工業(yè)信息控制網(wǎng)絡(luò)信息安全的防護(hù)措施

牛書(shū)寧NIU Shu-ning；梁佳偉LIANG Jia-wei

（①寧夏回族自治區(qū)工業(yè)和信息化融合促進(jìn)中心，銀川 750001；②中國(guó)移動(dòng)通信集團(tuán)寧夏有限公司，銀川 750001）

0 引言

工控系統(tǒng)網(wǎng)絡(luò)是將網(wǎng)絡(luò)中的各種業(yè)務(wù)、設(shè)備、應(yīng)用、服務(wù)等進(jìn)行互聯(lián)互通，作為請(qǐng)求端和服務(wù)端的上下游直接的轉(zhuǎn)化樞紐，所以對(duì)于網(wǎng)絡(luò)的安全要求和級(jí)別更應(yīng)該得到保障。如果關(guān)系到工業(yè)企業(yè)生態(tài)環(huán)境的網(wǎng)絡(luò)被攻破，不但網(wǎng)絡(luò)設(shè)備、應(yīng)用設(shè)備、服務(wù)設(shè)備被損壞，并且國(guó)家、企業(yè)以及人民的財(cái)產(chǎn)也會(huì)受到相應(yīng)的損失，社會(huì)的安定團(tuán)結(jié)穩(wěn)定環(huán)境也會(huì)受到影響；甚至如果企業(yè)的保密的信息數(shù)據(jù)被攻擊竊取，將會(huì)造成更多不可估量的損失。所以，為了國(guó)家的穩(wěn)定，人民的安寧，企業(yè)的良好發(fā)展，需要著力加強(qiáng)工業(yè)網(wǎng)絡(luò)的安全運(yùn)行管理和穩(wěn)定運(yùn)行。過(guò)去的大部分工業(yè)企業(yè)搭建了內(nèi)部生產(chǎn)應(yīng)用網(wǎng)絡(luò)，該網(wǎng)絡(luò)從未與外部網(wǎng)絡(luò)進(jìn)行鏈接，所以對(duì)網(wǎng)絡(luò)的安全性的保障措施極其缺乏甚至沒(méi)有任何防護(hù)。但是當(dāng)前互聯(lián)網(wǎng)技術(shù)、物聯(lián)網(wǎng)技術(shù)、5G通信技術(shù)的快速發(fā)展，內(nèi)部網(wǎng)絡(luò)不能永遠(yuǎn)封閉，與外部網(wǎng)絡(luò)的鏈接一旦打開(kāi)，將會(huì)給工業(yè)企業(yè)的網(wǎng)絡(luò)及服務(wù)到了前所未有的安全風(fēng)險(xiǎn)。工業(yè)網(wǎng)絡(luò)的生產(chǎn)資料，生產(chǎn)數(shù)據(jù)對(duì)于企業(yè)的經(jīng)營(yíng)，市場(chǎng)的保護(hù)是非常重要并且及其保密，所以為了保證數(shù)據(jù)安全，需要將工業(yè)企業(yè)的生產(chǎn)網(wǎng)絡(luò)進(jìn)行重點(diǎn)管理，建立健全工控系統(tǒng)安全應(yīng)急工作保障機(jī)制，提高應(yīng)對(duì)工控系統(tǒng)安全生產(chǎn)的組織協(xié)調(diào)和應(yīng)急處置能力，預(yù)防及減少工控系統(tǒng)信息數(shù)據(jù)泄露造成的損失和危害，如何保障工業(yè)信息安全已經(jīng)迫在眉睫[1]。

