淺談軍工企業工業控制系統信息安全

孫尚敏

（沈陽飛機工業（集團）有限公司，遼寧 沈陽 110850）

淺談軍工企業工業控制系統信息安全

孫尚敏

（沈陽飛機工業（集團）有限公司，遼寧 沈陽 110850）

隨著兩化融合的不斷推進，使工業控制系統信息安全問題逐步顯現。文章從軍工企業工業控制系統信息安全現狀入手，分析了軍工企業工業控制系統信息安全存在的風險，并對軍工企業工業控制系統信息安全的應對策略提出了建議。

軍工企業；工業控制系統；信息安全

隨著計算機和網絡技術的發展，特別是信息化與工業化得深度融合（即兩化融合），工業控制系統在軍工企業中的應用逐漸深入到生產制造的各個環節，它一方面提高了企業信息化和綜合自動化水平，另一方面實現了生產和管理的高效率、高效益。對于軍工企業生產制造能力起到了十分重要的作用。軍工企業作為國防科技工業的重要軍工制造力量，一直都是國內外間諜組織關注的重點目標。近年來，全球發生的多起針對工業控制系統的攻擊事件給人們敲響了警鐘。如何應對工業控制系統信息安全風險，是在兩化融合形勢下需要解決的現實問題。

1 軍工企業工業控制系統信息安全現狀

近年來，軍工企業為了提高生產率和生產的靈活性，自動化技術及聯系自動化“孤島”的工業控制系統得到了日益廣泛的應用。隨著ERP及MES等系統的實施，信息化的觸角已經延伸到軍工企業各個生產單元，包括零件制造、產品組裝等等。軍工企業工業控制系統在享受開放、互聯技術帶來的技術進步、生產效率提高與競爭力大大增強的同時，也面臨著越來越嚴重的安全威脅。

1.1 對工業控制系統信心安全重視不夠

多年來，軍工企業大都注重于管理網（尤其是涉密網）的信息安全，對于工業控制系統信息安全關注不多，重視不夠。即使對工業控制系統采取策略，大多也是針對生產流程，缺乏對信息安全問題的高度重視，并且，所采取的安全策略和防護方法大都參照管理網的防護措施開展，但目前信息安全的許多技術措施和設計準則制度如認證、訪問控制、消息完整性、最小權限等大多只適用于普通計算機或網絡設備，而工業控制系統并不在傳統的信息安全防護范疇，致使所部署的信息安全解決方案會影響到企業生產運營，造成部分企業消極應對工業控制系統信息安全防護。

1.2 對國外產品依賴大

目前，軍工企業很大一部分工業控制系統主要軟件、硬件、通信設備、技術標準基本上都引進自國外。以數控設備為例，國外的比例已經達到50%以上，西門子、羅克韋爾、IGSS等國際知名廠商生產的工業控制設備占據我國工業控制系統的主要地位。而數控操作系統國外產品的使用率更是達到了70%以上，國產的工業控制系統往往也都采用國外的產品和技術。這種情況下，國內對于國外產品的“底細”了解的并不完全清楚，缺乏核心知識產權，技術漏洞主要從國外公開報道中得知，安全防護缺乏主動權。

1.3 與管理網數據交換隱患大

軍工企業工業控制系統主要用于下發、接收工業控制指令進行生產加工活收集各設備運行狀態信息，這些都需要將工業控制系統與管理網（大多是涉密網）進行連接以便進行數據交換。由于工業控制系統本身的復雜性和封閉性，暫還不能對工業控制系統實施有效技術管控。當工業控制系統組成一個龐大網絡時，其運行安全風險急劇加大，核心數據易被攻擊者竊取或篡改破壞。

2 軍工企業工業控制系統信息安全所面臨的風險

由于工業控制系統使用的通用協議、應用軟件、安全策略甚至硬件上存在諸多的安全缺陷，結合軍工企業管理實際，風險主要包括工業控制系統自身風險、人員風險和維修風險。

2.1 工業控制系統自身風險

主要包括與工業控制系統相關的硬件和軟件的風險。硬件風險主要表現在工業控制設備各種外部接口功能復雜，難以監管，給外部設備接入帶來極大便利，同時使用的可控制編輯器（Programmable Logic Controller，PLC）控制器、電腦工作站、網絡設備和交換機以及由路由器產生漏洞易造成信息安全風險；軟件風險主要包括操作系統平臺（如Windows 操作系統）、工業控制系統和應用軟件漏洞引發的風險。由于工業控制系統的獨立性，考慮到系統的穩定運行，很多時候不會對Windows平臺安裝補丁及殺毒軟件，這存在著較大的安全威脅。

2.2 人員風險

軍工企業生產現場環境復雜開放、人員流動較大，系統操作人員多為非密人員，保密意識比較淡薄，保密技能掌握不熟練。在工作中，操作和使用工業控制系統幾乎無限制。

2.3 維修風險

軍工企業個別工業控制系統的維修管理難以有效掌控。部分進口工業控制系統需要通過互聯網遠程連接進行故障診斷，外來維修人員因技術保密需要使用自身便攜式計算機進行設備診斷等。維修設備接入互聯網或外來介質設備，帶來極大的安全風險。

