工業(yè)控制系統(tǒng)信息安全管理措施研究

牛春波

摘要：在中國工業(yè)不斷快速發(fā)展的過程中，工業(yè)自身的安全發(fā)展、群眾們的財產(chǎn)安全，甚至是國家經(jīng)濟的安全都會受到工業(yè)控制系統(tǒng)信息安全的影響。在最近這幾年的時間里，社會經(jīng)濟發(fā)展的同時信息科學(xué)技術(shù)也在不斷地進步，其余工業(yè)的控制系統(tǒng)也進行了更深一個層次的聯(lián)合，這在給工業(yè)控制系統(tǒng)的運行效率以及運行質(zhì)量帶來提升效果的同時，也讓工業(yè)控制系統(tǒng)面臨嚴(yán)峻的信息安全風(fēng)險的威脅。由于其安全對國家、民眾等影響比較大，因此相關(guān)企業(yè)必須要足夠重視工業(yè)控制系統(tǒng)信息安全防護系統(tǒng)的建設(shè)以及相關(guān)的管理措施的研究工作的開展。基于此，本文將從工業(yè)控制系統(tǒng)信息安全的特點、存在的風(fēng)險以及相關(guān)的管理方法三個方面進行簡要論述，希望能夠以此為業(yè)內(nèi)相關(guān)專業(yè)人士提供借鑒。

關(guān)鍵詞：工業(yè)控制系統(tǒng) 信息安全管理 措施研究

引言

近些年來，中國在工業(yè)控制上出現(xiàn)的多種有關(guān)信息安全的問題都向我們傳遞出了一條重要的信息，那就是工業(yè)控制系統(tǒng)信息安全管理的能力水平的提高對于國家公共安全的保障以及社會經(jīng)濟命脈的維護具有非常巨大的影響力。受此影響，國家工信部也出臺了相關(guān)的政策，在一定程度上對工業(yè)控制系統(tǒng)信息安全管理的緊迫性以及必要性都有多加強，相關(guān)企業(yè)能夠在政府相關(guān)政策的引導(dǎo)之下，采取有效地管理措施進行工業(yè)控制系統(tǒng)信息安全的防護和管理，在較大程度上幫助企業(yè)提高在信息安全管理上的能力水平，更好地保障國家的公共安全以及社會經(jīng)濟的命脈。

一、工業(yè)控制系統(tǒng)信息安全的特征

與IT系統(tǒng)呈現(xiàn)出來的特點有所不同的是，工業(yè)控制系統(tǒng)信息安全具有五個特征，首先，工業(yè)控制系統(tǒng)信息安全在攻擊目標(biāo)上具有多樣性。工業(yè)控制系統(tǒng)所遭受的信息安全攻擊，可以根據(jù)攻擊動機的不同分為以下三種：第一是破壞信息安全作為攻擊的目的，如來自于有軍事背景或是恐怖組織的攻擊;第二是為了從中獲取某些情報的攻擊，這樣的攻擊主要來自于政府部門的攻擊;第三是來自于企業(yè)內(nèi)部人員的攻擊，其主要的攻擊動機是企業(yè)工作給其造成的不滿情緒。其次是入侵工業(yè)控制系統(tǒng)的途徑較為豐富，對于其信息安全管理具有較大威脅。工業(yè)控制系統(tǒng)結(jié)構(gòu)上比較固定，但形式上具有多樣性，盡管其在網(wǎng)絡(luò)組成的元素比較多，但是在拓展的形式、適用的客戶群體以及通信的模式上都具有一定的固定性。受此特點的影響，工業(yè)控制系統(tǒng)也較為容易受到因特網(wǎng)、無線網(wǎng)、移動介質(zhì)、維修等多種途徑的介入，較于IT系統(tǒng)入侵途徑比較多樣，最后是其遭受攻擊所帶來的后果比較嚴(yán)重。與IT系統(tǒng)有所區(qū)別的就是，工業(yè)控制系統(tǒng)與物理世界具有較強的互動性。一旦工業(yè)控制系統(tǒng)的信息安全遭受攻擊，相關(guān)專業(yè)人員對于系統(tǒng)的恢復(fù)會變得非常困難，可能還會給世界帶來非常嚴(yán)重的災(zāi)難。盡管在現(xiàn)階段下，工業(yè)文明的發(fā)展速度不斷加快，工業(yè)行業(yè)的產(chǎn)能以及規(guī)模都得到了一定程度的提升，生產(chǎn)流程的數(shù)字化、網(wǎng)絡(luò)化程度也更加深入，但仍然不能夠避免信息安全事故的發(fā)生，因此，重視工業(yè)控制心痛的信息安全十分重要。

