淺談企業工業控制系統信息安全工作

韋 烜

（中車四方車輛有限公司 山東 青島 266111）

1 引言

隨著互聯網技術的迅猛發展，兩化融合工作的深入推行，物聯網技術的全面開展，工業控制系統的應用范圍也越來越廣。同時也看到，工控系統近幾年爆發了很多信息安全事故，原來相對封閉的工業控制系統并不是想象的那么安全。大量黑客，尤其是有境外敵對勢力背景的組織，越來越多的參與到對工控系統的攻擊事件中。“棱鏡門事件”、“震網病毒”以及最近的“勒索病毒”事件帶來的巨大危害，讓我們意識到工控系統信息安全工作事關整個國家的安全。

2 工業控制系統信息安全法律法規

2016年10月，工信部印發了《工業控制系統信息安全防護指南》，是我國第一部系統性的介紹工控系統安全防護實施措施的指南。2017年6月1日正式實施的《網絡安全法》將關鍵信息基礎設施運行安全作為網絡安全的重要指標。由此將工控系統安全提升到國家法律層面，使工控系統的信息安全工作有法可依。

3 企業應從以下幾方面做好工業控制系統信息安全工作

3.1 管理方面

（1）企業應認真落實工業信息安全各項職責

企業應該依照《網絡安全法》和《工業控制系統信息安全防護指南》等法律法規的要求，切實履行工控系統信息安全主體責任。建立工業控制系統安全管理機制、成立信息安全領導小組等形式，明確責任人，落實責任制。

（2）增強工業控制系統信息安全意識

企業的領導尤其是高層領導應該對工控安全保障工作做出戰略性的引導和部署，在思想上提高重視，切實把工業控制系統信息安全工作列入重要議事日程，全面貫徹落實規章制度。每個員工都必須自覺的做好工業控制系統信息安全工作。要加強企業內部信息安全知識和技能的教育培訓，強化員工的安全意識，掌握相應的安全知識和安全技能，全面提升企業工業控制系統信息安全的保障能力。

（3）建立健全相應的工作隊伍

工業控制系統信息技術不斷推陳出新，對人才隊伍的建設也有著更高的要求。高素質的技術隊伍是做好工作的基礎。企業在注意人才的培養、使用的同時，對有突出貢獻的優秀人才要提供優厚的激勵措施。積極創造有利于人才成長的環境，加強人才隊伍的建設，為工業控制系統信息技術人才提供更好的實現人生價值的平臺。

3.2 技術方面

（1）做好防病毒工作

防病毒軟件以及應用程序白名單程序能有效阻止病毒的傳播，未授權應用程序和服務無法運行。安裝可靠的安全軟件以及建立相應的安全管理制度，確保工業控制系統的安全。

（2）配置和補丁管理

做好工業控制網絡、服務器和設備的安全配置，定時備份配置，完善日志審計工作。對重大配置變更，一定要先做好備份并進行嚴格的事前安全測試。在系統補丁安裝前，需對補丁進行嚴格的安全評估和測試驗證。

（3）邊界安全防護

企業應根據實際情況，在不同網絡邊界之間部署防火墻、入侵防御、網閘等設備，實現安全訪問控制，阻斷非法訪問行為，工業控制網絡原則上嚴格禁止與互聯網連接。

（4）身份認證

在主機設備登錄、應用服務資源訪問等過程中要進行嚴格的身份認證。對于關鍵設備、系統和平臺的訪問采用多種認證方式；合理分類設置賬戶權限，以最小特權原則分配賬戶權限；加強密碼管理，設置密碼復雜性規則，定期更新口令；逐步采用介質、指紋、人臉識別等新技術，加強對身份的認證。

（5）遠程訪問控制

嚴格控制工業控制系統開通HTTP、SSH、FTP、Telnet等服務，確需遠程訪問的，采用數據單向訪問控制等策略進行訪問，對訪問的IP地址進行控制，并采用加標鎖定策略。確需遠程訪問的，采用VPN等方式接入。充分保存相應的訪問日志，并定期進行安全審計。

（6）數據安全

對數據的存儲進行訪問加密，傳輸過程進行鏈路加密。根據重要性對數據進行分級管理。定期備份關鍵數據信息，建立數據安全管理制度。部署VPN對數據傳輸通道進行加密保護。部署數據審計系統。

4 結語

結合具體的工作實踐中，我提幾點自己的想法，不足之處請各位領導和專家指正。

（1）政府要增加對企業的資金支持

開展工業控制系統信息安全需要資金的支持。政府機關和事業單位有財政撥款，沒有資金壓力。而企業是自負盈虧，要完成每年的生產經營指標，為此企業需要不斷地開源節流、降本增效。指標能否完成與每個人的工資掛鉤。領導的首要目標是完成指標，讓職工的工資得到保障。在此基礎上才能優先考慮工業控制系統信息安全方面的投入，畢竟確保按時足額給職工發放工資才是頭等大事。因此需要政府在資金方面給予足夠的支持，使企業信息安全工作能有效的得以開展。

（2）對工業控制設備實行準入制度

政府要加強對工業控制設備生產企業的監管，企業生產的每一種工控設備都要通過國家相關部門的信息安全檢測，檢測合格的產品頒發許可批號，企事業單位只允許購買經過檢測合格的工業控制設備。使用工控設備的企事業單位很難發現購買的工控設備有沒有信息安全漏洞，有沒有后門程序，這就需要政府相關部門把好關。現在是企事業單位直接購買工業控制設備，缺少必要的政府信息安全審查環節。食藥監局對藥品的準入控制就做的非常好，任何一種藥品要上市流通，必須先經過嚴格的檢測，才能讓醫院進行采購。如果能做好這項工作，工業控制設備信息安全方面的漏洞就能減少很大一部分。

（3）加強對使用企事業單位的技術支持

工業控制設備的生產廠家眾多，產品型號更是層出不窮。這就需要政府相關技術部門加強對使用單位的技術支持，定期組織技術培訓，請專家現場演示用什么工具、什么軟件，如何檢測并防范漏洞，最好能制作成教學視頻。每一種通過認證的工控設備，政府定期進行檢測，對發現的漏洞及時修復，并將修復方法制作成視頻教材發放給使用單位。

工業控制系統信息安全工作任重道遠，讓我們所有部門共同努力做好這項工作，早日實現黨中央提出的中華民族偉大復興工作。

[1] 肖建榮.工業控制系統信息安全[J].電子工業出版社，2016：62-63.

[2] 陳雪.工業控制網絡技術[J].中國電力出版社，2015：16-17.