韦 烜

（中车四方车辆有限公司 山东 青岛 266111）

1 引言

随着互联网技术的迅猛发展，两化融合工作的深入推行，物联网技术的全面开展，工业控制系统的应用范围也越来越广。同时也看到，工控系统近几年爆发了很多信息安全事故，原来相对封闭的工业控制系统并不是想象的那么安全。大量黑客，尤其是有境外敌对势力背景的组织，越来越多的参与到对工控系统的攻击事件中。“棱镜门事件”、“震网病毒”以及最近的“勒索病毒”事件带来的巨大危害，让我们意识到工控系统信息安全工作事关整个国家的安全。

2 工业控制系统信息安全法律法规

2016年10月，工信部印发了《工业控制系统信息安全防护指南》，是我国第一部系统性的介绍工控系统安全防护实施措施的指南。2017年6月1日正式实施的《网络安全法》将关键信息基础设施运行安全作为网络安全的重要指标。由此将工控系统安全提升到国家法律层面，使工控系统的信息安全工作有法可依。

3 企业应从以下几方面做好工业控制系统信息安全工作

3.1 管理方面

（1）企业应认真落实工业信息安全各项职责

企业应该依照《网络安全法》和《工业控制系统信息安全防护指南》等法律法规的要求，切实履行工控系统信息安全主体责任。建立工业控制系统安全管理机制、成立信息安全领导小组等形式，明确责任人，落实责任制。

（2）增强工业控制系统信息安全意识

企业的领导尤其是高层领导应该对工控安全保障工作做出战略性的引导和部署，在思想上提高重视，切实把工业控制系统信息安全工作列入重要议事日程，全面贯彻落实规章制度。每个员工都必须自觉的做好工业控制系统信息安全工作。要加强企业内部信息安全知识和技能的教育培训，强化员工的安全意识，掌握相应的安全知识和安全技能，全面提升企业工业控制系统信息安全的保障能力。

（3）建立健全相应的工作队伍

工业控制系统信息技术不断推陈出新，对人才队伍的建设也有着更高的要求。高素质的技术队伍是做好工作的基础。企业在注意人才的培养、使用的同时，对有突出贡献的优秀人才要提供优厚的激励措施。积极创造有利于人才成长的环境，加强人才队伍的建设，为工业控制系统信息技术人才提供更好的实现人生价值的平台。

3.2 技术方面

（1）做好防病毒工作

防病毒软件以及应用程序白名单程序能有效阻止病毒的传播，未授权应用程序和服务无法运行。安装可靠的安全软件以及建立相应的安全管理制度，确保工业控制系统的安全。

（2）配置和补丁管理

做好工业控制网络、服务器和设备的安全配置，定时备份配置，完善日志审计工作。对重大配置变更，一定要先做好备份并进行严格的事前安全测试。在系统补丁安装前，需对补丁进行严格的安全评估和测试验证。

（3）边界安全防护

企业应根据实际情况，在不同网络边界之间部署防火墙、入侵防御、网闸等设备，实现安全访问控制，阻断非法访问行为，工业控制网络原则上严格禁止与互联网连接。

（4）身份认证

在主机设备登录、应用服务资源访问等过程中要进行严格的身份认证。对于关键设备、系统和平台的访问采用多种认证方式；合理分类设置账户权限，以最小特权原则分配账户权限；加强密码管理，设置密码复杂性规则，定期更新口令；逐步采用介质、指纹、人脸识别等新技术，加强对身份的认证。

（5）远程访问控制

严格控制工业控制系统开通HTTP、SSH、FTP、Telnet等服务，确需远程访问的，采用数据单向访问控制等策略进行访问，对访问的IP地址进行控制，并采用加标锁定策略。确需远程访问的，采用VPN等方式接入。充分保存相应的访问日志，并定期进行安全审计。

（6）数据安全

对数据的存储进行访问加密，传输过程进行链路加密。根据重要性对数据进行分级管理。定期备份关键数据信息，建立数据安全管理制度。部署VPN对数据传输通道进行加密保护。部署数据审计系统。

4 结语

结合具体的工作实践中，我提几点自己的想法，不足之处请各位领导和专家指正。

（1）政府要增加对企业的资金支持

开展工业控制系统信息安全需要资金的支持。政府机关和事业单位有财政拨款，没有资金压力。而企业是自负盈亏，要完成每年的生产经营指标，为此企业需要不断地开源节流、降本增效。指标能否完成与每个人的工资挂钩。领导的首要目标是完成指标，让职工的工资得到保障。在此基础上才能优先考虑工业控制系统信息安全方面的投入，毕竟确保按时足额给职工发放工资才是头等大事。因此需要政府在资金方面给予足够的支持，使企业信息安全工作能有效的得以开展。

（2）对工业控制设备实行准入制度

政府要加强对工业控制设备生产企业的监管，企业生产的每一种工控设备都要通过国家相关部门的信息安全检测，检测合格的产品颁发许可批号，企事业单位只允许购买经过检测合格的工业控制设备。使用工控设备的企事业单位很难发现购买的工控设备有没有信息安全漏洞，有没有后门程序，这就需要政府相关部门把好关。现在是企事业单位直接购买工业控制设备，缺少必要的政府信息安全审查环节。食药监局对药品的准入控制就做的非常好，任何一种药品要上市流通，必须先经过严格的检测，才能让医院进行采购。如果能做好这项工作，工业控制设备信息安全方面的漏洞就能减少很大一部分。

（3）加强对使用企事业单位的技术支持

工业控制设备的生产厂家众多，产品型号更是层出不穷。这就需要政府相关技术部门加强对使用单位的技术支持，定期组织技术培训，请专家现场演示用什么工具、什么软件，如何检测并防范漏洞，最好能制作成教学视频。每一种通过认证的工控设备，政府定期进行检测，对发现的漏洞及时修复，并将修复方法制作成视频教材发放给使用单位。

工业控制系统信息安全工作任重道远，让我们所有部门共同努力做好这项工作，早日实现党中央提出的中华民族伟大复兴工作。

[1] 肖建荣.工业控制系统信息安全[J].电子工业出版社，2016：62-63.

[2] 陈雪.工业控制网络技术[J].中国电力出版社，2015：16-17.