工業(yè)控制系統(tǒng)安全檢查工作現(xiàn)狀分析及對(duì)策研究

　　摘要：工業(yè)控制系統(tǒng)的信息安全關(guān)系到經(jīng)濟(jì)發(fā)展，社會(huì)穩(wěn)定和國家安全的各個(gè)方面，安全檢查作為工控安全的主要抓手，能夠及時(shí)全面地了解工業(yè)控制系統(tǒng)的安全現(xiàn)狀。通過分析以往工控安全檢查取得的成效，總結(jié)現(xiàn)階段安全檢查存在的問題，提出有針對(duì)性的解決對(duì)策，為工業(yè)控制系統(tǒng)信息安全主管部門開展下一階段的安全檢查工作的提供借鑒。

　　關(guān)鍵詞：工業(yè)控制系統(tǒng);安全檢查;應(yīng)對(duì)措施

　　工業(yè)控制論文投稿刊物：工業(yè)控制計(jì)算機(jī)讀者群涵蓋電力、機(jī)械、石化、冶金、交通、通信、輕工、醫(yī)藥、智能建筑、儀器儀表等多個(gè)領(lǐng)域，成為國內(nèi)知名的專業(yè)技術(shù)期刊之一，得到了廣大工控、自動(dòng)化界人士的認(rèn)可。本刊適合從事工業(yè)控制、自動(dòng)化儀器儀表應(yīng)用、開發(fā)、研究的企業(yè)技術(shù)管理人員、科研院所研究人員及高校師生。

　　工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全事關(guān)經(jīng)濟(jì)發(fā)展，社會(huì)穩(wěn)定和國家安全，是網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略，制造強(qiáng)國戰(zhàn)略的重要支撐。安全檢查作為工業(yè)控制系統(tǒng)安全保障的主要抓手，能夠及時(shí)發(fā)現(xiàn)工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，預(yù)防和減少重大網(wǎng)絡(luò)安全事件的發(fā)生，促進(jìn)工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行。在貫徹落實(shí)葉中華人民共和國網(wǎng)絡(luò)安全法曳，葉國家網(wǎng)絡(luò)空間安全戰(zhàn)略曳，工信部葉關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知曳等政策文件精神的基礎(chǔ)上，開展安全檢查工作現(xiàn)狀分析及研究，總結(jié)經(jīng)驗(yàn)教訓(xùn)，指導(dǎo)工作開展，為國家新一輪戰(zhàn)略部署夯實(shí)基礎(chǔ)。

　　員工控安全檢查工作取得成效自圓園員源年起，工信部每年下發(fā)文件，要求各省開展工業(yè)控制系統(tǒng)安全檢查工作，各級(jí)工信部門積極響應(yīng)，周密部署，認(rèn)真組織，開展工業(yè)控制系統(tǒng)安全檢查工作。通過安全檢查，一是摸清工控系統(tǒng)底數(shù)，了解各地重要工控系統(tǒng)部署，應(yīng)用和管理情況;二是掌握安全防護(hù)現(xiàn)狀，了解工控系統(tǒng)存在的安全風(fēng)險(xiǎn)及采取的防護(hù)措施;三是及時(shí)糾正存在問題，查找工業(yè)企業(yè)存在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題，提出防范對(duì)策和改進(jìn)措施，避免重大網(wǎng)絡(luò)安全事件的發(fā)生，防患于未然。各級(jí)工信部門及時(shí)匯總數(shù)據(jù)報(bào)送國家部委。通過幾年的數(shù)據(jù)積累，基本做到野底數(shù)清，手段明，動(dòng)態(tài)知冶。工業(yè)企業(yè)網(wǎng)絡(luò)安全意識(shí)正在逐年提高，工業(yè)控制系統(tǒng)安全管控措施也在逐步加強(qiáng)，企業(yè)管理層從過去的野沒意識(shí)，無思路冶到現(xiàn)在野有方法，有措施冶，部分工業(yè)企業(yè)已設(shè)立獨(dú)立的風(fēng)險(xiǎn)管控部門，開展頂層設(shè)計(jì)與規(guī)劃。新建工控系統(tǒng)已將網(wǎng)絡(luò)安全作為建設(shè)的主要保障內(nèi)容，同步規(guī)劃，同步建設(shè)，同步實(shí)施，三位一體，確保工控系統(tǒng)網(wǎng)絡(luò)安全。

