孙尚敏

（沈阳飞机工业（集团）有限公司，辽宁 沈阳 110850）

浅谈军工企业工业控制系统信息安全

孙尚敏

（沈阳飞机工业（集团）有限公司，辽宁 沈阳 110850）

随着两化融合的不断推进，使工业控制系统信息安全问题逐步显现。文章从军工企业工业控制系统信息安全现状入手，分析了军工企业工业控制系统信息安全存在的风险，并对军工企业工业控制系统信息安全的应对策略提出了建议。

军工企业；工业控制系统；信息安全

随着计算机和网络技术的发展，特别是信息化与工业化得深度融合（即两化融合），工业控制系统在军工企业中的应用逐渐深入到生产制造的各个环节，它一方面提高了企业信息化和综合自动化水平，另一方面实现了生产和管理的高效率、高效益。对于军工企业生产制造能力起到了十分重要的作用。军工企业作为国防科技工业的重要军工制造力量，一直都是国内外间谍组织关注的重点目标。近年来，全球发生的多起针对工业控制系统的攻击事件给人们敲响了警钟。如何应对工业控制系统信息安全风险，是在两化融合形势下需要解决的现实问题。

1 军工企业工业控制系统信息安全现状

近年来，军工企业为了提高生产率和生产的灵活性，自动化技术及联系自动化“孤岛”的工业控制系统得到了日益广泛的应用。随着ERP及MES等系统的实施，信息化的触角已经延伸到军工企业各个生产单元，包括零件制造、产品组装等等。军工企业工业控制系统在享受开放、互联技术带来的技术进步、生产效率提高与竞争力大大增强的同时，也面临着越来越严重的安全威胁。

1.1 对工业控制系统信心安全重视不够

多年来，军工企业大都注重于管理网（尤其是涉密网）的信息安全，对于工业控制系统信息安全关注不多，重视不够。即使对工业控制系统采取策略，大多也是针对生产流程，缺乏对信息安全问题的高度重视，并且，所采取的安全策略和防护方法大都参照管理网的防护措施开展，但目前信息安全的许多技术措施和设计准则制度如认证、访问控制、消息完整性、最小权限等大多只适用于普通计算机或网络设备，而工业控制系统并不在传统的信息安全防护范畴，致使所部署的信息安全解决方案会影响到企业生产运营，造成部分企业消极应对工业控制系统信息安全防护。

1.2 对国外产品依赖大

目前，军工企业很大一部分工业控制系统主要软件、硬件、通信设备、技术标准基本上都引进自国外。以数控设备为例，国外的比例已经达到50%以上，西门子、罗克韦尔、IGSS等国际知名厂商生产的工业控制设备占据我国工业控制系统的主要地位。而数控操作系统国外产品的使用率更是达到了70%以上，国产的工业控制系统往往也都采用国外的产品和技术。这种情况下，国内对于国外产品的“底细”了解的并不完全清楚，缺乏核心知识产权，技术漏洞主要从国外公开报道中得知，安全防护缺乏主动权。

1.3 与管理网数据交换隐患大

军工企业工业控制系统主要用于下发、接收工业控制指令进行生产加工活收集各设备运行状态信息，这些都需要将工业控制系统与管理网（大多是涉密网）进行连接以便进行数据交换。由于工业控制系统本身的复杂性和封闭性，暂还不能对工业控制系统实施有效技术管控。当工业控制系统组成一个庞大网络时，其运行安全风险急剧加大，核心数据易被攻击者窃取或篡改破坏。

2 军工企业工业控制系统信息安全所面临的风险

由于工业控制系统使用的通用协议、应用软件、安全策略甚至硬件上存在诸多的安全缺陷，结合军工企业管理实际，风险主要包括工业控制系统自身风险、人员风险和维修风险。

2.1 工业控制系统自身风险

主要包括与工业控制系统相关的硬件和软件的风险。硬件风险主要表现在工业控制设备各种外部接口功能复杂，难以监管，给外部设备接入带来极大便利，同时使用的可控制编辑器（Programmable Logic Controller，PLC）控制器、电脑工作站、网络设备和交换机以及由路由器产生漏洞易造成信息安全风险；软件风险主要包括操作系统平台（如Windows 操作系统）、工业控制系统和应用软件漏洞引发的风险。由于工业控制系统的独立性，考虑到系统的稳定运行，很多时候不会对Windows平台安装补丁及杀毒软件，这存在着较大的安全威胁。

2.2 人员风险

军工企业生产现场环境复杂开放、人员流动较大，系统操作人员多为非密人员，保密意识比较淡薄，保密技能掌握不熟练。在工作中，操作和使用工业控制系统几乎无限制。

2.3 维修风险

军工企业个别工业控制系统的维修管理难以有效掌控。部分进口工业控制系统需要通过互联网远程连接进行故障诊断，外来维修人员因技术保密需要使用自身便携式计算机进行设备诊断等。维修设备接入互联网或外来介质设备，带来极大的安全风险。

