工業控制系統信息安全保障體系研究

李浩偉，郝園

（河北省工業和信息化發展研究院，河北 石家莊 050000）

0 引言

工業是國民經濟的基礎。近年來，隨著互聯網等新一代信息技術與工業生產活動融合的不斷深入，工業信息安全面臨日益嚴峻的威脅。工信部落實《網絡安全法》《國家網絡安全事件應急預案》等法律法規和規范性文件，出臺了《工業控制系統信息安全防護指南》《工業控制系統信息安全事件應急管理工作指南》等系列政策文件，提出要加快工業控制系統（以下簡稱“工控系統”）信息安全保障體系建設，提升工業企業工控系統信息安全防護能力，為促進制造強國和網絡強國建設提供重要保障[1-2]。

1 工業控制系統信息安全態勢

隨著網絡化、數字化、智能化的不斷發展，工業控制系統從單機走向互聯，從封閉走向開放，從自動化走向智能化，工業控制系統面臨著日益嚴峻的信息安全威脅[3]。

一是工控系統高危漏洞層出不窮，制造、能源、交通等重要領域首當其沖。2020年，國家工業信息安全漏洞庫共收錄工業信息安全漏洞2 138個，較2019年上升22.2%，其中通用型漏洞2 045個，事件型漏洞93個，通用型漏洞中高危漏洞占比高達62.5%。漏洞基本涵蓋國內外主流設備廠商，影響制造、能源、醫療等重點領域。隨著兩化融合繼續深入，未來工控系統安全漏洞和威脅也會繼續快速增長。

二是企業工業控制系統信息安全責任意識淡薄，管理和防護尚不到位。從國家抽查情況看，90%的企業存在安全管理制度落實不到位，U盤、Wi-Fi、手機違規使用；67%的應用系統防護不足，弱口令、任意文件上傳等漏洞大量存在，容易成為攻擊跳板[4]。

三是工業互聯網對工業信息安全帶來新的挑戰。隨著工業互聯網的發展和應用，工控系統原有相對封閉的使用環境被打破，開放性和互聯性越來越強，暴露在互聯網上的工控系統、智能裝備數量日益增多。從已研判的案例統計看，89%的設備、系統未采取有效安全防護措施，被攻擊的風險很大，工業控制系統信息安全面臨著更大的考驗。

2 工業控制系統信息安全的風險來源

工業控制系統信息安全面臨的風險主要包括技術層面的風險和管理層面的風險[5]。

技術層面的風險主要是指組成工控系統的工業網絡、工業設備、工業系統和工業數據存在被攻擊的風險。黑客通過物理侵入或網絡侵入等技術手段，取得對所攻擊對象的控制權，篡改程序、閾值、參數設置導致相應工控系統不能正常運行甚至損毀工控系統[6]。

管理層面的風險主要是指由于工控系統運營主體存在管理制度缺失或不健全導致工控系統出現意外事故的風險。通常包括工程技術人員誤操作、用戶訪問策略不清晰、文件管理混亂等造成工控系統的故障。

3 工業控制系統信息安全保障體系

在堅持總體國家安全觀，以落實企業主體責任為關鍵，緊緊圍繞新時期兩化深度融合發展需求的發展思路下，重點打造組織管理、安全防護、態勢感知、應急響應、政策標準和人才技術服務支撐等六大體系，如圖1所示[7]。

圖1 工業控制系統信息安全保障體系框架

3.1 組織管理體系

（1）落實企業主體責任。通過建立工業信息安全管理機制、成立工業信息安全協調小組等方式，明確企業法人代表、經營負責人為工業信息安全管理第一責任人，完善管理制度，落實工業信息安全責任制，實行日常值班值守，積極開展防護能力評估，持續加大資金投入，部署工業信息安全防護措施[8]。

（2）落實指導推動責任。各級主管部門負責組織工業信息安全政策標準宣貫培訓，提高安全意識；指導工業企業開展工業信息安全檢查評估，支持開展工業信息安全試點示范項目建設，推動企業主體責任落實；爭取專項資金，推動全省監測、預警、應急等能力建設，持續完善地方工業控制系統信息安全保障體系。