　　個(gè)別企業(yè)邀請(qǐng)獨(dú)立第三方，開展風(fēng)險(xiǎn)評(píng)估，實(shí)時(shí)監(jiān)測(cè)，應(yīng)急演練等安全服務(wù)，認(rèn)真排查工控系統(tǒng)存在的安全隱患，避免重大網(wǎng)絡(luò)安全事件的發(fā)生。在各相關(guān)方的共同努力下，工控系統(tǒng)信息安全檢查工作取得了顯著成效。同時(shí)，還存在許多問題和不足。圓現(xiàn)階段工作存在問題一是體制不順暢，機(jī)制不健全。各地主管部門工控系統(tǒng)信息安全工作主管部門缺乏有效監(jiān)管手段全面了解在線工控系統(tǒng)的安全風(fēng)險(xiǎn)，工作協(xié)調(diào)力度上存在不足，沒有形成順暢的工作聯(lián)動(dòng)機(jī)制，在工作協(xié)調(diào)配合和協(xié)調(diào)周期上均存在一定問題。此外，由于各個(gè)工業(yè)控制系統(tǒng)主管部門沒有設(shè)立相關(guān)工控系統(tǒng)信息安全職能機(jī)構(gòu)，導(dǎo)致工控系統(tǒng)信息安全相關(guān)工作落實(shí)不到位，工作實(shí)效性不強(qiáng)。

　　二是工控企業(yè)認(rèn)識(shí)不到位，重視程度和保障力度不夠。由于工控系統(tǒng)信息安全檢查工作的人力和資金投入不能給企業(yè)帶來直接的利益收入，以及企業(yè)管理層對(duì)工控系統(tǒng)信息安全重要性缺乏認(rèn)識(shí)，使得一些工控企業(yè)還沒有真正認(rèn)識(shí)到開展工控信息安全檢查工作的重要性，少數(shù)工控企業(yè)沒有將開展工控信息安全檢查工作作為保障工控系統(tǒng)安全和業(yè)務(wù)安全的重要措施，工控系統(tǒng)信息安全檢查工作變成細(xì)枝末節(jié);對(duì)工控系統(tǒng)信息安全政策，標(biāo)準(zhǔn)缺乏學(xué)習(xí)和掌握，研究與探索工控系統(tǒng)信息安全保護(hù)工作的思路，方法不夠，開展工控系統(tǒng)信息安全檢查工作能力不強(qiáng)，辦法不多。此外，工控企業(yè)中均未設(shè)立專門的工控系統(tǒng)信息安全管理協(xié)調(diào)機(jī)構(gòu)，相關(guān)工控系統(tǒng)信息安全檢查工作目前主要由企業(yè)信息化部門或生產(chǎn)部門負(fù)責(zé)，造成相關(guān)工控系統(tǒng)信息安全檢查工作缺乏主動(dòng)性，人員的責(zé)任意識(shí)和工作執(zhí)行力不強(qiáng)，易出現(xiàn)工控系統(tǒng)信息安全檢查工作不認(rèn)真，如問題整改不及時(shí)，跟蹤核查不到位等情況，導(dǎo)致檢查數(shù)據(jù)的真實(shí)性，有效性，及時(shí)性，客觀性，合規(guī)性，追溯性等無法保障。

　　三是工控信息安全專業(yè)人才短缺，檢查人員力量不均衡。由于工控系統(tǒng)信息安全是一個(gè)集自動(dòng)化控制，計(jì)算機(jī)網(wǎng)絡(luò)，信息安全于一體的交叉學(xué)科，目前國內(nèi)相關(guān)學(xué)科建設(shè)屬于起步狀態(tài)，教育師資力量匱乏，缺乏學(xué)科體系標(biāo)準(zhǔn)和教育服務(wù)機(jī)構(gòu)，在專業(yè)人才培養(yǎng)方面仍處于真空期。此外，隨著工控企業(yè)工控系統(tǒng)建設(shè)的加快以及行業(yè)信息化程度的增高，工控信息安全風(fēng)險(xiǎn)在不斷增加，各行業(yè)對(duì)工控網(wǎng)絡(luò)安全類的人才需求猛增，工控信息安全專業(yè)人才短缺的問題也日益突出。所以，出現(xiàn)了工控信息安全檢查隊(duì)伍結(jié)構(gòu)業(yè)務(wù)能力不均衡，檢查人員專業(yè)素養(yǎng)參差不齊等情況，部分檢查人員雖然基礎(chǔ)理論功底相對(duì)較深，但實(shí)踐經(jīng)驗(yàn)明顯不足，加上檢查人員相關(guān)的教育培訓(xùn)方式單一，針對(duì)性和實(shí)效性不強(qiáng)，嚴(yán)重影響了工控信息安全檢查相關(guān)工作的開展。

