用到工業(yè)領(lǐng)域。目前，超過(guò)80%的涉及基礎(chǔ)設(shè)施實(shí)現(xiàn)自動(dòng)化作業(yè)需要利用工業(yè)控制系統(tǒng)，可以說(shuō)工業(yè)控制系統(tǒng)已經(jīng)成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。因此，工業(yè)控制系統(tǒng)安全關(guān)系到國(guó)家戰(zhàn)略安全。

另一個(gè)關(guān)系到工業(yè)安全的信息安全問(wèn)題也得到國(guó)家的高度重視。各領(lǐng)域的信息安全需求不斷增加，新的安全技術(shù)不斷涌現(xiàn)。在“工業(yè)4.0”的引領(lǐng)下，封閉的工業(yè)控制網(wǎng)絡(luò)逐步向著互連互通發(fā)展，并成為不可避免的趨勢(shì)，這必然會(huì)產(chǎn)生大量的工業(yè)信息安全問(wèn)題。

兩化深度融合“脆弱”的控制系統(tǒng)亟需防護(hù)

工業(yè)與信息互聯(lián)互通下，控制系統(tǒng)的脆弱弊端暴露無(wú)遺。但工業(yè)控制系統(tǒng)領(lǐng)域與傳統(tǒng)的信息安全領(lǐng)域有很大的不同。工業(yè)控制系統(tǒng)強(qiáng)調(diào)的是工業(yè)自動(dòng)化過(guò)程及相關(guān)設(shè)備的智能控制、監(jiān)測(cè)與管理，而且更為關(guān)注系統(tǒng)的實(shí)時(shí)性與業(yè)務(wù)連續(xù)性。

當(dāng)前主流的工業(yè)控制系統(tǒng)普遍存在安全漏洞，而這些漏洞中甚至是能造成遠(yuǎn)程攻擊、越權(quán)執(zhí)行的嚴(yán)重威脅類(lèi)漏洞。近兩年內(nèi)，這些漏洞的數(shù)量更是呈快速增長(zhǎng)的趨勢(shì)。工業(yè)控制系統(tǒng)通信協(xié)議種類(lèi)繁多、系統(tǒng)軟件難以及時(shí)升級(jí)、設(shè)備使用周期長(zhǎng)以及系統(tǒng)補(bǔ)丁兼容性差、發(fā)布周期長(zhǎng)等現(xiàn)實(shí)問(wèn)題，導(dǎo)致工業(yè)控制系統(tǒng)的補(bǔ)丁管理困難。因此，在處理威脅嚴(yán)重的漏洞時(shí)，十分棘手。

此外，操作管理人員的技術(shù)水平和安全意識(shí)差別較大，人員安全意識(shí)缺乏容易發(fā)生越權(quán)訪問(wèn)、違規(guī)操作，給生產(chǎn)系統(tǒng)埋下極大的安全隱患。同時(shí)，工業(yè)控制系統(tǒng)領(lǐng)域還沒(méi)有足夠的安全政策、管理制度，來(lái)規(guī)范操作管理人員。在面對(duì)新型的APT攻擊時(shí)，相關(guān)人員無(wú)從下手，嚴(yán)重缺乏有效的應(yīng)對(duì)措施。

國(guó)內(nèi)系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)化任重道遠(yuǎn)

面對(duì)如此脆弱的工業(yè)控制系統(tǒng)，不得不面對(duì)工控安全問(wèn)題時(shí)，國(guó)家開(kāi)始采取措施來(lái)彌補(bǔ)不足。目前，公安部牽頭組織編制工業(yè)控制系統(tǒng)信息安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)，包括基本要求、設(shè)計(jì)技術(shù)指南和測(cè)評(píng)要求三部分。針對(duì)不同的具體工業(yè)控制系統(tǒng)，各項(xiàng)標(biāo)準(zhǔn)也在加緊制定過(guò)程中，比如，報(bào)至全國(guó)工業(yè)過(guò)程測(cè)量和控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)聯(lián)合全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的可編程序控制器（PLC）系統(tǒng)信息安全要求、集散控制系統(tǒng)（DCS）安全防護(hù)要求等。