3.2 安全防護體系

（1）開展檢查評估。工業企業要按照《工業控制系統信息安全防護指南》（以下簡稱《防護指南》）、《工業控制系統信息安全防護能力評估方法》要求，對重點產線、重點車間、重點工廠進行自評估，逐步實現全覆蓋；根據評估檢查存在的問題，要按照《防護指南》11個方面的具體要求進行頂層設計，堅持管理技術并重，制定工業信息安全防護能力提升計劃并組織實施，對于通過企業現有技術能力和強化管理就能解決的要立行立改、邊查邊改[9]。

（2）企業工業信息安全綜合管理平臺建設。依據企業工業信息安全防護能力提升計劃，在考察驗證現有企業側工業信息安全技術解決方案的基礎上，突出重點，逐步建設具有對設備、控制、網絡、應用、數據等資產進行安全防護與風險監測能力的綜合管理平臺，提升企業風險可防護、態勢可感知、威脅可處置的工業信息安全保障能力。

（3）仿真測試平臺建設。以真實工業生產場景為基礎，模擬業務流程，還原真實現場，滿足培訓、測試、驗證、試驗等需求。鼓勵科研單位和龍頭制造企業搭建行業信息安全仿真測試平臺，為工業企業提供仿真測試、漏洞挖掘、攻防演練等公共服務[10-11]。

3.3 態勢感知體系

綜合運用主/被動監測、大數據分析、威脅預警等技術手段，逐步建設具有資產識別、風險發現、風險分析、態勢預警等功能的，上聯國家下聯企業的省級工業信息安全態勢感知平臺，實時掌握工業信息安全威脅情況和整體現狀，及時預警重大風險隱患，為省市兩級提供全天候全方位的工業信息安全態勢感知展示服務，有效支撐省市兩級安全決策和應急響應[12]。

3.4 應急響應體系

（1）建立應急響應預案體系。主要建立省-市-企業三級工業信息安全事件應急響應預案，并分級定期組織應急演練[13]。

（2）開展信息通報預警。依據應急預案體系，制定工業信息安全信息報送與通報管理辦法，建立信息通報員、日常信息通報、應急信息通報、風險預警等制度。建設工業信息安全信息通報預警平臺，及時發布風險預警信息，跟蹤風險防范工作進展，形成快速高效、各方聯動的信息通報預警體系。

（3）開展應急處置。依據應急預案體系，建立應急專家委員會和應急支撐隊伍，構建應急資源庫，匯聚漏洞、風險、解決方案、預案等信息，實現輔助決策、預案演練等功能。在突發工業信息安全事件時，支撐省市兩級協調技術專家和專業隊伍對事件開展分析研判，并調動相關應急資源及時有效地開展處置工作。工業企業對于可能發生或已經發生的工業信息安全事件，應立即開展應急處置，力爭將損失降到最小，盡快恢復受損系統的正常運行；當事發工業企業應急處置力量不足時，可請求上級主管部門協調應急技術機構提供支援[14]。

3.5 政策標準體系

堅持政府引導和市場運作相結合，充分調動社會力量支持工業信息安全保障體系建設。有條件的地方要設立專項資金、加大支持。緊密跟蹤國家工業信息安全標準建設情況，適時做好標準宣貫工作，為安全防護、態勢感知、應急響應等能力建設提供標準支撐。鼓勵企業、科研院所、行業組織等參與標準化工作。

3.6 人才技術服務支撐體系

（1）鼓勵工業企業加強與院校合作，聯合培養工業信息安全專業人才。借力京津冀協同發展，打造我省工業信息安全高端智庫，圍繞安全防護、態勢感知、應急響應等能力建設，鍛煉培養工業信息安全服務支撐隊伍[15]。

（2）建立工業信息安全共享平臺，實現服務隊伍、風險漏洞、威脅信息、補丁程序、共性防護方案、安全事件與處置、新技術新產品等方面信息共享，開展風險分析、威脅研判、態勢通報等數據精準服務，為全面提升企業工業信息安全保障能力提供支撐。

4 結語

工業控制系統一旦受到破壞，其后果不僅僅局限于眼前短期的損失，還會直接影響國民日常生活甚至造成人員傷亡，乃至社會穩定。本文分析了工業控制系統信息安全面臨的問題，就形成多級聯防聯動工作機制，提出了工業控制系統信息安全六大保障體系，可為管理者頂層規劃提供參考。