　　四是工控安全技術(shù)力量薄弱，檢查手段不足。由于國外技術(shù)支撐服務(wù)成本高，響應(yīng)速度慢，連續(xù)性低，國內(nèi)工控安全服務(wù)廠商數(shù)量少，技術(shù)能力不夠，工業(yè)控制系統(tǒng)設(shè)備類型多，通信協(xié)議不統(tǒng)一，在開展工業(yè)控制系統(tǒng)信息安全檢查工作時(shí)，針對(duì)不同的工業(yè)控制系統(tǒng)設(shè)備需要使用特定的檢查工具，導(dǎo)致檢查工具標(biāo)準(zhǔn)不統(tǒng)一，使用有局限。此外，工業(yè)控制系統(tǒng)信息安全缺少相關(guān)技術(shù)研究及標(biāo)準(zhǔn)支持，檢查工具在產(chǎn)品的功能和性能，安全服務(wù)能力上仍處于起步階段，使得在相應(yīng)的工業(yè)控制系統(tǒng)信息安全檢查工作中不能及時(shí)有效發(fā)現(xiàn)工業(yè)企業(yè)存在的安全隱患及漏洞等，對(duì)分析工控系統(tǒng)面臨的安全威脅和風(fēng)險(xiǎn)，評(píng)估網(wǎng)絡(luò)安全整體防護(hù)能力和安全防護(hù)水平產(chǎn)生一定影響。

　　應(yīng)對(duì)措施淵員冤完善工控檢查工作管理機(jī)制在工業(yè)控制系統(tǒng)安全領(lǐng)域，建立分工明確，相互協(xié)作的檢查工作管理機(jī)構(gòu)，確保檢查工作領(lǐng)導(dǎo)協(xié)調(diào)通暢，相關(guān)部門按照檢查職責(zé)分工協(xié)作，確保檢查管理機(jī)制良性運(yùn)行。工業(yè)控制系統(tǒng)主管部門與工業(yè)企業(yè)，技術(shù)機(jī)構(gòu)，科研：所，安全廠商等建立工控安全聯(lián)絡(luò)機(jī)制，在開展工業(yè)控制系統(tǒng)信息安全檢查工作時(shí)，制定檢查工作方案，成立工控安全檢查專家組對(duì)檢查工作中遇到的問題和風(fēng)險(xiǎn)進(jìn)行研判，組建檢查技術(shù)隊(duì)伍，并結(jié)合工作實(shí)際，明確檢查內(nèi)容和人員。

　　加強(qiáng)工控檢查工作責(zé)任意識(shí)在開展工業(yè)控制系統(tǒng)信息安全檢查工作中，應(yīng)進(jìn)行檢查工作專項(xiàng)培訓(xùn)和責(zé)任劃分，增強(qiáng)責(zé)任感和使命感，認(rèn)識(shí)到工業(yè)控制系統(tǒng)信息安全檢查工作的重要性，切實(shí)落實(shí)檢查工作管理制度，以對(duì)行業(yè)高度負(fù)責(zé)的態(tài)度開展檢查工作。淵猿冤制定工控檢查工作實(shí)施標(biāo)準(zhǔn)借鑒國內(nèi)外已經(jīng)建立的相關(guān)標(biāo)準(zhǔn)，如信息安全等級(jí)保護(hù)，風(fēng)險(xiǎn)評(píng)估，安全事件應(yīng)急處置以及工業(yè)控制系統(tǒng)信息安全防護(hù)指南等方式方法，制定工業(yè)控制系統(tǒng)信息安全檢查工作相關(guān)標(biāo)準(zhǔn)，保障檢查工作在實(shí)施過程中科學(xué)化，規(guī)范化，制度化。淵源冤提升工控檢查工作技術(shù)能力引導(dǎo)社會(huì)科研力量加強(qiáng)工業(yè)控制系統(tǒng)安全基礎(chǔ)理論，關(guān)鍵技術(shù)等重大課題研究，吸引社會(huì)資源研發(fā)安全檢查相關(guān)技術(shù)手段和技術(shù)產(chǎn)品，制定切合實(shí)際的工控安全檢查技術(shù)體系。

