淺談工業(yè)控制系統(tǒng)信息安全

◆甘清云

淺談工業(yè)控制系統(tǒng)信息安全

◆甘清云

(中國直升機(jī)設(shè)計(jì)研究所 天津 300300)

工業(yè)控制系統(tǒng)被廣泛應(yīng)用到諸多國家關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，工業(yè)控制系統(tǒng)信息安全事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國家安全。本文介紹了工業(yè)控制系統(tǒng)信息安全存在的問題，并提出了改進(jìn)的措施。

工業(yè)控制系統(tǒng)；信息安全

0 引言

工業(yè)控制系統(tǒng)被廣泛應(yīng)用到諸多國家關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，如電力、水利、石油化工、交通運(yùn)輸、先進(jìn)制造、航空航天等。工業(yè)控制系統(tǒng)信息安全事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國家安全。“震網(wǎng)”病毒、烏克蘭電網(wǎng)等事件的發(fā)生傳遞了一個(gè)信號(hào)：工業(yè)控制系統(tǒng)信息安全問題日益突出。加強(qiáng)工業(yè)控制系統(tǒng)的信息安全防護(hù)已是刻不容緩。本文主要介紹了工業(yè)控制系統(tǒng)的概況、存在的問題、改進(jìn)的措施。

1 工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)是由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集和監(jiān)測的過程控制組件共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行，實(shí)現(xiàn)過程控制和監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)，其核心組件包括監(jiān)視控制與數(shù)據(jù)采集（SCADA）系統(tǒng)、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程終端（RTU）、智能電子設(shè)備（IED）和確保各組件通信的接口技術(shù)。

2 工業(yè)控制系統(tǒng)信息安全存在的問題

2.1 對(duì)工業(yè)控制系統(tǒng)的理解還存在不到位的情況

監(jiān)視控制與數(shù)據(jù)采集（SCADA）系統(tǒng)是指在工業(yè)生產(chǎn)控制過程中，對(duì)大規(guī)模遠(yuǎn)距離地理分布的資產(chǎn)和設(shè)備在廣域網(wǎng)環(huán)境下進(jìn)行集中式數(shù)據(jù)采集與監(jiān)控管理的控制系統(tǒng)。它以計(jì)算機(jī)為基礎(chǔ)，對(duì)遠(yuǎn)程分布運(yùn)行設(shè)備進(jìn)行監(jiān)控調(diào)度，其主要功能包括數(shù)據(jù)采集、參數(shù)測量和調(diào)節(jié)、信號(hào)報(bào)警等。SCADA系統(tǒng)一般由設(shè)在控制中心的主終端控制單元（MTU）、通信線路和設(shè)備、遠(yuǎn)程終端單元（RTU）等組成。

分布式控制系統(tǒng)（DCS）是以計(jì)算機(jī)為基礎(chǔ)，在系統(tǒng)內(nèi)部（單位內(nèi)部）對(duì)生產(chǎn)過程進(jìn)行分布控制、集中管理的系統(tǒng)。一般包括現(xiàn)場控制級(jí)、控制管理級(jí)兩個(gè)層次，現(xiàn)場控制級(jí)主要是對(duì)單個(gè)子過程進(jìn)行控制，控制管理級(jí)主要是對(duì)多個(gè)分散的子過程進(jìn)行數(shù)據(jù)采集、集中顯示、統(tǒng)一調(diào)度和管理?？删幊踢壿嬁刂破鳎≒LC）是采用可編程存儲(chǔ)器，通過數(shù)字運(yùn)算操作對(duì)工業(yè)生產(chǎn)裝備進(jìn)行控制的電子設(shè)備。主要執(zhí)行各類運(yùn)算、順序控制、定時(shí)等指令，用于控制工業(yè)生產(chǎn)裝備的動(dòng)作，是工業(yè)控制系統(tǒng)的基礎(chǔ)單元。

2.2 對(duì)工控系統(tǒng)技術(shù)防護(hù)和管理現(xiàn)狀缺乏系統(tǒng)梳理

有些單位工控系統(tǒng)每天都在運(yùn)行，可是對(duì)于工控系統(tǒng)的技術(shù)防護(hù)和管理現(xiàn)狀缺乏系統(tǒng)梳理：工控系統(tǒng)目前采取了哪些技術(shù)防護(hù)措施？這些措施的防護(hù)效果如何？工控系統(tǒng)目前有哪些管理制度？制度執(zhí)行得怎么樣？

