工業控制系統信息安全管理措施研究

牛春波

摘要：在中國工業不斷快速發展的過程中，工業自身的安全發展、群眾們的財產安全，甚至是國家經濟的安全都會受到工業控制系統信息安全的影響。在最近這幾年的時間里，社會經濟發展的同時信息科學技術也在不斷地進步，其余工業的控制系統也進行了更深一個層次的聯合，這在給工業控制系統的運行效率以及運行質量帶來提升效果的同時，也讓工業控制系統面臨嚴峻的信息安全風險的威脅。由于其安全對國家、民眾等影響比較大，因此相關企業必須要足夠重視工業控制系統信息安全防護系統的建設以及相關的管理措施的研究工作的開展。基于此，本文將從工業控制系統信息安全的特點、存在的風險以及相關的管理方法三個方面進行簡要論述，希望能夠以此為業內相關專業人士提供借鑒。

關鍵詞：工業控制系統 信息安全管理 措施研究

引言

近些年來，中國在工業控制上出現的多種有關信息安全的問題都向我們傳遞出了一條重要的信息，那就是工業控制系統信息安全管理的能力水平的提高對于國家公共安全的保障以及社會經濟命脈的維護具有非常巨大的影響力。受此影響，國家工信部也出臺了相關的政策，在一定程度上對工業控制系統信息安全管理的緊迫性以及必要性都有多加強，相關企業能夠在政府相關政策的引導之下，采取有效地管理措施進行工業控制系統信息安全的防護和管理，在較大程度上幫助企業提高在信息安全管理上的能力水平，更好地保障國家的公共安全以及社會經濟的命脈。

一、工業控制系統信息安全的特征

與IT系統呈現出來的特點有所不同的是，工業控制系統信息安全具有五個特征，首先，工業控制系統信息安全在攻擊目標上具有多樣性。工業控制系統所遭受的信息安全攻擊，可以根據攻擊動機的不同分為以下三種：第一是破壞信息安全作為攻擊的目的，如來自于有軍事背景或是恐怖組織的攻擊;第二是為了從中獲取某些情報的攻擊，這樣的攻擊主要來自于政府部門的攻擊;第三是來自于企業內部人員的攻擊，其主要的攻擊動機是企業工作給其造成的不滿情緒。其次是入侵工業控制系統的途徑較為豐富，對于其信息安全管理具有較大威脅。工業控制系統結構上比較固定，但形式上具有多樣性，盡管其在網絡組成的元素比較多，但是在拓展的形式、適用的客戶群體以及通信的模式上都具有一定的固定性。受此特點的影響，工業控制系統也較為容易受到因特網、無線網、移動介質、維修等多種途徑的介入，較于IT系統入侵途徑比較多樣，最后是其遭受攻擊所帶來的后果比較嚴重。與IT系統有所區別的就是，工業控制系統與物理世界具有較強的互動性。一旦工業控制系統的信息安全遭受攻擊，相關專業人員對于系統的恢復會變得非常困難，可能還會給世界帶來非常嚴重的災難。盡管在現階段下，工業文明的發展速度不斷加快，工業行業的產能以及規模都得到了一定程度的提升，生產流程的數字化、網絡化程度也更加深入，但仍然不能夠避免信息安全事故的發生，因此，重視工業控制心痛的信息安全十分重要。

二、工業控制系統信息安全面對的風險類型

工業控制系統信息安全面對的風險類型主要有兩種：一種是遭受毒攻擊的風險。以發電廠的工業控制系統為例子，其病毒入侵的途徑非常多。雖然發電廠的二次系統網絡更辦公室所使用的網絡是相互隔離的，與此同時，對于相關控制系統的信息安全也進行了物理隔離裝置的裝，以此來保障信息安全，然而，病毒仍然可以找到入侵的途徑，如通過相關工作人員的移動或是其他的遠程控制通道入侵到控制系統之中，威脅其信息安全的管理。另一種風險的類型就是由于工業控制系統的管控體系不夠健全而帶來的安全隱患。由于沒有較為健全的管控體系，到目前為止，工業控制系統仍然面臨著一分很道德威脅，那就是大多數使用單位不具備具有針對性的與移動存儲介質相關的管理規定，缺少一些必要的管理手段，對于信息安全的管理力度不夠強，進而使得移動存儲介質漸漸成為病毒入侵工業控制系統的主要途徑，給其信息安全帶來了極大的威脅。

