工業(yè)控制系統(tǒng)安全檢查工作現(xiàn)狀分析及對策研究
所屬分類:建筑論文 閱讀次 時間:2020-03-09 04:23 本文摘要:摘要:工業(yè)控制系統(tǒng)的信息安全關(guān)系到經(jīng)濟發(fā)展��,社會穩(wěn)定和國家安全的各個方面�,安全檢查作為工控安全的主要抓手,能夠及時全面地了解工業(yè)控制系統(tǒng)的安全現(xiàn)狀��。通過分析以往工控安全檢查取得的成效�����,總結(jié)現(xiàn)階段安全檢查存在的問題�����,提出有針對性的解決對策����,
摘要:工業(yè)控制系統(tǒng)的信息安全關(guān)系到經(jīng)濟發(fā)展�����,社會穩(wěn)定和國家安全的各個方面,安全檢查作為工控安全的主要抓手��,能夠及時全面地了解工業(yè)控制系統(tǒng)的安全現(xiàn)狀���。通過分析以往工控安全檢查取得的成效��,總結(jié)現(xiàn)階段安全檢查存在的問題�����,提出有針對性的解決對策����,為工業(yè)控制系統(tǒng)信息安全主管部門開展下一階段的安全檢查工作的提供借鑒����。
關(guān)鍵詞:工業(yè)控制系統(tǒng);安全檢查;應(yīng)對措施
工業(yè)控制論文投稿刊物:工業(yè)控制計算機讀者群涵蓋電力、機械���、石化�����、冶金��、交通���、通信�����、輕工��、醫(yī)藥�����、智能建筑�、儀器儀表等多個領(lǐng)域�����,成為國內(nèi)知名的專業(yè)技術(shù)期刊之一�����,得到了廣大工控����、自動化界人士的認可。本刊適合從事工業(yè)控制�、自動化儀器儀表應(yīng)用、開發(fā)�、研究的企業(yè)技術(shù)管理人員、科研院所研究人員及高校師生���。
工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全事關(guān)經(jīng)濟發(fā)展���,社會穩(wěn)定和國家安全,是網(wǎng)絡(luò)強國戰(zhàn)略�,制造強國戰(zhàn)略的重要支撐。安全檢查作為工業(yè)控制系統(tǒng)安全保障的主要抓手����,能夠及時發(fā)現(xiàn)工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全風(fēng)險,預(yù)防和減少重大網(wǎng)絡(luò)安全事件的發(fā)生��,促進工業(yè)控制系統(tǒng)安全穩(wěn)定運行����。在貫徹落實葉中華人民共和國網(wǎng)絡(luò)安全法曳,葉國家網(wǎng)絡(luò)空間安全戰(zhàn)略曳���,工信部葉關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知曳等政策文件精神的基礎(chǔ)上�����,開展安全檢查工作現(xiàn)狀分析及研究���,總結(jié)經(jīng)驗教訓(xùn)���,指導(dǎo)工作開展,為國家新一輪戰(zhàn)略部署夯實基礎(chǔ)���。
員工控安全檢查工作取得成效自圓園員源年起����,工信部每年下發(fā)文件���,要求各省開展工業(yè)控制系統(tǒng)安全檢查工作����,各級工信部門積極響應(yīng)����,周密部署�,認真組織����,開展工業(yè)控制系統(tǒng)安全檢查工作���。通過安全檢查����,一是摸清工控系統(tǒng)底數(shù)���,了解各地重要工控系統(tǒng)部署�����,應(yīng)用和管理情況;二是掌握安全防護現(xiàn)狀�,了解工控系統(tǒng)存在的安全風(fēng)險及采取的防護措施;三是及時糾正存在問題��,查找工業(yè)企業(yè)存在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題��,提出防范對策和改進措施����,避免重大網(wǎng)絡(luò)安全事件的發(fā)生,防患于未然。各級工信部門及時匯總數(shù)據(jù)報送國家部委���。通過幾年的數(shù)據(jù)積累����,基本做到野底數(shù)清����,手段明,動態(tài)知冶���。