加强工业控制系统信息安全管理

    2011年，中国工业和信息化部发布了《关于加强工业控制系统信息安全管理的通知》（以下简称《通知》），该《通知》表示，基于2010年发生的“震网”病毒事件的前车之鉴，一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。《通知》中明确了重点加强核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统信息安全管理，落实安全管理要求。由此可见，中国的工业控制系统信息安全正面临着严峻的考验。

    工业安全问题主要分为两部分诠释：功能安全与信息安全。在“震网”事件爆发前，工业领域的安全问题还主要集中在功能安全上，而安全产品也多指安全开关、安全光栅等产品。近年来，随着互联网、物联网、云计算和大数据等新技术的应运而生，信息安全的漏洞引起了极大的关注。

    人们初初认识信息安全一词无疑是在IT界。当IT技术方案逐渐应用到工业控制系统中，用于提高企业业务系统之间的连接和远程访问能力时，控制系统网络也逐渐向更开放的工业以太网结构发展。开放性越来越强在给工业控制系统带来更好、更快发展的同时，IT技术的负面困扰也引入了工业控制系统，危及信息安全。然而，与传统的IT信息安全不同，工业控制系统的安全事件会导致轻则系统性能下降、关键数据丧失，重则系统失控、环境灾难、人员伤亡、严重经济损失，甚至危害公众生活和国家安全。

    事实上，所谓信息安全就是防止非法的攻击和病毒的传播，保证计算机系统和通信系统的正常运作，保证信息不被非法访问和篡改。随着国家大力推进工业化与信息化的深度融合，工业控制系统越来越多地采用通用协议、通用硬件和通用软件，以各种方式与办公网络、互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散。面对这样的挑战，我们首先要做的是进行网络防护，在自动化网络与办公网络之间使用防火墙进行隔离，或是利用一些三层交换机的安全策略进行网络隔离和保护。其次，要在监控计算机上安装必要的杀毒软件防止一些恶意软件和病毒木马的入侵。

    在落实工业控制系统信息安全方面，采用工业网络纵深防御是比较普遍且行之有效的方法。将“纵深防御”引入过程控制系统的信息安全解决方案，在外部边界的威胁和工控网络之间建立尽可能多层次的保护。从风险评估，到安全规划，再到按照纵深防御理念构建安全防护体系，包括网络分区与隔离、访问控制、系统加固、补丁管理等，最后完成持续改进的安全管理，通过四个阶段建立起工业网络纵深防御的体系框架。

    当然，解决工业控制系统信息安全问题，三分靠技术，七分靠管理，切实做好工业控制系统的安全培训工作与培养安全意识极为重要。《通知》也提出，要建立工业控制系统安全测评检查和漏洞发布制度。工业和信息化部要适时对重点领域工业控制系统信息安全进行抽查。同时，要进一步加强工业控制系统信息安全工作的组织领导。加强对工业控制系统信息安全工作的指导和督促检查。加强对重点领域工业控制系统信息安全管理工作的指导监督，结合行业实际制定完善相关规章制度，提出具体要求，并加强督促检查确保落到实处。

    如今，工业信息安全问题已经不完全以窃取信息和破坏计算机系统本体为目的，转而以破坏工业控制系统的被控对象为目的，并针对特定工业生产控制系统进行攻击。制造商必须将安全视为业务发展的需要，而不是一次性投资。同时，更要加强培养使用者对工业控制系统的安全意识，杜绝一切信息安全隐患。

 

相关文章