1 工業(yè)控制網(wǎng)絡(luò)安全的現(xiàn)狀分析

工業(yè)控制系統(tǒng)從起初的搭建，到當(dāng)前形成各自的復(fù)雜系統(tǒng)，是經(jīng)過(guò)長(zhǎng)期的發(fā)展形成的?！肮た亍奔础肮I(yè)控制”，工業(yè)控制系統(tǒng)（ICS，Industrial Control System）是一種用于工業(yè)生產(chǎn)的控制系統(tǒng)的統(tǒng)稱，它包含了PLC控制系統(tǒng)（PLC，Programmable Logic Controller）、分布式控制系統(tǒng)（DCS，Distributed Control System）、監(jiān)控與數(shù)據(jù)采集（SCADA，Supervised Control And Data Acquisition）系統(tǒng)等。工控安全事件是指由于人為原因?qū)е碌能浻布毕莼蚬收?、以及自然?zāi)害等原因，對(duì)工業(yè)控制系統(tǒng)及系統(tǒng)信息數(shù)據(jù)造成的危害，影響正常工業(yè)運(yùn)行和生產(chǎn)的事件。隨著工業(yè)大規(guī)模的互聯(lián)互通，快速的技術(shù)發(fā)展，互聯(lián)網(wǎng)的使用也被工業(yè)企業(yè)所采用。在工業(yè)企業(yè)中，組織架構(gòu)的復(fù)雜性，組織成員之間復(fù)雜的利益關(guān)聯(lián)，并且企業(yè)組織未制定網(wǎng)絡(luò)安全的規(guī)章制度，即使存在相應(yīng)的制度，執(zhí)行也大都不到位。所以工業(yè)企業(yè)的網(wǎng)絡(luò)安全問(wèn)題接二連三的發(fā)生，風(fēng)險(xiǎn)也在逐漸增加。

首先，隨著網(wǎng)絡(luò)的越來(lái)越開(kāi)放，以往建立的工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)的安全問(wèn)題逐步凸顯。工業(yè)系統(tǒng)搭建使得設(shè)計(jì)缺陷、老舊的操作系統(tǒng)的系統(tǒng)漏洞，沒(méi)有任何防護(hù)措施的工業(yè)網(wǎng)絡(luò)常常被黑客、病毒通過(guò)遠(yuǎn)程控制、病毒侵蝕等方式進(jìn)行攻擊。其次，網(wǎng)絡(luò)安全的防范意識(shí)未隨著網(wǎng)絡(luò)環(huán)境的完全開(kāi)放程度而增加。裸奔的系統(tǒng)和網(wǎng)絡(luò)逐漸鏈接到了開(kāi)放的互聯(lián)網(wǎng)中，但是系統(tǒng)和網(wǎng)絡(luò)的管理者未能掌握安全的防范能力，也不能及時(shí)提升安全的防范意識(shí)。第三，工業(yè)系統(tǒng)被黑客攻擊的難度相對(duì)較小。工業(yè)系統(tǒng)的設(shè)備及應(yīng)用在構(gòu)建時(shí)的研發(fā)能力較低，技術(shù)不成熟，并且在安全防范技術(shù)方面從未被重視。工業(yè)控制系統(tǒng)的服務(wù)運(yùn)行環(huán)境及網(wǎng)絡(luò)未及時(shí)進(jìn)行優(yōu)化升級(jí)和改造。所以，黑客和病毒進(jìn)行攻擊和非法入侵的時(shí)候既方便又隨意。最后，我國(guó)在工控領(lǐng)域中對(duì)國(guó)外的設(shè)備和技術(shù)的依賴程度比較強(qiáng)。我國(guó)正在應(yīng)用的工控系統(tǒng)產(chǎn)品中，國(guó)外產(chǎn)品已經(jīng)占領(lǐng)了絕大部分市場(chǎng)份額，例如PLC產(chǎn)品國(guó)內(nèi)的市場(chǎng)占有率不到1%，工業(yè)控制中用到的邏輯控制器產(chǎn)品95%是來(lái)自施耐德、西門(mén)子等[2]，所以非我國(guó)的自研產(chǎn)品對(duì)系統(tǒng)的安全性沒(méi)有任何控制和防范的能力，工業(yè)企業(yè)的設(shè)備控制系統(tǒng)成為了國(guó)外攻擊的主要目標(biāo)。

近年來(lái)，我國(guó)工業(yè)行業(yè)互聯(lián)網(wǎng)的發(fā)展，也帶來(lái)了極大的安全風(fēng)險(xiǎn)，所以才更加需要安全保障，我國(guó)對(duì)安全生產(chǎn)和安全技術(shù)的支持正在逐漸加強(qiáng)，為工業(yè)企業(yè)系統(tǒng)的優(yōu)化升級(jí)改造和安全的生產(chǎn)提供了支持。通過(guò)優(yōu)化升級(jí)改造當(dāng)前的工業(yè)控制系統(tǒng)，建立安全保障的技術(shù)體系，構(gòu)建從運(yùn)行狀態(tài)監(jiān)控、網(wǎng)絡(luò)異常掃描、故障應(yīng)急保障、安全分析補(bǔ)救、安全保障原則及法規(guī)等方面全面著手形成安全生產(chǎn)防護(hù)網(wǎng)。