2.3 對(duì)工控系統(tǒng)有關(guān)標(biāo)準(zhǔn)和要求的了解不太全面

國家針對(duì)工控系統(tǒng)下發(fā)過一些通知文件，對(duì)工控系統(tǒng)安全工作提出要求。國家也針對(duì)工控系統(tǒng)編制了有關(guān)標(biāo)準(zhǔn)，包括正在編制很多工控系統(tǒng)的標(biāo)準(zhǔn)。有些單位落實(shí)國家有關(guān)文件要求和標(biāo)準(zhǔn)還有差距。

2.4 工業(yè)控制系統(tǒng)與企業(yè)網(wǎng)連接較隨意

由于實(shí)際業(yè)務(wù)的需要，工控系統(tǒng)可能需要連接企業(yè)網(wǎng)。但是工控系統(tǒng)連接企業(yè)網(wǎng)不是想當(dāng)然的想連就連，尤其是連接涉密網(wǎng)，必須嚴(yán)格按照有關(guān)要求做好相關(guān)準(zhǔn)備工作，在條件具備的情況下才能連接企業(yè)網(wǎng)。

3 工業(yè)控制系統(tǒng)信息安全改進(jìn)措施

3.1 摸清家底，搞清楚有沒有工控系統(tǒng)，具體有哪些工控系統(tǒng)

在對(duì)什么是工業(yè)控制系統(tǒng)有了準(zhǔn)確理解后，摸清家底，徹底搞明白本單位是否有工控系統(tǒng)，具體有哪些工控系統(tǒng)。

3.2 系統(tǒng)梳理技術(shù)防護(hù)和管理現(xiàn)狀

在確定了本單位有工控系統(tǒng)之后，要全面系統(tǒng)梳理出本單位工控系統(tǒng)的技術(shù)防護(hù)措施、管理現(xiàn)狀，能回答以下問題：工控系統(tǒng)目前采取了哪些技術(shù)防護(hù)措施？這些措施的防護(hù)效果如何？工控系統(tǒng)目前有哪些管理制度？制度執(zhí)行得怎么樣？

3.3 對(duì)照標(biāo)準(zhǔn)和要求找出差距，提出整改措施

國家針對(duì)工控系統(tǒng)下發(fā)過有關(guān)文件，如2011年，工業(yè)和信息化部下發(fā)了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)[2011] 451號(hào)），要求加強(qiáng)國家主要工業(yè)領(lǐng)域基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)的安全保護(hù)工作；2012年6月，國務(wù)院印發(fā)《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》（國發(fā)[2012]23號(hào)），明確要求保障工業(yè)控制系統(tǒng)安全；2016年，工業(yè)和信息化部下發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（工信部信軟[2016] 338號(hào)）；2017年，工業(yè)和信息化部下發(fā)《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》（工信部信軟[2017] 122號(hào)）和《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》（工信部信軟[2017] 188號(hào)）。

國家針對(duì)工控系統(tǒng)已發(fā)布或正在編制相關(guān)標(biāo)準(zhǔn)，見表1。目前，國內(nèi)工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)化相關(guān)的組織主要包括全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)、全國工業(yè)過程測量與控制標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TCl24)等。

表1 已發(fā)布和在研標(biāo)準(zhǔn)列表

3.4 嚴(yán)格按要求做好工業(yè)控制系統(tǒng)與企業(yè)網(wǎng)連接的有關(guān)工作

通過工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)之間的邊界進(jìn)行安全防護(hù)；禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接；工業(yè)控制網(wǎng)絡(luò)與涉密網(wǎng)連接，需要嚴(yán)格按照相關(guān)要求履行審批程序。

4 結(jié)束語

當(dāng)前，工業(yè)控制系統(tǒng)面臨的來自內(nèi)外部的安全隱患和威脅日益增多，工業(yè)控制系統(tǒng)信息安全形勢十分嚴(yán)峻。各工控系統(tǒng)使用單位必須提高對(duì)工控系統(tǒng)重要性的認(rèn)識(shí)，按照國家有關(guān)標(biāo)準(zhǔn)和要求，扎實(shí)做好工控系統(tǒng)安全防護(hù)各項(xiàng)工作，確保工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行。

[1]陶耀東，李寧，曾廣圣.工業(yè)控制系統(tǒng)安全綜述[J].計(jì)算機(jī)工程與應(yīng)用，2016.

[2]謝豐.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊與安全防護(hù)思考[J].保密科學(xué)與技術(shù)，2016.

[3]曾瑜，郭金全.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析[J].信息網(wǎng)絡(luò)安全，2016.

[4]邱麗清，高洋，謝豐.國內(nèi)外工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)研究[J].信息安全研究，2016.