三、工業控制系統信息安全的管理方法

（一）提高工作人員的安全意識以及管理能力

盡管科學技術以及社會經濟的發展速度在不斷地加快，對于人力有了一定程度上的解放，然而技術并不能提人力，因此要更好地進行工業控制系統信息安全的管理，除了需要擁有先進的管理技術之外，還需要具有較高安全管理能力以及信息安全意識的工作人員，這便需要相關企業不斷開展相關工作人員意識以及技能的強化訓練。在過去的時間里，由于各種各樣的原因，工業控制系統信息安全的管理都忽略了人為因素對于管理效果以及管理質量提高的重要影響，造成了工作人員們普遍安全意識較低，不注重管理技能的學習的現象。隨著時間的推移，相關部門意識到了人為因素的影響力，便漸漸強調對從業人員安全意識培養以及管理技能提高工作的開展，定期地對相關從業人員進行集中的培訓，強化其安全意識，使其能夠在日常的管理工作中做出符合信息安全防護管理理念的管理行為，在最大程度上減少人為因素給信息安全管理帶來的負面影響。

（二）制定具有更強針對性的管理制度

進行更具針對性的管理制度的制定也是進行工業控制系統信息安全管理的方法之一。擁有一套針對性強且完善的管理制度能夠讓工業控制系統的信息安全管理工作得以更加順利地進行。相關企業可以通過制度的制定，對于整個工業控制系統信息安全管理的方針以及每一個環節的管理策略有了更進一步的明確，通過制度的制定，進一步地明確信息安全管理工作的管理目標、管理原則等等，協調好安全管理技術與技術操作人員之間的關系，將整一個生產管理體系都歸入到信息安全管理的范圍之內，在最大程度上降低外界各種因素帶來的影響。

（三）建立一個完備的監控體系

一個完備的監控體系是工業控制系統開展信息安全管理工作的基本方法之一，因此如何建立一個完備的監控系統也是非常值得研究的一個問題。首先，需要相關企業設置一個專門的技術部門，讓其負責系統的建設與調整，全面且徹底的規劃好整個工業控制系統信息安全管理系統的相關建設工作，并提出科學合理的指導意見;其次，還需要提出并制定一套合理的建設方案，涵蓋整個系統安全以及穩定的相關保障策略，進行安全管理框架的建設和完善。除此之外，還需要根據不同安全等級以及不同內容的安全管理系統指定配套的指導文件;最后還需要經過上級信息安全管理的部門等其他專業部門對所建立的安全監控體系進行全方位的審核，對于具有爭議或是其他不確定的地方，邀請專業人士對其進行更進一步的科學合理的審定，最終完成一個完備的信息安全金控體系的建立。

（四）安全管理機構的建立

開展工業控制系統信息安全的管理工作，安全管理機構的建設也是一個方法。首先要讓負責企業安全生產的領導擔任整個工業控制系統信息安全防護工作的主要負責人，對其職責進行明確，成立一個專業委員會，負責企業信息安全的管理以及相關工作的指導;除此之外，成立職能部門，其主要職責就是開展工業控制系統信息安全管理的工作，通過相關文件的合理制定來明確各個部門、各個從業人員的職責范圍，更好地完成信息安全的管理工作。

四、結束語

簡而言之，作為國家公共安全以及社會經濟命脈的重要保障建設，在社會信息技術不斷發展，水平不斷提高的時代背景之下，面對網絡越來越多元開花的發展趨勢，工業控制系統要加強對自身信息安全的管理，認識信息安全的特點以及其所帶來的嚴重后果，明白強化信息安全管理對國家以及社會的重要性，不斷開展與此相關的研究工作，相關企業要提高工業控制系統信息安全的防范意識，不斷提高自身的信息安全管理能力。

參考文獻

[1]錢福群.石化企業工業控制系統信息安全策略分析[J].煉油與化工，2018，29（05）：57-58.

[2]張敏，張五一，韓桂芬.工業控制系統信息安全防護體系研究[J].工業控制計算機，2013（10）：28-30.

[3]陸贊，王剛.基于工業控制系統的安全管理體系研究[J].中國有色金屬，2017（S1）：204-207.

[4]張又平.工業控制系統的信息安全等級保護建設及管理探討[J].電子技術與軟件工程，2015（15）：223.