2 工業(yè)系統(tǒng)自身的安全問(wèn)題分析

我國(guó)工業(yè)各行業(yè)的控制系統(tǒng)建設(shè)的時(shí)間早，使用的時(shí)間長(zhǎng)，在建設(shè)初期以及使用中通過(guò)物理方式進(jìn)行了隔離，初看起來(lái)系統(tǒng)網(wǎng)絡(luò)在安全方面沒(méi)有任何風(fēng)險(xiǎn)。但是隨著互聯(lián)網(wǎng)技術(shù)的快速更新迭代，工業(yè)控制系統(tǒng)的漏洞也在增加，并且系統(tǒng)和網(wǎng)絡(luò)同時(shí)缺乏安全手段，遭受到外界的網(wǎng)絡(luò)攻擊也越來(lái)越頻繁，漏洞攻擊的方式主要有網(wǎng)絡(luò)設(shè)計(jì)漏洞、服務(wù)器系統(tǒng)漏洞、系統(tǒng)數(shù)據(jù)庫(kù)漏洞等。所以工業(yè)系統(tǒng)網(wǎng)絡(luò)的漏洞問(wèn)題正在影響工業(yè)行業(yè)的安全。工業(yè)系統(tǒng)網(wǎng)絡(luò)的病毒防護(hù)技術(shù)嚴(yán)重缺乏，病毒對(duì)網(wǎng)絡(luò)、系統(tǒng)、服務(wù)器、數(shù)據(jù)庫(kù)等的破壞性非常嚴(yán)重。雖然工業(yè)系統(tǒng)內(nèi)網(wǎng)通過(guò)物理方式與外部網(wǎng)絡(luò)進(jìn)行了區(qū)隔，但是網(wǎng)絡(luò)的封閉給網(wǎng)絡(luò)中的設(shè)備、系統(tǒng)、數(shù)據(jù)庫(kù)、軟件等的升級(jí)帶來(lái)了困難，如果通過(guò)物理外接設(shè)備的方式給內(nèi)網(wǎng)感染了病毒，那么內(nèi)網(wǎng)就無(wú)法抵抗病毒的危害，嚴(yán)重的導(dǎo)致系統(tǒng)癱瘓或者數(shù)據(jù)丟失等。我國(guó)早期及近期的工業(yè)控制網(wǎng)絡(luò)的相關(guān)系統(tǒng)在建設(shè)的過(guò)程中設(shè)置了密碼控制，但是默認(rèn)密碼以及設(shè)置的新密碼的要求卻及其簡(jiǎn)單，密碼長(zhǎng)度短，并且大部分以數(shù)字為密碼，最復(fù)雜的僅增加字母，對(duì)字母的大小寫(xiě)和特殊字符的使用都未有強(qiáng)制性的要求。也更加無(wú)法通過(guò)高級(jí)秘鑰，例如指紋、人臉、聲紋、虹膜等。設(shè)置的簡(jiǎn)單密碼很容易被攻擊者快速攻破。當(dāng)入侵者通過(guò)密碼登陸到工業(yè)系統(tǒng)中，可以更加方便的竊取工業(yè)數(shù)據(jù)以及利用工業(yè)數(shù)據(jù)。工業(yè)的系統(tǒng)管理網(wǎng)絡(luò)在信息安全管理規(guī)范中缺失，或者安全體系管理規(guī)則不完善，更甚者及時(shí)有安全管理規(guī)范，但是安全管理執(zhí)行完全不到位。由于制度的不健全，則會(huì)導(dǎo)致對(duì)網(wǎng)絡(luò)攻擊的預(yù)防、修復(fù)以及恢復(fù)則無(wú)法達(dá)成。所以要通過(guò)建立、健全、執(zhí)行、監(jiān)督等一系列手段建立工業(yè)控制網(wǎng)絡(luò)管理體系。