3 军工企业工业控制系统信息安全应对策略

军工企业在保证工业控制系统保密性、完整性及可用性的前提下，建议从国家、工业控制生产和防护企业及军工企业用户等3个层面开展以下几方面应对工作：

3.1 国家层面

（1）加快工业控制系统信息安全体系建设。加强对工业控制系统安全防护工作的组织领导和宏观规划，通过开展调查研究等方式，深入研究我国工业控制系统的行业特点和需求，明确工业控制系统的安全防护策略，形成我国自主的工业控制系统安全体系。

（2）完善工业控制系统信息安全相关政策法规及技术标准。借鉴欧美国家先进管理经验及防护标准，结合国内实际情况，制定“工业控制信息安全管理办法”及“工业控制系统信息安全防护标准”“工业控制系统信息安全防护指南”等顶层指导性文件。

（3）开展工业控制系统风险评估工作。由国家机关组织专业的第三方机构，对重点军工制造企业的关键工业控制系统实施定期的漏洞分析与风险评估工作，以保证军工企业关键工业控制系统安全稳定运行。

3.2 工业控制生产和防护企业

（1）进一步提国产技术和产品的安全性，加快研发工业控制系统安防的技术和产品。当前，军工企业工业控制系统大量采用国外产品，依赖性较大，加强技术革新，坚持自主研发、自主创新的道路，使国产软件满足我国本土需要的同时，具有更高的安全性和可靠性，以从容应对大型系统、复杂系统及特殊领域自动化系统面临的安全性问题。

（2）大力推进信息安全防护企业的研发力度，引导社会科研力量关注工业控制系统安全基础理论、关键技术等重点课题，吸引社会资源参与工业控制系统信息安全防护研发。

3.3 军工企业

（1）建立工业控制系统信息安全责任制。军工企业应按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，建立健全信息安全责任制。明确工业控制设备和工业控制系统的归口管理部门，明确管理职责，同事，建立人与设备一一对应制度，即一台工业控制设备指定一个责任人，设备的安全由指定人员负责，出现问题由其承担。

（2）加强工业控制系统的信息安全管理。采取技术措施与管理措施相结合的方法。在技术方面，采用简单易行的技术，力求不影响工业控制系统的实时性；在保证系统功能和性能的前提下，尽量减少通信信息技术的使用。在管理方面，采取对工业控制系统单独组网的方式，实现与管理网的物理隔离，采取设备专用窗口机刻录光盘的方式进行数据交换；指定工业控制系统信息数据交换介质为光盘；定期对工业控制系统进行监督检查，重点关注维修环节，重点检查外来介质设备的使用情况。

（3）开展工业控制系统信息安全教育。主要包括对工业控制系统操作人员和信息安全管理人员的教育。通过定期开展专项信息安全教育，使其知悉工业控制系统存在的安全隐患及风险，结合国际国外典型攻击案例，促进其在日常工业中养成按章操作的良好习惯，不断提升信息安全方面的专业技能。

4 结语

工业控制系统已经成为军工制造企业提高生产力和提升生产效能的有力武器，目前，工业控制系统信息安全问题并没有十分完备的解决方案，国家有关部门应加快工业控制系统信息安全体系建设的步伐，明确工业控制系统信息安全防护方案，开展定期风险评估提出风险应对方案，通过提高自主可控产品的研发能力，提升国产工业控制系统设备竞争力，才能真正确保军工企业工业控制系统的信息安全。

[1]杨建军.工业控制系统信息安全标准化[J].信息技术与标准化，2012（3）：20-23.

[2]尹肖栋.论工业控制系统信息安全监控管理建设[J].计算机，2013（20）：168-170.

[3]李战宝，张文贵，潘卓，等.美国确保工业控制系统安全的做法及对我们的启示[C].北京：第27次全国计算机安全学术交流会（论文集），2012：51-53.

[4]刘斌.从“震网”病毒看工业控制系统的安全[J].科技广场，2012（8）：55-57.

[5]韩晓波.企业工业控制网络安全技术探讨及实现[J].自动化及仪表，2012（4）：498-503.

[6]何之栋.工业控制系统的信息安全问题研究[J].工业控制计算机，2013（10）：1-4.

Discussion on information security of industrial control system in military enterprises

Sun Shangmin
（Shenyang Aircraft Industry (Group) Co., Ltd., Shenyang 110850, China）

With the continuous advance of the integration of the two, the information security problem of industrial control system appears gradually. This article analyzed the risk of information security of industrial control system of military enterprises from the military enterprise information security status of industrial control system, and put forward some suggestions on coping strategies of industrial control system information security of military enterprises.

military enterprises; industrial control system; information security

孙尚敏（1983— ），女，辽宁沈阳，硕士，工程师；研究方向：保密技术管理，信息安全。