淺談工業控制系統信息安全

◆甘清云

淺談工業控制系統信息安全

◆甘清云

(中國直升機設計研究所 天津 300300)

工業控制系統被廣泛應用到諸多國家關鍵基礎設施行業，工業控制系統信息安全事關經濟發展、社會穩定和國家安全。本文介紹了工業控制系統信息安全存在的問題，并提出了改進的措施。

工業控制系統；信息安全

0 引言

工業控制系統被廣泛應用到諸多國家關鍵基礎設施行業，如電力、水利、石油化工、交通運輸、先進制造、航空航天等。工業控制系統信息安全事關經濟發展、社會穩定和國家安全。“震網”病毒、烏克蘭電網等事件的發生傳遞了一個信號：工業控制系統信息安全問題日益突出。加強工業控制系統的信息安全防護已是刻不容緩。本文主要介紹了工業控制系統的概況、存在的問題、改進的措施。

1 工業控制系統

工業控制系統是由各種自動化控制組件以及對實時數據進行采集和監測的過程控制組件共同構成的確保工業基礎設施自動化運行，實現過程控制和監控的業務流程管控系統，其核心組件包括監視控制與數據采集（SCADA）系統、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED）和確保各組件通信的接口技術。

2 工業控制系統信息安全存在的問題

2.1 對工業控制系統的理解還存在不到位的情況

監視控制與數據采集（SCADA）系統是指在工業生產控制過程中，對大規模遠距離地理分布的資產和設備在廣域網環境下進行集中式數據采集與監控管理的控制系統。它以計算機為基礎，對遠程分布運行設備進行監控調度，其主要功能包括數據采集、參數測量和調節、信號報警等。SCADA系統一般由設在控制中心的主終端控制單元（MTU）、通信線路和設備、遠程終端單元（RTU）等組成。

分布式控制系統（DCS）是以計算機為基礎，在系統內部（單位內部）對生產過程進行分布控制、集中管理的系統。一般包括現場控制級、控制管理級兩個層次，現場控制級主要是對單個子過程進行控制，控制管理級主要是對多個分散的子過程進行數據采集、集中顯示、統一調度和管理。可編程邏輯控制器（PLC）是采用可編程存儲器，通過數字運算操作對工業生產裝備進行控制的電子設備。主要執行各類運算、順序控制、定時等指令，用于控制工業生產裝備的動作，是工業控制系統的基礎單元。

2.2 對工控系統技術防護和管理現狀缺乏系統梳理

有些單位工控系統每天都在運行，可是對于工控系統的技術防護和管理現狀缺乏系統梳理：工控系統目前采取了哪些技術防護措施？這些措施的防護效果如何？工控系統目前有哪些管理制度？制度執行得怎么樣？

2.3 對工控系統有關標準和要求的了解不太全面

國家針對工控系統下發過一些通知文件，對工控系統安全工作提出要求。國家也針對工控系統編制了有關標準，包括正在編制很多工控系統的標準。有些單位落實國家有關文件要求和標準還有差距。

2.4 工業控制系統與企業網連接較隨意

由于實際業務的需要，工控系統可能需要連接企業網。但是工控系統連接企業網不是想當然的想連就連，尤其是連接涉密網，必須嚴格按照有關要求做好相關準備工作，在條件具備的情況下才能連接企業網。

3 工業控制系統信息安全改進措施

3.1 摸清家底，搞清楚有沒有工控系統，具體有哪些工控系統

在對什么是工業控制系統有了準確理解后，摸清家底，徹底搞明白本單位是否有工控系統，具體有哪些工控系統。

3.2 系統梳理技術防護和管理現狀

在確定了本單位有工控系統之后，要全面系統梳理出本單位工控系統的技術防護措施、管理現狀，能回答以下問題：工控系統目前采取了哪些技術防護措施？這些措施的防護效果如何？工控系統目前有哪些管理制度？制度執行得怎么樣？

3.3 對照標準和要求找出差距，提出整改措施

國家針對工控系統下發過有關文件，如2011年，工業和信息化部下發了《關于加強工業控制系統信息安全管理的通知》（工信部協[2011] 451號），要求加強國家主要工業領域基礎設施工業控制系統的安全保護工作；2012年6月，國務院印發《關于大力推進信息化發展和切實保障信息安全的若干意見》（國發[2012]23號），明確要求保障工業控制系統安全；2016年，工業和信息化部下發《工業控制系統信息安全防護指南》（工信部信軟[2016] 338號）；2017年，工業和信息化部下發《工業控制系統信息安全事件應急管理工作指南》（工信部信軟[2017] 122號）和《工業控制系統信息安全防護能力評估工作管理辦法》（工信部信軟[2017] 188號）。

國家針對工控系統已發布或正在編制相關標準，見表1。目前，國內工業控制系統信息安全標準化相關的組織主要包括全國信息安全標準化技術委員會(SAC/TC260)、全國工業過程測量與控制標準化技術委員會(SAC/TCl24)等。

表1 已發布和在研標準列表

3.4 嚴格按要求做好工業控制系統與企業網連接的有關工作

通過工業控制網絡邊界防護設備對工業控制網絡與企業網之間的邊界進行安全防護；禁止沒有防護的工業控制網絡與互聯網連接；工業控制網絡與涉密網連接，需要嚴格按照相關要求履行審批程序。

4 結束語

當前，工業控制系統面臨的來自內外部的安全隱患和威脅日益增多，工業控制系統信息安全形勢十分嚴峻。各工控系統使用單位必須提高對工控系統重要性的認識，按照國家有關標準和要求，扎實做好工控系統安全防護各項工作，確保工業控制系統安全穩定運行。

[1]陶耀東，李寧，曾廣圣.工業控制系統安全綜述[J].計算機工程與應用，2016.

[2]謝豐.工業控制系統網絡攻擊與安全防護思考[J].保密科學與技術，2016.

[3]曾瑜，郭金全.工業控制系統信息安全現狀分析[J].信息網絡安全，2016.

[4]邱麗清，高洋，謝豐.國內外工業控制系統信息安全標準研究[J].信息安全研究，2016.