3 軍工企業工業控制系統信息安全應對策略

軍工企業在保證工業控制系統保密性、完整性及可用性的前提下，建議從國家、工業控制生產和防護企業及軍工企業用戶等3個層面開展以下幾方面應對工作：

3.1 國家層面

（1）加快工業控制系統信息安全體系建設。加強對工業控制系統安全防護工作的組織領導和宏觀規劃，通過開展調查研究等方式，深入研究我國工業控制系統的行業特點和需求，明確工業控制系統的安全防護策略，形成我國自主的工業控制系統安全體系。

（2）完善工業控制系統信息安全相關政策法規及技術標準。借鑒歐美國家先進管理經驗及防護標準，結合國內實際情況，制定“工業控制信息安全管理辦法”及“工業控制系統信息安全防護標準”“工業控制系統信息安全防護指南”等頂層指導性文件。

（3）開展工業控制系統風險評估工作。由國家機關組織專業的第三方機構，對重點軍工制造企業的關鍵工業控制系統實施定期的漏洞分析與風險評估工作，以保證軍工企業關鍵工業控制系統安全穩定運行。

3.2 工業控制生產和防護企業

（1）進一步提國產技術和產品的安全性，加快研發工業控制系統安防的技術和產品。當前，軍工企業工業控制系統大量采用國外產品，依賴性較大，加強技術革新，堅持自主研發、自主創新的道路，使國產軟件滿足我國本土需要的同時，具有更高的安全性和可靠性，以從容應對大型系統、復雜系統及特殊領域自動化系統面臨的安全性問題。

（2）大力推進信息安全防護企業的研發力度，引導社會科研力量關注工業控制系統安全基礎理論、關鍵技術等重點課題，吸引社會資源參與工業控制系統信息安全防護研發。

3.3 軍工企業

（1）建立工業控制系統信息安全責任制。軍工企業應按照誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，建立健全信息安全責任制。明確工業控制設備和工業控制系統的歸口管理部門，明確管理職責，同事，建立人與設備一一對應制度，即一臺工業控制設備指定一個責任人，設備的安全由指定人員負責，出現問題由其承擔。

（2）加強工業控制系統的信息安全管理。采取技術措施與管理措施相結合的方法。在技術方面，采用簡單易行的技術，力求不影響工業控制系統的實時性；在保證系統功能和性能的前提下，盡量減少通信信息技術的使用。在管理方面，采取對工業控制系統單獨組網的方式，實現與管理網的物理隔離，采取設備專用窗口機刻錄光盤的方式進行數據交換；指定工業控制系統信息數據交換介質為光盤；定期對工業控制系統進行監督檢查，重點關注維修環節，重點檢查外來介質設備的使用情況。

（3）開展工業控制系統信息安全教育。主要包括對工業控制系統操作人員和信息安全管理人員的教育。通過定期開展專項信息安全教育，使其知悉工業控制系統存在的安全隱患及風險，結合國際國外典型攻擊案例，促進其在日常工業中養成按章操作的良好習慣，不斷提升信息安全方面的專業技能。

4 結語

工業控制系統已經成為軍工制造企業提高生產力和提升生產效能的有力武器，目前，工業控制系統信息安全問題并沒有十分完備的解決方案，國家有關部門應加快工業控制系統信息安全體系建設的步伐，明確工業控制系統信息安全防護方案，開展定期風險評估提出風險應對方案，通過提高自主可控產品的研發能力，提升國產工業控制系統設備競爭力，才能真正確保軍工企業工業控制系統的信息安全。

[1]楊建軍.工業控制系統信息安全標準化[J].信息技術與標準化，2012（3）：20-23.

[2]尹肖棟.論工業控制系統信息安全監控管理建設[J].計算機，2013（20）：168-170.

[3]李戰寶，張文貴，潘卓，等.美國確保工業控制系統安全的做法及對我們的啟示[C].北京：第27次全國計算機安全學術交流會（論文集），2012：51-53.

[4]劉斌.從“震網”病毒看工業控制系統的安全[J].科技廣場，2012（8）：55-57.

[5]韓曉波.企業工業控制網絡安全技術探討及實現[J].自動化及儀表，2012（4）：498-503.

[6]何之棟.工業控制系統的信息安全問題研究[J].工業控制計算機，2013（10）：1-4.

Discussion on information security of industrial control system in military enterprises

Sun Shangmin
（Shenyang Aircraft Industry (Group) Co., Ltd., Shenyang 110850, China）

With the continuous advance of the integration of the two, the information security problem of industrial control system appears gradually. This article analyzed the risk of information security of industrial control system of military enterprises from the military enterprise information security status of industrial control system, and put forward some suggestions on coping strategies of industrial control system information security of military enterprises.

military enterprises; industrial control system; information security

孫尚敏（1983— ），女，遼寧沈陽，碩士，工程師；研究方向：保密技術管理，信息安全。