3 工控系統(tǒng)安全的預(yù)防和保障方案

統(tǒng)籌工控網(wǎng)絡(luò)安全的全面管理，建立健全相關(guān)人員網(wǎng)絡(luò)安全認(rèn)知。由于工業(yè)企業(yè)組織者在日常的生產(chǎn)管理的運(yùn)營(yíng)中，管理方法不當(dāng)，管理力度不到位等管理方面的原因，導(dǎo)致了超過(guò)百分之五六十以上的網(wǎng)絡(luò)安全問(wèn)題。所以在工業(yè)企業(yè)的系統(tǒng)安全管理的工作中，責(zé)任與權(quán)利的分離、負(fù)責(zé)期限的管理、一主一備等的相互監(jiān)督管理就更好推進(jìn)系統(tǒng)安全的執(zhí)行。通過(guò)管理規(guī)范對(duì)管理員的管控工作進(jìn)行了加強(qiáng)，也需要對(duì)工業(yè)系統(tǒng)的使用者在日常的工作以及生活中有意識(shí)的強(qiáng)化自己的網(wǎng)絡(luò)安全的意識(shí)。

優(yōu)化升級(jí)工控網(wǎng)絡(luò)系統(tǒng)，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)分界管理。工控系統(tǒng)網(wǎng)絡(luò)在優(yōu)化升級(jí)時(shí)，不但需要升級(jí)自身的安全體系，也需要增加對(duì)整體網(wǎng)絡(luò)安全的布控布防，將工控系統(tǒng)中的軟件應(yīng)用、服務(wù)設(shè)備、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)傳輸?shù)冗M(jìn)行統(tǒng)一的管理，形成一體化的安全防護(hù)體系。將內(nèi)部網(wǎng)絡(luò)的應(yīng)用設(shè)備劃分到安全區(qū)域，將外部網(wǎng)絡(luò)設(shè)備劃分到公共區(qū)域，兩個(gè)區(qū)域之間增加安全檢查、跳轉(zhuǎn)、鑒權(quán)、驗(yàn)證等。采用國(guó)產(chǎn)的工業(yè)化的防火墻等產(chǎn)品隔離內(nèi)部系統(tǒng)網(wǎng)絡(luò)的訪問(wèn)；對(duì)無(wú)線通過(guò)固定的端口進(jìn)行限制和分離，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

加強(qiáng)工控系統(tǒng)信息網(wǎng)絡(luò)安全管理，提高網(wǎng)絡(luò)防護(hù)能力。堅(jiān)持“安全第一、預(yù)防為主”的原則。和有關(guān)部門(mén)合作建設(shè)工業(yè)互聯(lián)網(wǎng)信息安全形勢(shì)差異感知平臺(tái)和互聯(lián)網(wǎng)一體化備案信息監(jiān)管平臺(tái)，從而實(shí)現(xiàn)收集工業(yè)領(lǐng)域信息安全相關(guān)信息并及時(shí)發(fā)布相關(guān)信息安全漏洞、安全風(fēng)險(xiǎn)和風(fēng)險(xiǎn)預(yù)警等功能，通過(guò)平臺(tái)實(shí)現(xiàn)對(duì)所轄區(qū)內(nèi)工業(yè)互聯(lián)網(wǎng)信息系統(tǒng)實(shí)時(shí)、定期有效的安全監(jiān)測(cè)，實(shí)現(xiàn)將每一件工控安全事件都能追蹤到根源的信息化管理，這樣可以在網(wǎng)上一鍵通報(bào)，線下快速處置問(wèn)題，大大減少了傳統(tǒng)通訊在公共交通、人力損耗、物力損耗以及統(tǒng)籌管理等方面的成本支出，有效降低了各種方面資源的消耗，更加節(jié)約社會(huì)資源。將行政賦能監(jiān)督、各級(jí)人員被動(dòng)式監(jiān)督轉(zhuǎn)變?yōu)檎谶M(jìn)行式、更加主動(dòng)式全方面、全流程監(jiān)督，可以大大提高行政效率，節(jié)約減少辦公經(jīng)費(fèi)指出，提高各類信息的利用率和實(shí)時(shí)性。增強(qiáng)工業(yè)互聯(lián)網(wǎng)信息安全可靠和統(tǒng)籌治理能力，為建設(shè)現(xiàn)代智能化工廠、數(shù)字化生產(chǎn)車間、智能一體化安全生產(chǎn)線提供保障。