工業(yè)企業(yè)網(wǎng)絡(luò)安全意識正在逐年提高��,工業(yè)控制系統(tǒng)安全管控措施也在逐步加強��,企業(yè)管理層從過去的野沒意識��,無思路冶到現(xiàn)在野有方法�,有措施冶�,部分工業(yè)企業(yè)已設(shè)立獨立的風(fēng)險管控部門,開展頂層設(shè)計與規(guī)劃����。新建工控系統(tǒng)已將網(wǎng)絡(luò)安全作為建設(shè)的主要保障內(nèi)容,同步規(guī)劃��,同步建設(shè)��,同步實施�,三位一體,確保工控系統(tǒng)網(wǎng)絡(luò)安全�����。
個別企業(yè)邀請獨立第三方����,開展風(fēng)險評估,實時監(jiān)測��,應(yīng)急演練等安全服務(wù)���,認真排查工控系統(tǒng)存在的安全隱患�����,避免重大網(wǎng)絡(luò)安全事件的發(fā)生�����。在各相關(guān)方的共同努力下�,工控系統(tǒng)信息安全檢查工作取得了顯著成效。同時��,還存在許多問題和不足���。圓現(xiàn)階段工作存在問題一是體制不順暢�����,機制不健全����。各地主管部門工控系統(tǒng)信息安全工作主管部門缺乏有效監(jiān)管手段全面了解在線工控系統(tǒng)的安全風(fēng)險��,工作協(xié)調(diào)力度上存在不足��,沒有形成順暢的工作聯(lián)動機制��,在工作協(xié)調(diào)配合和協(xié)調(diào)周期上均存在一定問題����。此外,由于各個工業(yè)控制系統(tǒng)主管部門沒有設(shè)立相關(guān)工控系統(tǒng)信息安全職能機構(gòu)����,導(dǎo)致工控系統(tǒng)信息安全相關(guān)工作落實不到位��,工作實效性不強�。
二是工控企業(yè)認識不到位��,重視程度和保障力度不夠��。由于工控系統(tǒng)信息安全檢查工作的人力和資金投入不能給企業(yè)帶來直接的利益收入�����,以及企業(yè)管理層對工控系統(tǒng)信息安全重要性缺乏認識�����,使得一些工控企業(yè)還沒有真正認識到開展工控信息安全檢查工作的重要性,少數(shù)工控企業(yè)沒有將開展工控信息安全檢查工作作為保障工控系統(tǒng)安全和業(yè)務(wù)安全的重要措施���,工控系統(tǒng)信息安全檢查工作變成細枝末節(jié);對工控系統(tǒng)信息安全政策��,標(biāo)準(zhǔn)缺乏學(xué)習(xí)和掌握����,研究與探索工控系統(tǒng)信息安全保護工作的思路,方法不夠�����,開展工控系統(tǒng)信息安全檢查工作能力不強��,辦法不多���。此外��,工控企業(yè)中均未設(shè)立專門的工控系統(tǒng)信息安全管理協(xié)調(diào)機構(gòu)��,相關(guān)工控系統(tǒng)信息安全檢查工作目前主要由企業(yè)信息化部門或生產(chǎn)部門負責(zé)��,造成相關(guān)工控系統(tǒng)信息安全檢查工作缺乏主動性��,人員的責(zé)任意識和工作執(zhí)行力不強���,易出現(xiàn)工控系統(tǒng)信息安全檢查工作不認真,如問題整改不及時��,跟蹤核查不到位等情況,導(dǎo)致檢查數(shù)據(jù)的真實性��,有效性����,及時性,客觀性���,合規(guī)性,追溯性等無法保障��。
三是工控信息安全專業(yè)人才短缺��,檢查人員力量不均衡�����。由于工控系統(tǒng)信息安全是一個集自動化控制����,計算機網(wǎng)絡(luò),信息安全于一體的交叉學(xué)科��,目前國內(nèi)相關(guān)學(xué)科建設(shè)屬于起步狀態(tài)��,教育師資力量匱乏,缺乏學(xué)科體系標(biāo)準(zhǔn)和教育服務(wù)機構(gòu)��,在專業(yè)人才培養(yǎng)方面仍處于真空期�����。此外�����,隨著工控企業(yè)工控系統(tǒng)建設(shè)的加快以及行業(yè)信息化程度的增高����,工控信息安全風(fēng)險在不斷增加,各行業(yè)對工控網(wǎng)絡(luò)安全類的人才需求猛增�,工控信息安全專業(yè)人才短缺的問題也日益突出。