二、工業(yè)控制系統(tǒng)信息安全面對的風(fēng)險類型

工業(yè)控制系統(tǒng)信息安全面對的風(fēng)險類型主要有兩種：一種是遭受毒攻擊的風(fēng)險。以發(fā)電廠的工業(yè)控制系統(tǒng)為例子，其病毒入侵的途徑非常多。雖然發(fā)電廠的二次系統(tǒng)網(wǎng)絡(luò)更辦公室所使用的網(wǎng)絡(luò)是相互隔離的，與此同時，對于相關(guān)控制系統(tǒng)的信息安全也進行了物理隔離裝置的裝，以此來保障信息安全，然而，病毒仍然可以找到入侵的途徑，如通過相關(guān)工作人員的移動或是其他的遠(yuǎn)程控制通道入侵到控制系統(tǒng)之中，威脅其信息安全的管理。另一種風(fēng)險的類型就是由于工業(yè)控制系統(tǒng)的管控體系不夠健全而帶來的安全隱患。由于沒有較為健全的管控體系，到目前為止，工業(yè)控制系統(tǒng)仍然面臨著一分很道德威脅，那就是大多數(shù)使用單位不具備具有針對性的與移動存儲介質(zhì)相關(guān)的管理規(guī)定，缺少一些必要的管理手段，對于信息安全的管理力度不夠強，進而使得移動存儲介質(zhì)漸漸成為病毒入侵工業(yè)控制系統(tǒng)的主要途徑，給其信息安全帶來了極大的威脅。

三、工業(yè)控制系統(tǒng)信息安全的管理方法

（一）提高工作人員的安全意識以及管理能力

盡管科學(xué)技術(shù)以及社會經(jīng)濟的發(fā)展速度在不斷地加快，對于人力有了一定程度上的解放，然而技術(shù)并不能提人力，因此要更好地進行工業(yè)控制系統(tǒng)信息安全的管理，除了需要擁有先進的管理技術(shù)之外，還需要具有較高安全管理能力以及信息安全意識的工作人員，這便需要相關(guān)企業(yè)不斷開展相關(guān)工作人員意識以及技能的強化訓(xùn)練。在過去的時間里，由于各種各樣的原因，工業(yè)控制系統(tǒng)信息安全的管理都忽略了人為因素對于管理效果以及管理質(zhì)量提高的重要影響，造成了工作人員們普遍安全意識較低，不注重管理技能的學(xué)習(xí)的現(xiàn)象。隨著時間的推移，相關(guān)部門意識到了人為因素的影響力，便漸漸強調(diào)對從業(yè)人員安全意識培養(yǎng)以及管理技能提高工作的開展，定期地對相關(guān)從業(yè)人員進行集中的培訓(xùn)，強化其安全意識，使其能夠在日常的管理工作中做出符合信息安全防護管理理念的管理行為，在最大程度上減少人為因素給信息安全管理帶來的負(fù)面影響。

（二）制定具有更強針對性的管理制度

進行更具針對性的管理制度的制定也是進行工業(yè)控制系統(tǒng)信息安全管理的方法之一。擁有一套針對性強且完善的管理制度能夠讓工業(yè)控制系統(tǒng)的信息安全管理工作得以更加順利地進行。相關(guān)企業(yè)可以通過制度的制定，對于整個工業(yè)控制系統(tǒng)信息安全管理的方針以及每一個環(huán)節(jié)的管理策略有了更進一步的明確，通過制度的制定，進一步地明確信息安全管理工作的管理目標(biāo)、管理原則等等，協(xié)調(diào)好安全管理技術(shù)與技術(shù)操作人員之間的關(guān)系，將整一個生產(chǎn)管理體系都?xì)w入到信息安全管理的范圍之內(nèi)，在最大程度上降低外界各種因素帶來的影響。