4 應(yīng)用實(shí)例

為進(jìn)一步提升寧夏某生產(chǎn)企業(yè)（以下簡(jiǎn)稱“某某生產(chǎn)企業(yè)”）信息網(wǎng)網(wǎng)絡(luò)安全整體安全防護(hù)能力，按照“一個(gè)中心、三重防護(hù)”建設(shè)要求，現(xiàn)對(duì)某某生產(chǎn)企業(yè)開(kāi)展網(wǎng)絡(luò)安全升級(jí)改造。

如圖1所示，在銀川網(wǎng)絡(luò)服務(wù)器區(qū)與核心交換機(jī)之間部署2臺(tái)高端IPS入侵防御系統(tǒng)，對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)監(jiān)控和阻斷，提供動(dòng)態(tài)保護(hù)大大提高了網(wǎng)絡(luò)的安全性。做到“事前預(yù)警、事中防御、事后取證”。事前警告：能夠在入侵攻擊對(duì)網(wǎng)絡(luò)系統(tǒng)造成危害前，及時(shí)檢測(cè)到入侵攻擊的發(fā)生，并進(jìn)行報(bào)警；事中防御：入侵攻擊發(fā)生時(shí)，入侵檢測(cè)系統(tǒng)可以及時(shí)發(fā)現(xiàn)、阻斷連接、TCP Killer等方式進(jìn)行事件報(bào)警及網(wǎng)絡(luò)連接阻斷；事后取證：被入侵攻擊后，入侵防御系統(tǒng)可以提供詳細(xì)的攻擊信息，便于取證分析[3]。在銀川網(wǎng)絡(luò)的2個(gè)新增無(wú)線覆蓋區(qū)與核心交換機(jī)之間以及核心交換機(jī)與A網(wǎng)絡(luò)、B網(wǎng)絡(luò)之間各部署1臺(tái)第二代防火墻設(shè)備，在提供傳統(tǒng)安全防護(hù)能力的基礎(chǔ)上，通過(guò)事前預(yù)測(cè)、事中防御、事后檢測(cè)和響應(yīng)的全流程威脅防御，主動(dòng)積極防御網(wǎng)絡(luò)威脅，增強(qiáng)企業(yè)邊界的威脅檢測(cè)能力。高性能硬件平臺(tái)結(jié)合單路徑并行處理的安全檢測(cè)引擎，可以實(shí)現(xiàn)對(duì)用戶、應(yīng)用和內(nèi)容的深入分析，為用戶提供安全智能的一體化防護(hù)體系。替換銀川Internet出口區(qū)防火墻，解決現(xiàn)有防火墻設(shè)備性能不足，特征庫(kù)無(wú)法升級(jí)等問(wèn)題，在提供傳統(tǒng)安全防護(hù)能力的基礎(chǔ)上，通過(guò)事前預(yù)測(cè)、事中防御、事后檢測(cè)和響應(yīng)的全流程威脅防御，主動(dòng)積極防御網(wǎng)絡(luò)威脅，增強(qiáng)企業(yè)邊界的威脅檢測(cè)能力。高性能硬件平臺(tái)結(jié)合單路徑并行處理的安全檢測(cè)引擎，可以實(shí)現(xiàn)對(duì)用戶、應(yīng)用和內(nèi)容的深入分析，為用戶提供安全智能的一體化防護(hù)體系。增加一臺(tái)高性能IPS入侵防御設(shè)備，提升互聯(lián)網(wǎng)出口安全防護(hù)能力。增加一臺(tái)負(fù)載均衡設(shè)備，解決公司現(xiàn)有多鏈路無(wú)智能鏈路負(fù)載，雙聯(lián)路主備模式利用率低下的問(wèn)題。提升公司對(duì)外提供業(yè)務(wù)效率和公司內(nèi)部對(duì)外訪問(wèn)優(yōu)化。