所以��,出現(xiàn)了工控信息安全檢查隊伍結(jié)構(gòu)業(yè)務(wù)能力不均衡��,檢查人員專業(yè)素養(yǎng)參差不齊等情況���,部分檢查人員雖然基礎(chǔ)理論功底相對較深���,但實踐經(jīng)驗明顯不足�����,加上檢查人員相關(guān)的教育培訓(xùn)方式單一�����,針對性和實效性不強�,嚴(yán)重影響了工控信息安全檢查相關(guān)工作的開展�。
四是工控安全技術(shù)力量薄弱,檢查手段不足���。由于國外技術(shù)支撐服務(wù)成本高,響應(yīng)速度慢���,連續(xù)性低����,國內(nèi)工控安全服務(wù)廠商數(shù)量少�,技術(shù)能力不夠,工業(yè)控制系統(tǒng)設(shè)備類型多��,通信協(xié)議不統(tǒng)一����,在開展工業(yè)控制系統(tǒng)信息安全檢查工作時����,針對不同的工業(yè)控制系統(tǒng)設(shè)備需要使用特定的檢查工具��,導(dǎo)致檢查工具標(biāo)準(zhǔn)不統(tǒng)一�,使用有局限。此外���,工業(yè)控制系統(tǒng)信息安全缺少相關(guān)技術(shù)研究及標(biāo)準(zhǔn)支持�����,檢查工具在產(chǎn)品的功能和性能���,安全服務(wù)能力上仍處于起步階段,使得在相應(yīng)的工業(yè)控制系統(tǒng)信息安全檢查工作中不能及時有效發(fā)現(xiàn)工業(yè)企業(yè)存在的安全隱患及漏洞等����,對分析工控系統(tǒng)面臨的安全威脅和風(fēng)險,評估網(wǎng)絡(luò)安全整體防護能力和安全防護水平產(chǎn)生一定影響��。
應(yīng)對措施淵員冤完善工控檢查工作管理機制在工業(yè)控制系統(tǒng)安全領(lǐng)域,建立分工明確��,相互協(xié)作的檢查工作管理機構(gòu)���,確保檢查工作領(lǐng)導(dǎo)協(xié)調(diào)通暢����,相關(guān)部門按照檢查職責(zé)分工協(xié)作��,確保檢查管理機制良性運行��。工業(yè)控制系統(tǒng)主管部門與工業(yè)企業(yè)��,技術(shù)機構(gòu)��,科研:所��,安全廠商等建立工控安全聯(lián)絡(luò)機制����,在開展工業(yè)控制系統(tǒng)信息安全檢查工作時����,制定檢查工作方案,成立工控安全檢查專家組對檢查工作中遇到的問題和風(fēng)險進行研判,組建檢查技術(shù)隊伍�,并結(jié)合工作實際,明確檢查內(nèi)容和人員��。
加強工控檢查工作責(zé)任意識在開展工業(yè)控制系統(tǒng)信息安全檢查工作中�,應(yīng)進行檢查工作專項培訓(xùn)和責(zé)任劃分,增強責(zé)任感和使命感�����,認識到工業(yè)控制系統(tǒng)信息安全檢查工作的重要性�����,切實落實檢查工作管理制度�����,以對行業(yè)高度負責(zé)的態(tài)度開展檢查工作���。淵猿冤制定工控檢查工作實施標(biāo)準(zhǔn)借鑒國內(nèi)外已經(jīng)建立的相關(guān)標(biāo)準(zhǔn)��,如信息安全等級保護����,風(fēng)險評估,安全事件應(yīng)急處置以及工業(yè)控制系統(tǒng)信息安全防護指南等方式方法�����,制定工業(yè)控制系統(tǒng)信息安全檢查工作相關(guān)標(biāo)準(zhǔn)�����,保障檢查工作在實施過程中科學(xué)化��,規(guī)范化����,制度化。淵源冤提升工控檢查工作技術(shù)能力引導(dǎo)社會科研力量加強工業(yè)控制系統(tǒng)安全基礎(chǔ)理論���,關(guān)鍵技術(shù)等重大課題研究����,吸引社會資源研發(fā)安全檢查相關(guān)技術(shù)手段和技術(shù)產(chǎn)品�����,制定切合實際的工控安全檢查技術(shù)體系����。
