工業(yè)控制系統(tǒng)信息安全現(xiàn)狀與風險探討

楊震 陳敏超 胡艷

摘要：在社會進步發(fā)展背景下，我國工業(yè)控制系統(tǒng)發(fā)展進程正在逐步加快，對整個工業(yè)控制系統(tǒng)運行質(zhì)量和運行安全具有影響的關(guān)鍵因素就在于工業(yè)控制系統(tǒng)信息安全，主要原因在于一旦有信息安全風險事故問題發(fā)生，就會使整個工業(yè)控制系統(tǒng)網(wǎng)絡面臨癱瘓的嚴峻形勢，嚴重損害相應企業(yè)經(jīng)濟效益，基于此，針對工業(yè)控制系統(tǒng)信息安全現(xiàn)狀和風險因素的探討十分必要，其能夠為平穩(wěn)且安全運轉(zhuǎn)的工業(yè)控制系統(tǒng)運行提供重要保障。

關(guān)鍵詞：工業(yè)控制系統(tǒng);信息安全現(xiàn)狀;風險

近年來，隨著社會經(jīng)濟的不斷增長，使得我國工業(yè)控制系統(tǒng)逐漸擴大了規(guī)模，在此背景下全面提高了整個與之相關(guān)的安全標準，對于工業(yè)控制系統(tǒng)自身來說，運行期間存在的信息安全很難從源頭上完全消除，因此，在具體實踐開展過程中應以具體信息為依據(jù)，將相應系統(tǒng)信息安全風險分析工作做好，基于信息安全風險評估實質(zhì)性價值作用的充分明確，為工業(yè)控制系統(tǒng)運行過程中信息安全風險發(fā)現(xiàn)時、相應判定識別及時有效開展提供保障，并圍繞實際情況設(shè)定針對性解決方案，有效控制工業(yè)控制系統(tǒng)信息安全風險，為我國工業(yè)控制系統(tǒng)運行過程中的實效性以及專業(yè)性等提供積極促進作用。

一、工業(yè)控制系統(tǒng)信息安全現(xiàn)狀

近年來，我國工業(yè)控制領(lǐng)域發(fā)生的變革十分重大，如2015年中國制造2025戰(zhàn)略的提出，使得基于工業(yè)化和信息化深度融合的工業(yè)控制領(lǐng)域逐漸調(diào)整產(chǎn)業(yè)結(jié)構(gòu)、促進了工業(yè)控制領(lǐng)域的升級轉(zhuǎn)型發(fā)展[1]。在不斷交叉融合的工業(yè)化和信息化背景下，工業(yè)領(lǐng)域中逐漸應用了大量的信息技術(shù)，因此也使得管理信息和生產(chǎn)控制等網(wǎng)絡間的數(shù)據(jù)交換得以良好實現(xiàn)，這一現(xiàn)象使得工業(yè)控制系統(tǒng)以往獨立運行的系統(tǒng)模式逐漸發(fā)生改變，開始連通到管理系統(tǒng)甚至是互聯(lián)網(wǎng)方面。

在當前工業(yè)控制系統(tǒng)中，開始對工業(yè)以太網(wǎng)以及專用通信協(xié)議進行了大量使用，借此來集成工業(yè)控制系統(tǒng)，基于PC服務器和PC終端產(chǎn)品等的大規(guī)模使用，導致工業(yè)控制網(wǎng)絡中開始逐漸出現(xiàn)傳統(tǒng)網(wǎng)絡上常見的安全問題。因工業(yè)控制系統(tǒng)的高要求往往會體現(xiàn)在實時性與穩(wěn)定性等方面，而在應用傳統(tǒng)安全產(chǎn)品的情況下、難以保障工業(yè)控制網(wǎng)絡各方面需求得以充分滿足，加之較為薄弱的工業(yè)用戶安全意識，使得巨大安全隱患埋藏于工業(yè)控制系統(tǒng)中。

近年來，屢見不鮮的工業(yè)控制系統(tǒng)安全威脅，來自商業(yè)間諜以及恐怖組織和內(nèi)外不法分子入侵等攻擊和破壞現(xiàn)象逐漸引起了社會和大眾的關(guān)注，因此為確保工業(yè)控制系統(tǒng)功能作用得以充分全面發(fā)揮，就應該在工業(yè)控制系統(tǒng)信息安全現(xiàn)狀與風險方面進行深入分析和探討。

二、工業(yè)控制系統(tǒng)信息存在的安全風險

（一）工業(yè)控制系統(tǒng)網(wǎng)絡缺乏檢測手段

在工業(yè)控制系統(tǒng)處于長期運行的狀態(tài)時，必然需要在定期維護工作方面積極開展，但在維護過程中，一些廠家使用的電腦往往是以維護人員自帶筆記本為主，在，而在維護人員開展維護工作時、往往需要以頻繁出差的方式來進行，此時因公共環(huán)境上網(wǎng)缺乏安全性就會使得電腦中毒現(xiàn)象隨之產(chǎn)生，加之此類電腦向工業(yè)控制系統(tǒng)網(wǎng)絡接入時、相應安全檢查操作并未開展，如此就會使得電腦中的病毒傳播到工業(yè)控制環(huán)境中，最終導致工業(yè)控制這一較為封閉的系統(tǒng)面臨巨大病毒木馬感染風險，安全隱患問題還存在于無線和遠程接入方式方面[2]。因檢測審計設(shè)備的缺乏，使得工業(yè)控制系統(tǒng)無法對攻擊進行良好感應，加之在攻擊行為方面的記錄較為缺乏，在安全事故發(fā)生后相應的原因和責任也難以追究。