（三）建立一個完備的監(jiān)控體系

一個完備的監(jiān)控體系是工業(yè)控制系統(tǒng)開展信息安全管理工作的基本方法之一，因此如何建立一個完備的監(jiān)控系統(tǒng)也是非常值得研究的一個問題。首先，需要相關(guān)企業(yè)設(shè)置一個專門的技術(shù)部門，讓其負(fù)責(zé)系統(tǒng)的建設(shè)與調(diào)整，全面且徹底的規(guī)劃好整個工業(yè)控制系統(tǒng)信息安全管理系統(tǒng)的相關(guān)建設(shè)工作，并提出科學(xué)合理的指導(dǎo)意見;其次，還需要提出并制定一套合理的建設(shè)方案，涵蓋整個系統(tǒng)安全以及穩(wěn)定的相關(guān)保障策略，進行安全管理框架的建設(shè)和完善。除此之外，還需要根據(jù)不同安全等級以及不同內(nèi)容的安全管理系統(tǒng)指定配套的指導(dǎo)文件;最后還需要經(jīng)過上級信息安全管理的部門等其他專業(yè)部門對所建立的安全監(jiān)控體系進行全方位的審核，對于具有爭議或是其他不確定的地方，邀請專業(yè)人士對其進行更進一步的科學(xué)合理的審定，最終完成一個完備的信息安全金控體系的建立。

（四）安全管理機構(gòu)的建立

開展工業(yè)控制系統(tǒng)信息安全的管理工作，安全管理機構(gòu)的建設(shè)也是一個方法。首先要讓負(fù)責(zé)企業(yè)安全生產(chǎn)的領(lǐng)導(dǎo)擔(dān)任整個工業(yè)控制系統(tǒng)信息安全防護工作的主要負(fù)責(zé)人，對其職責(zé)進行明確，成立一個專業(yè)委員會，負(fù)責(zé)企業(yè)信息安全的管理以及相關(guān)工作的指導(dǎo);除此之外，成立職能部門，其主要職責(zé)就是開展工業(yè)控制系統(tǒng)信息安全管理的工作，通過相關(guān)文件的合理制定來明確各個部門、各個從業(yè)人員的職責(zé)范圍，更好地完成信息安全的管理工作。

四、結(jié)束語

簡而言之，作為國家公共安全以及社會經(jīng)濟命脈的重要保障建設(shè)，在社會信息技術(shù)不斷發(fā)展，水平不斷提高的時代背景之下，面對網(wǎng)絡(luò)越來越多元開花的發(fā)展趨勢，工業(yè)控制系統(tǒng)要加強對自身信息安全的管理，認(rèn)識信息安全的特點以及其所帶來的嚴(yán)重后果，明白強化信息安全管理對國家以及社會的重要性，不斷開展與此相關(guān)的研究工作，相關(guān)企業(yè)要提高工業(yè)控制系統(tǒng)信息安全的防范意識，不斷提高自身的信息安全管理能力。

參考文獻

[1]錢福群.石化企業(yè)工業(yè)控制系統(tǒng)信息安全策略分析[J].煉油與化工，2018，29（05）：57-58.

[2]張敏，張五一，韓桂芬.工業(yè)控制系統(tǒng)信息安全防護體系研究[J].工業(yè)控制計算機，2013（10）：28-30.

[3]陸贊，王剛.基于工業(yè)控制系統(tǒng)的安全管理體系研究[J].中國有色金屬，2017（S1）：204-207.

[4]張又平.工業(yè)控制系統(tǒng)的信息安全等級保護建設(shè)及管理探討[J].電子技術(shù)與軟件工程，2015（15）：223.