在安全運(yùn)維管理區(qū)部署堡壘機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)以及日志審計(jì)與分析系統(tǒng)，強(qiáng)化、提升安全運(yùn)維能力，加強(qiáng)對(duì)數(shù)據(jù)庫(kù)操作的日常審計(jì)能力以及日志綜合分析能力。堡壘機(jī)系統(tǒng)：為企業(yè)提供集中的管理平臺(tái)，減少系統(tǒng)維護(hù)工作量；能夠?yàn)槠髽I(yè)提供全面的用戶和資源管理，減少企業(yè)的維護(hù)成本；能夠幫助企業(yè)制定嚴(yán)格的資源訪問(wèn)策略，并且采用強(qiáng)身份認(rèn)證手段，全面保障系統(tǒng)資源的安全；能夠詳細(xì)記錄用戶對(duì)資源的訪問(wèn)及操作，滿足對(duì)用戶行為審計(jì)的需求[4]；數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)：通過(guò)監(jiān)控?cái)?shù)據(jù)庫(kù)的多重狀態(tài)和通信內(nèi)容，不僅能夠?qū)?shù)據(jù)庫(kù)所面臨的風(fēng)險(xiǎn)進(jìn)行多方位的評(píng)估，還可以通過(guò)審計(jì)功能對(duì)數(shù)據(jù)庫(kù)所有操作進(jìn)行審計(jì)，提供事后追查機(jī)制；日志審計(jì)與分析系統(tǒng)：幫助用戶滿足安全審計(jì)的合規(guī)要求，可幫助用戶快速出具滿足國(guó)家法律法規(guī)，行業(yè)標(biāo)準(zhǔn)的多種合規(guī)報(bào)表和報(bào)告，幫助安全人員對(duì)內(nèi)部管理的合規(guī)情況一覽無(wú)余。

在A網(wǎng)絡(luò)、B網(wǎng)絡(luò)以及互聯(lián)網(wǎng)網(wǎng)絡(luò)出口分別部署上網(wǎng)行為管理系統(tǒng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)進(jìn)行2-7層的全面檢查和分析。深度識(shí)別、管控和審計(jì)近千種IM聊天軟件、P2P下載軟件、炒股軟件、網(wǎng)絡(luò)游戲應(yīng)用、流媒體在線視頻應(yīng)用等常見(jiàn)應(yīng)用，并利用智能流控、智能阻斷、智能路由等技術(shù)提供強(qiáng)大的帶寬管理特性。配合創(chuàng)新的網(wǎng)絡(luò)應(yīng)用行為精細(xì)化管理功能、清晰易管理日志等功能，提供業(yè)界最全面、完善的網(wǎng)絡(luò)行為管理解決方案[5]。為全公司增加主機(jī)監(jiān)控及審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)突發(fā)終端違規(guī)安全事件的監(jiān)測(cè)、告警、審計(jì)等管理流程。通過(guò)有效的實(shí)時(shí)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)用戶單位終端安全事件，根據(jù)統(tǒng)一的策略，提供有效監(jiān)控管理措施；實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制、網(wǎng)絡(luò)訪問(wèn)行為有效監(jiān)控。對(duì)用戶辦公網(wǎng)絡(luò)進(jìn)行安全防護(hù)，杜絕非法外聯(lián)等情況發(fā)生；實(shí)現(xiàn)用戶計(jì)算機(jī)設(shè)備統(tǒng)一安全管理。按照積極防御、綜合防范、突出重點(diǎn)的方針，對(duì)用戶全程、全網(wǎng)、全終端實(shí)施有效地安全監(jiān)控，事前對(duì)安全事件進(jìn)行預(yù)警預(yù)測(cè)，為查處各類違規(guī)行為提供依據(jù)；實(shí)現(xiàn)用戶移動(dòng)存儲(chǔ)介質(zhì)統(tǒng)一安全管理。確保移動(dòng)存儲(chǔ)介質(zhì)在用戶單位合法使用，禁止跨網(wǎng)使用；及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的終端設(shè)備系統(tǒng)漏洞并自動(dòng)分發(fā)、安裝補(bǔ)??；對(duì)網(wǎng)絡(luò)中占用大量帶寬的終端及時(shí)發(fā)現(xiàn)并告警；實(shí)施資產(chǎn)全生命周期信息化管理，記錄各硬件資產(chǎn)狀態(tài)，杜絕資產(chǎn)孤島情況出現(xiàn)；管理全終端軟硬件資產(chǎn)，確保用戶合規(guī)使用，使用權(quán)限有效控制；實(shí)現(xiàn)對(duì)單位內(nèi)計(jì)算機(jī)敏感信息檢查。按照制定的文件格式策略進(jìn)行自動(dòng)化、網(wǎng)絡(luò)化檢查，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)上所存儲(chǔ)的敏感信息，準(zhǔn)確定位相關(guān)單位、部門(mén)、使用人等，確保重要敏感信息的安全[6]；提供管理員有效運(yùn)維管理手段，終端信息審計(jì)反饋與遠(yuǎn)程維護(hù)方式相結(jié)合，有效減少其維護(hù)工作量。