（二）操作系統(tǒng)的安全漏洞問題

基于對工業(yè)控制系統(tǒng)組態(tài)軟件和操作系統(tǒng)安全補丁兼容性問題存在可能性的考慮，在工業(yè)控制系統(tǒng)啟動運行后、一般來說，操作系統(tǒng)補丁操作并不會開展，在此背景下就會使得工業(yè)控制系統(tǒng)運行過程中帶有漏洞問題，此時一旦網(wǎng)絡攻擊現(xiàn)象發(fā)生，舊的漏洞就會給黑客利用和攻擊提供便利。我國一些工業(yè)控制系統(tǒng)安全檢查工作開展過程中，嚴重遠程代碼執(zhí)行漏洞存在于多數(shù)工業(yè)控制系統(tǒng)的上位機系統(tǒng)方面，因而使得工業(yè)控制系統(tǒng)面臨的安全漏洞問題十分嚴峻。

（三）殺毒軟件安裝和更新問題

殺毒軟件運行過程中主要是以特征查殺為基礎(chǔ)，此種病毒查殺方式極有可能存在誤報，并且一旦有誤報現(xiàn)象發(fā)生，在殺毒軟件運行過程中就會將告警文件直接刪除，此時對于工控系統(tǒng)來說，系統(tǒng)組態(tài)軟件癱瘓或功能異常現(xiàn)象就極易產(chǎn)生[3]。一般來說，在開車期間工業(yè)控制系統(tǒng)升級行為是不被允許的，此時工業(yè)控制系統(tǒng)網(wǎng)絡向互聯(lián)網(wǎng)方面的連接同樣不被允許，所以說工業(yè)控制系統(tǒng)及時更新病毒庫的條件并不具備，而正是因為這些因素導致工業(yè)控制環(huán)境中基本很少出現(xiàn)殺毒軟件的運行，因此就會給病毒入侵和惡意代碼傳播提供有利條件。

除上述安全風險問題以外，服務器操作中系統(tǒng)審計的缺乏、大量安全漏洞存在于工業(yè)控制設(shè)備方面、缺乏完善的管理等問題都是工業(yè)控制系統(tǒng)信息存在的安全風險，為確保工業(yè)控制系統(tǒng)信息安全風險得以有效控制，就應在自身實際情況方面加以充分考慮，進而提出有效的解決對策。

三、工業(yè)控制系統(tǒng)信息安全保障措施

第一，在工業(yè)控制系統(tǒng)進行具體設(shè)計的過程中就需要將信息安全防護融入其中，如方案設(shè)計以及評審等都應該融入到系統(tǒng)設(shè)計階段，此時的防護工作可以說都屬于信息安全頂層設(shè)計范疇。

第二，針對工業(yè)控制系統(tǒng)開展驗證環(huán)節(jié)時，需要測試產(chǎn)品的安全功能和防護能力，此時可以從產(chǎn)品選型和定制兩方面進行，包含的主要產(chǎn)品為信息系統(tǒng)IT和工業(yè)控制設(shè)備等多個產(chǎn)品，加之積極驗證設(shè)計方案，在此基礎(chǔ)上，借助實物或半實物等仿真方式對系統(tǒng)行為進行模擬，借此對工業(yè)控制系統(tǒng)安全設(shè)計方案是否具備合理性以及可行性等進行驗證[4]。

第三，針對工業(yè)控制系統(tǒng)建設(shè)與驗收環(huán)節(jié)，需要借助相應的測試和監(jiān)理工作開展，對系統(tǒng)集成過程中信息安全與系統(tǒng)建設(shè)質(zhì)量提供全面保障，測試選取的方式可以為集成以及協(xié)議一致性等測試，而監(jiān)理工作開展時、則最好以過程性監(jiān)理為主[5]。

第四，在完成測試和驗收進而交付工業(yè)控制系統(tǒng)的情況下，還需要進行信息安全驗收測試、評估可能存在的風險、評估系統(tǒng)安全等級等，之后才能進行系統(tǒng)上線運行操作的開展。

第五，工業(yè)控制系統(tǒng)長期運行過程中，維護工作是必然需要開展的，在進行具體維護時，需要對信息安全問題進行持續(xù)關(guān)注，從系統(tǒng)運行的多個環(huán)節(jié)開展維護和檢測等工作，如例行維護以及過程審計等，在系統(tǒng)完成升級維護操作的后期、也應該將相應的安全檢測積極開展，同時系統(tǒng)運行過程中的安全預警等也十分重要。

結(jié)束語：

基于工業(yè)控制系統(tǒng)信息安全現(xiàn)狀和面臨的風險進行充分分析，能夠為風險防控提供有利條件，確保將工業(yè)控制系統(tǒng)多方面漏洞風險給予有效消除的同時，保障工業(yè)控制系統(tǒng)整體安全隱患得以逐步降低，為高效且平穩(wěn)、可持續(xù)發(fā)展的工業(yè)控制行業(yè)奠定良好基礎(chǔ)。

參考文獻：

[1]夏冀，甘俊杰，李琳.工業(yè)控制系統(tǒng)信息安全風險評估方法研究[J].自動化博覽，2019，36（S2）：58-60.

[2]徐達.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀[J].電腦知識與技術(shù)，2019，15（26）：38-39.

[3]申鵬.工業(yè)控制系統(tǒng)信息安全風險分析與應對方案[J].中國新通信，2019，21（14）：133-134.

[4]崔降宇.工業(yè)控制系統(tǒng)信息安全風險評估[J].中國設(shè)備工程，2019（09）：44-45.

[5]宋雨倩.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及發(fā)展趨勢[J].計算機產(chǎn)品與流通，2017（11）：120.