牛春波

摘要：在中国工业不断快速发展的过程中，工业自身的安全发展、群众们的财产安全，甚至是国家经济的安全都会受到工业控制系统信息安全的影响。在最近这几年的时间里，社会经济发展的同时信息科学技术也在不断地进步，其余工业的控制系统也进行了更深一个层次的联合，这在给工业控制系统的运行效率以及运行质量带来提升效果的同时，也让工业控制系统面临严峻的信息安全风险的威胁。由于其安全对国家、民众等影响比较大，因此相关企业必须要足够重视工业控制系统信息安全防护系统的建设以及相关的管理措施的研究工作的开展。基于此，本文将从工业控制系统信息安全的特点、存在的风险以及相关的管理方法三个方面进行简要论述，希望能够以此为业内相关专业人士提供借鉴。

关键词：工业控制系统 信息安全管理 措施研究

引言

近些年来，中国在工业控制上出现的多种有关信息安全的问题都向我们传递出了一条重要的信息，那就是工业控制系统信息安全管理的能力水平的提高对于国家公共安全的保障以及社会经济命脉的维护具有非常巨大的影响力。受此影响，国家工信部也出台了相关的政策，在一定程度上对工业控制系统信息安全管理的紧迫性以及必要性都有多加强，相关企业能够在政府相关政策的引导之下，采取有效地管理措施进行工业控制系统信息安全的防护和管理，在较大程度上帮助企业提高在信息安全管理上的能力水平，更好地保障国家的公共安全以及社会经济的命脉。

一、工业控制系统信息安全的特征

与IT系统呈现出来的特点有所不同的是，工业控制系统信息安全具有五个特征，首先，工业控制系统信息安全在攻击目标上具有多样性。工业控制系统所遭受的信息安全攻击，可以根据攻击动机的不同分为以下三种：第一是破坏信息安全作为攻击的目的，如来自于有军事背景或是恐怖组织的攻击;第二是为了从中获取某些情报的攻击，这样的攻击主要来自于政府部门的攻击;第三是来自于企业内部人员的攻击，其主要的攻击动机是企业工作给其造成的不满情绪。其次是入侵工业控制系统的途径较为丰富，对于其信息安全管理具有较大威胁。工业控制系统结构上比较固定，但形式上具有多样性，尽管其在网络组成的元素比较多，但是在拓展的形式、适用的客户群体以及通信的模式上都具有一定的固定性。受此特点的影响，工业控制系统也较为容易受到因特网、无线网、移动介质、维修等多种途径的介入，较于IT系统入侵途径比较多样，最后是其遭受攻击所带来的后果比较严重。与IT系统有所区别的就是，工业控制系统与物理世界具有较强的互动性。一旦工业控制系统的信息安全遭受攻击，相关专业人员对于系统的恢复会变得非常困难，可能还会给世界带来非常严重的灾难。尽管在现阶段下，工业文明的发展速度不断加快，工业行业的产能以及规模都得到了一定程度的提升，生产流程的数字化、网络化程度也更加深入，但仍然不能够避免信息安全事故的发生，因此，重视工业控制心痛的信息安全十分重要。

二、工业控制系统信息安全面对的风险类型

工业控制系统信息安全面对的风险类型主要有两种：一种是遭受毒攻击的风险。以发电厂的工业控制系统为例子，其病毒入侵的途径非常多。虽然发电厂的二次系统网络更办公室所使用的网络是相互隔离的，与此同时，对于相关控制系统的信息安全也进行了物理隔离装置的装，以此来保障信息安全，然而，病毒仍然可以找到入侵的途径，如通过相关工作人员的移动或是其他的远程控制通道入侵到控制系统之中，威胁其信息安全的管理。另一种风险的类型就是由于工业控制系统的管控体系不够健全而带来的安全隐患。由于没有较为健全的管控体系，到目前为止，工业控制系统仍然面临着一分很道德威胁，那就是大多数使用单位不具备具有针对性的与移动存储介质相关的管理规定，缺少一些必要的管理手段，对于信息安全的管理力度不够强，进而使得移动存储介质渐渐成为病毒入侵工业控制系统的主要途径，给其信息安全带来了极大的威胁。