根據(jù)實際檢查情況,對工控系統(tǒng)的特點��,威脅和漏洞進行檢查技術(shù)研發(fā)���,涵蓋工業(yè)控制系統(tǒng)安全項目開發(fā)與部署和相關(guān)網(wǎng)絡(luò)架構(gòu)�,工控系統(tǒng)安全控制的管理控制����,運行控制和技術(shù)控制等內(nèi)容,從管理�����,操作��,技術(shù)出發(fā)�����,包含信息系統(tǒng)安全和風(fēng)險管理��,人的實施執(zhí)行��,系統(tǒng)實施的技術(shù)控制,安全評估等方面的安全措施;研究工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)轅協(xié)議�,工業(yè)控制安全威脅和脆弱性,安全控制等技術(shù);采取多元化的檢查防護措施�����,變被動為主動�,既有針對性又有整體性,既有重點又有全面���,制定相關(guān)的工業(yè)控制系統(tǒng)安全檢查技術(shù)體系���。同時,集中產(chǎn)業(yè)力量,加強對工業(yè)控制系統(tǒng)行業(yè)的管理����,集中不同行業(yè)�����,產(chǎn)業(yè)的力量和優(yōu)勢��,建立共享機制,加強工業(yè)控制系統(tǒng)信息安全檢查技術(shù)的研發(fā)�,提升工業(yè)控制系統(tǒng)信息安全檢查工作技術(shù)能力��。加大工控檢查工作力度我國工業(yè)控制系統(tǒng)涉及行業(yè)多�,分布廣泛,應(yīng)用部署在多個條塊分割的垂直體系中�����,從橫向和縱向兩個層面加大安全檢查深度和力度�,摸清工業(yè)控制系統(tǒng)資產(chǎn)底數(shù),深度檢查關(guān)鍵工業(yè)控制系統(tǒng)中存在的安全風(fēng)險�,及時排除安全隱患。
對檢查中發(fā)現(xiàn)工業(yè)控制系統(tǒng)安全漏洞整改修復(fù)情況進行跟蹤驗證����,通過現(xiàn)場再次檢查確保漏洞修復(fù)��,風(fēng)險消除��。淵遠冤開展工控檢查工作試點工作工業(yè)控制系統(tǒng)涉及行業(yè)廣泛���,針對不同行業(yè)所采取的檢查方式方法及內(nèi)容都有所差異,有針對性地選擇工業(yè)控制系統(tǒng)�����,開展安全檢查試點工作����,發(fā)現(xiàn)檢查中存在不足和問題,評估檢查工作是否能夠?qū)δ骋惶囟ǖ墓I(yè)控制系統(tǒng)安全情況進行適用��,并可以提出有針對性的防護措施��,為防范和化解不同行業(yè)的工業(yè)控制系統(tǒng)信息安全風(fēng)險����,保障系統(tǒng)的正常運行和安全提供依據(jù)。工業(yè)控制系統(tǒng)信息安全檢查工作的順利開展��,需要建立綜合保障體系,如檢查主管部門機構(gòu)和人員的設(shè)置����,檢查人員責(zé)任的追究,檢查工作制度的落實���,技術(shù)支撐隊伍的建設(shè),專家隊伍的建設(shè)�����,安全廠商和科研:所等社會資源的信息共享與合作����,檢查技術(shù)平臺和管理平臺的研發(fā)���,檢查工具的儲備�����,檢查工作的資金保障等��。
結(jié)束語
目前,大多數(shù)關(guān)鍵工業(yè)控制系統(tǒng)基礎(chǔ)設(shè)施是依靠工業(yè)控制系統(tǒng)實現(xiàn)自動化�,工控安全已成為維系國家安全的重要戰(zhàn)略組成部分����。然而�,我國的工控信息安全檢查工作還處于起步階段��,安全落后于建設(shè)�,檢查管理機制,標(biāo)準(zhǔn)規(guī)范����,評價機制,技術(shù)對策�,安全產(chǎn)品等亟待加強,結(jié)合國外的做法和國內(nèi)的實際情況���,通過完善檢查管理體系,加強技術(shù)創(chuàng)新����,發(fā)揮產(chǎn)業(yè)力量等方面著手,逐步提高我國工業(yè)控制系統(tǒng)信息安全檢查能力����。
轉(zhuǎn)載請注明來自發(fā)表學(xué)術(shù)論文網(wǎng):http:///jzlw/22014.html