5 結(jié)束語(yǔ)

綜合以上所述，可以發(fā)現(xiàn)工業(yè)信息化已經(jīng)是工業(yè)現(xiàn)代化發(fā)展的必然趨勢(shì)，其中工控系統(tǒng)網(wǎng)絡(luò)安全門(mén)類融合了多學(xué)科、多技術(shù)和多領(lǐng)域之間的相互交叉。這個(gè)門(mén)類里面包含計(jì)算機(jī)科學(xué)、電氣/電子儀表、通信技術(shù)和信息等多種專業(yè)的內(nèi)容。現(xiàn)在對(duì)工業(yè)控制的系統(tǒng)信息化安全等級(jí)要求日益漸增，隨之而來(lái)的就是工控系統(tǒng)安全的問(wèn)題，這個(gè)問(wèn)題的影響也越來(lái)越深。近幾年來(lái)使用網(wǎng)絡(luò)的人群逐漸增加，網(wǎng)絡(luò)可以應(yīng)用到的地方越來(lái)越廣，與此同時(shí)工業(yè)網(wǎng)絡(luò)信息的安全風(fēng)險(xiǎn)也隨之增大，如果受到外部的襲擊就可能會(huì)給工業(yè)企業(yè)甚至上升到國(guó)家和社會(huì)層面造成不可挽回的損失?！皼](méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全，就沒(méi)有經(jīng)濟(jì)社會(huì)平穩(wěn)運(yùn)行，廣大人民群眾利益也難得到保障”。所以，工業(yè)系統(tǒng)的安全這項(xiàng)工程具有能影響大局和核心的不可撼動(dòng)的地位。

近年來(lái)我國(guó)的工業(yè)水平穩(wěn)步發(fā)展，為了保障我國(guó)工控網(wǎng)絡(luò)系統(tǒng)信息化朝著安全、可持續(xù)的方向發(fā)展，工業(yè)和信息化主管部門(mén)必須高度重視網(wǎng)絡(luò)安全防護(hù)問(wèn)題，構(gòu)建科學(xué)良好可持續(xù)的網(wǎng)絡(luò)結(jié)構(gòu)，保障工業(yè)網(wǎng)絡(luò)安全設(shè)施的基礎(chǔ)設(shè)置，充分發(fā)揮高科技網(wǎng)絡(luò)技術(shù)的優(yōu)勢(shì)，這樣可以讓工業(yè)控制的網(wǎng)絡(luò)跟外界網(wǎng)絡(luò)之間相互具有獨(dú)立性和保密性，同時(shí)又有互通性，為工業(yè)安全、高效的生產(chǎn)打好堅(jiān)實(shí)的基礎(chǔ)[7]。

工業(yè)系統(tǒng)的信息安全到目前為止還不夠完善，一直處于不斷變化中，并且這種變化沒(méi)有規(guī)律，所以信息安全風(fēng)險(xiǎn)可能隨時(shí)隨地在發(fā)生。僅憑一個(gè)人或者一個(gè)企業(yè)的力量可能無(wú)法維持這種工控系統(tǒng)一直處于安全的狀態(tài)，所以需要政府或者大眾的力量先把握好上層結(jié)構(gòu)，綜合分析、調(diào)整。再聯(lián)合其他社會(huì)相關(guān)人士共同建立工業(yè)系統(tǒng)信息安全機(jī)制，把各環(huán)節(jié)有效的利用起來(lái)，最終成立一個(gè)工業(yè)系統(tǒng)相關(guān)的信息安全平臺(tái)保障體系，這項(xiàng)活動(dòng)以后可能會(huì)成為信息安全領(lǐng)域發(fā)展核心關(guān)鍵。