在工業(yè)行業(yè)領(lǐng)域，國(guó)家能源局信息中心和北京油氣調(diào)控中心分別牽頭組織編制相關(guān)專(zhuān)業(yè)領(lǐng)域安全防護(hù)標(biāo)準(zhǔn)?？傮w來(lái)說(shuō)，國(guó)內(nèi)工業(yè)控制系統(tǒng)信息安全領(lǐng)域標(biāo)準(zhǔn)正在逐步建立和完善，在翻譯和消化國(guó)外類(lèi)似標(biāo)準(zhǔn)規(guī)范的同時(shí)，國(guó)內(nèi)工業(yè)控制系統(tǒng)制造企業(yè)積極參與標(biāo)準(zhǔn)制定工作，在技術(shù)要求的國(guó)產(chǎn)化方面起到了很大的作用。

目前，當(dāng)務(wù)之急是建立切實(shí)可行且行之有效的工業(yè)控制系統(tǒng)等級(jí)保護(hù)強(qiáng)制標(biāo)準(zhǔn)，約束新建工業(yè)控制系統(tǒng)信息安全的同時(shí)，也能對(duì)原有工業(yè)控制系統(tǒng)起到很好的監(jiān)督作用。此外，各個(gè)工業(yè)行業(yè)應(yīng)向電力行業(yè)看齊，積極制定符合本行業(yè)特征的工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)規(guī)范，以指導(dǎo)和規(guī)范本行業(yè)的工業(yè)控制系統(tǒng)信息安全工作。

工業(yè)控制系統(tǒng)安全建議

通常情況下，工業(yè)控制系統(tǒng)安全可以分成三個(gè)方面，即功能安全、物理安全和信息安全。功能安全是為了達(dá)到設(shè)備和工廠安全功能，受保護(hù)的、和控制設(shè)備的安全相關(guān)部分必須正確執(zhí)行其功能，而且當(dāng)失效或故障發(fā)生時(shí)，設(shè)備或系統(tǒng)必須仍能保持安全條件或進(jìn)入到安全狀態(tài)。物理安全是減少由于電擊、火災(zāi)、輻射、機(jī)械危險(xiǎn)、化學(xué)危險(xiǎn)等因素造成的危害。信息安全是能夠減少對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)和非授權(quán)或意外的變更、破壞或者損失。

工業(yè)控制系統(tǒng)安全的重要性及其普遍安全防護(hù)措施不足的現(xiàn)實(shí)，使得加強(qiáng)工業(yè)控制系統(tǒng)的安全性成為一項(xiàng)艱巨的任務(wù)。下面筆者總結(jié)了幾條工業(yè)控制系統(tǒng)安全防護(hù)的建議：

1、加強(qiáng)對(duì)工業(yè)控制系統(tǒng)的脆弱性的合作研究，提供針對(duì)性地解決方案和安全保護(hù)措施。

2、從源頭開(kāi)始控制，運(yùn)營(yíng)組織和關(guān)鍵提供商建立工業(yè)控制系統(tǒng)開(kāi)發(fā)的全生命周期安全管理。

3、分析檢測(cè)及防護(hù)，積極展開(kāi)與安全研究組織或機(jī)構(gòu)的合作，加強(qiáng)對(duì)分析研究。

4、同時(shí)開(kāi)發(fā)工業(yè)控制系統(tǒng)行業(yè)專(zhuān)用的漏洞掃描、補(bǔ)丁管理及系統(tǒng)配置核查工具。

5、盡可能采用安全的通信協(xié)議及規(guī)范，并提供協(xié)議異常性檢測(cè)能力，建立針對(duì)ICS的違規(guī)操作、越權(quán)訪問(wèn)等行為的有效監(jiān)管。

6、建立完善的ICS安全保障體系，加強(qiáng)安全運(yùn)維與管理。同時(shí)更要加強(qiáng)針對(duì)ICS的新型攻擊技術(shù)的防范研究。