浅谈工业控制系统信息安全

2018-08-11甘清云

网络安全技术与应用 2018年8期

关键词：工控信息安全工业

◆甘清云

浅谈工业控制系统信息安全

◆甘清云

(中国直升机设计研究所天津 300300)

工业控制系统被广泛应用到诸多国家关键基础设施行业，工业控制系统信息安全事关经济发展、社会稳定和国家安全。本文介绍了工业控制系统信息安全存在的问题，并提出了改进的措施。

工业控制系统；信息安全

0 引言

工业控制系统被广泛应用到诸多国家关键基础设施行业，如电力、水利、石油化工、交通运输、先进制造、航空航天等。工业控制系统信息安全事关经济发展、社会稳定和国家安全。“震网”病毒、乌克兰电网等事件的发生传递了一个信号：工业控制系统信息安全问题日益突出。加强工业控制系统的信息安全防护已是刻不容缓。本文主要介绍了工业控制系统的概况、存在的问题、改进的措施。

1 工业控制系统

工业控制系统是由各种自动化控制组件以及对实时数据进行采集和监测的过程控制组件共同构成的确保工业基础设施自动化运行，实现过程控制和监控的业务流程管控系统，其核心组件包括监视控制与数据采集（SCADA）系统、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、远程终端（RTU）、智能电子设备（IED）和确保各组件通信的接口技术。

2 工业控制系统信息安全存在的问题

2.1 对工业控制系统的理解还存在不到位的情况

监视控制与数据采集（SCADA）系统是指在工业生产控制过程中，对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统。它以计算机为基础，对远程分布运行设备进行监控调度，其主要功能包括数据采集、参数测量和调节、信号报警等。SCADA系统一般由设在控制中心的主终端控制单元（MTU）、通信线路和设备、远程终端单元（RTU）等组成。

分布式控制系统（DCS）是以计算机为基础，在系统内部（单位内部）对生产过程进行分布控制、集中管理的系统。一般包括现场控制级、控制管理级两个层次，现场控制级主要是对单个子过程进行控制，控制管理级主要是对多个分散的子过程进行数据采集、集中显示、统一调度和管理。可编程逻辑控制器（PLC）是采用可编程存储器，通过数字运算操作对工业生产装备进行控制的电子设备。主要执行各类运算、顺序控制、定时等指令，用于控制工业生产装备的动作，是工业控制系统的基础单元。

2.2 对工控系统技术防护和管理现状缺乏系统梳理

有些单位工控系统每天都在运行，可是对于工控系统的技术防护和管理现状缺乏系统梳理：工控系统目前采取了哪些技术防护措施？这些措施的防护效果如何？工控系统目前有哪些管理制度？制度执行得怎么样？

2.3 对工控系统有关标准和要求的了解不太全面

国家针对工控系统下发过一些通知文件，对工控系统安全工作提出要求。国家也针对工控系统编制了有关标准，包括正在编制很多工控系统的标准。有些单位落实国家有关文件要求和标准还有差距。

2.4 工业控制系统与企业网连接较随意

由于实际业务的需要，工控系统可能需要连接企业网。但是工控系统连接企业网不是想当然的想连就连，尤其是连接涉密网，必须严格按照有关要求做好相关准备工作，在条件具备的情况下才能连接企业网。

3 工业控制系统信息安全改进措施

3.1 摸清家底，搞清楚有没有工控系统，具体有哪些工控系统

在对什么是工业控制系统有了准确理解后，摸清家底，彻底搞明白本单位是否有工控系统，具体有哪些工控系统。

3.2 系统梳理技术防护和管理现状

在确定了本单位有工控系统之后，要全面系统梳理出本单位工控系统的技术防护措施、管理现状，能回答以下问题：工控系统目前采取了哪些技术防护措施？这些措施的防护效果如何？工控系统目前有哪些管理制度？制度执行得怎么样？

3.3 对照标准和要求找出差距，提出整改措施

国家针对工控系统下发过有关文件，如2011年，工业和信息化部下发了《关于加强工业控制系统信息安全管理的通知》（工信部协[2011] 451号），要求加强国家主要工业领域基础设施工业控制系统的安全保护工作；2012年6月，国务院印发《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号），明确要求保障工业控制系统安全；2016年，工业和信息化部下发《工业控制系统信息安全防护指南》（工信部信软[2016] 338号）；2017年，工业和信息化部下发《工业控制系统信息安全事件应急管理工作指南》（工信部信软[2017] 122号）和《工业控制系统信息安全防护能力评估工作管理办法》（工信部信软[2017] 188号）。

国家针对工控系统已发布或正在编制相关标准，见表1。目前，国内工业控制系统信息安全标准化相关的组织主要包括全国信息安全标准化技术委员会(SAC/TC260)、全国工业过程测量与控制标准化技术委员会(SAC/TCl24)等。