三、工业控制系统信息安全的管理方法

（一）提高工作人员的安全意识以及管理能力

尽管科学技术以及社会经济的发展速度在不断地加快，对于人力有了一定程度上的解放，然而技术并不能提人力，因此要更好地进行工业控制系统信息安全的管理，除了需要拥有先进的管理技术之外，还需要具有较高安全管理能力以及信息安全意识的工作人员，这便需要相关企业不断开展相关工作人员意识以及技能的强化训练。在过去的时间里，由于各种各样的原因，工业控制系统信息安全的管理都忽略了人为因素对于管理效果以及管理质量提高的重要影响，造成了工作人员们普遍安全意识较低，不注重管理技能的学习的现象。随着时间的推移，相关部门意识到了人为因素的影响力，便渐渐强调对从业人员安全意识培养以及管理技能提高工作的开展，定期地对相关从业人员进行集中的培训，强化其安全意识，使其能够在日常的管理工作中做出符合信息安全防护管理理念的管理行为，在最大程度上减少人为因素给信息安全管理带来的负面影响。

（二）制定具有更强针对性的管理制度

进行更具针对性的管理制度的制定也是进行工业控制系统信息安全管理的方法之一。拥有一套针对性强且完善的管理制度能够让工业控制系统的信息安全管理工作得以更加顺利地进行。相关企业可以通过制度的制定，对于整个工业控制系统信息安全管理的方针以及每一个环节的管理策略有了更进一步的明确，通过制度的制定，进一步地明确信息安全管理工作的管理目标、管理原则等等，协调好安全管理技术与技术操作人员之间的关系，将整一个生产管理体系都归入到信息安全管理的范围之内，在最大程度上降低外界各种因素带来的影响。

（三）建立一个完备的监控体系

一个完备的监控体系是工业控制系统开展信息安全管理工作的基本方法之一，因此如何建立一个完备的监控系统也是非常值得研究的一个问题。首先，需要相关企业设置一个专门的技术部门，让其负责系统的建设与调整，全面且彻底的规划好整个工业控制系统信息安全管理系统的相关建设工作，并提出科学合理的指导意见;其次，还需要提出并制定一套合理的建设方案，涵盖整个系统安全以及稳定的相关保障策略，进行安全管理框架的建设和完善。除此之外，还需要根据不同安全等级以及不同内容的安全管理系统指定配套的指导文件;最后还需要经过上级信息安全管理的部门等其他专业部门对所建立的安全监控体系进行全方位的审核，对于具有争议或是其他不确定的地方，邀请专业人士对其进行更进一步的科學合理的审定，最终完成一个完备的信息安全金控体系的建立。

（四）安全管理机构的建立

开展工业控制系统信息安全的管理工作，安全管理机构的建设也是一个方法。首先要让负责企业安全生产的领导担任整个工业控制系统信息安全防护工作的主要负责人，对其职责进行明确，成立一个专业委员会，负责企业信息安全的管理以及相关工作的指导;除此之外，成立职能部门，其主要职责就是开展工业控制系统信息安全管理的工作，通过相关文件的合理制定来明确各个部门、各个从业人员的职责范围，更好地完成信息安全的管理工作。

四、结束语

简而言之，作为国家公共安全以及社会经济命脉的重要保障建设，在社会信息技术不断发展，水平不断提高的时代背景之下，面对网络越来越多元开花的发展趋势，工业控制系统要加强对自身信息安全的管理，认识信息安全的特点以及其所带来的严重后果，明白强化信息安全管理对国家以及社会的重要性，不断开展与此相关的研究工作，相关企业要提高工业控制系统信息安全的防范意识，不断提高自身的信息安全管理能力。

参考文献

[1]钱福群.石化企业工业控制系统信息安全策略分析[J].炼油与化工，2018，29（05）：57-58.

[2]张敏，张五一，韩桂芬.工业控制系统信息安全防护体系研究[J].工业控制计算机，2013（10）：28-30.

[3]陆赞，王刚.基于工业控制系统的安全管理体系研究[J].中国有色金属，2017（S1）：204-207.

[4]张又平.工业控制系统的信息安全等级保护建设及管理探讨[J].电子技术与软件工程，2015（15）：223.