　　根據(jù)實(shí)際檢查情況，對(duì)工控系統(tǒng)的特點(diǎn)，威脅和漏洞進(jìn)行檢查技術(shù)研發(fā)，涵蓋工業(yè)控制系統(tǒng)安全項(xiàng)目開發(fā)與部署和相關(guān)網(wǎng)絡(luò)架構(gòu)，工控系統(tǒng)安全控制的管理控制，運(yùn)行控制和技術(shù)控制等內(nèi)容，從管理，操作，技術(shù)出發(fā)，包含信息系統(tǒng)安全和風(fēng)險(xiǎn)管理，人的實(shí)施執(zhí)行，系統(tǒng)實(shí)施的技術(shù)控制，安全評(píng)估等方面的安全措施;研究工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)轅協(xié)議，工業(yè)控制安全威脅和脆弱性，安全控制等技術(shù);采取多元化的檢查防護(hù)措施，變被動(dòng)為主動(dòng)，既有針對(duì)性又有整體性，既有重點(diǎn)又有全面，制定相關(guān)的工業(yè)控制系統(tǒng)安全檢查技術(shù)體系。同時(shí)，集中產(chǎn)業(yè)力量，加強(qiáng)對(duì)工業(yè)控制系統(tǒng)行業(yè)的管理，集中不同行業(yè)，產(chǎn)業(yè)的力量和優(yōu)勢(shì)，建立共享機(jī)制，加強(qiáng)工業(yè)控制系統(tǒng)信息安全檢查技術(shù)的研發(fā)，提升工業(yè)控制系統(tǒng)信息安全檢查工作技術(shù)能力。加大工控檢查工作力度我國工業(yè)控制系統(tǒng)涉及行業(yè)多，分布廣泛，應(yīng)用部署在多個(gè)條塊分割的垂直體系中，從橫向和縱向兩個(gè)層面加大安全檢查深度和力度，摸清工業(yè)控制系統(tǒng)資產(chǎn)底數(shù)，深度檢查關(guān)鍵工業(yè)控制系統(tǒng)中存在的安全風(fēng)險(xiǎn)，及時(shí)排除安全隱患。

　　對(duì)檢查中發(fā)現(xiàn)工業(yè)控制系統(tǒng)安全漏洞整改修復(fù)情況進(jìn)行跟蹤驗(yàn)證，通過現(xiàn)場(chǎng)再次檢查確保漏洞修復(fù)，風(fēng)險(xiǎn)消除。淵遠(yuǎn)冤開展工控檢查工作試點(diǎn)工作工業(yè)控制系統(tǒng)涉及行業(yè)廣泛，針對(duì)不同行業(yè)所采取的檢查方式方法及內(nèi)容都有所差異，有針對(duì)性地選擇工業(yè)控制系統(tǒng)，開展安全檢查試點(diǎn)工作，發(fā)現(xiàn)檢查中存在不足和問題，評(píng)估檢查工作是否能夠?qū)δ骋惶囟ǖ墓�業(yè)控制系統(tǒng)安全情況進(jìn)行適用，并可以提出有針對(duì)性的防護(hù)措施，為防范和化解不同行業(yè)的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)，保障系統(tǒng)的正常運(yùn)行和安全提供依據(jù)。工業(yè)控制系統(tǒng)信息安全檢查工作的順利開展，需要建立綜合保障體系，如檢查主管部門機(jī)構(gòu)和人員的設(shè)置，檢查人員責(zé)任的追究，檢查工作制度的落實(shí)，技術(shù)支撐隊(duì)伍的建設(shè)，專家隊(duì)伍的建設(shè)，安全廠商和科研：所等社會(huì)資源的信息共享與合作，檢查技術(shù)平臺(tái)和管理平臺(tái)的研發(fā)，檢查工具的儲(chǔ)備，檢查工作的資金保障等。

　　結(jié)束語

　　目前，大多數(shù)關(guān)鍵工業(yè)控制系統(tǒng)基礎(chǔ)設(shè)施是依靠工業(yè)控制系統(tǒng)實(shí)現(xiàn)自動(dòng)化，工控安全已成為維系國家安全的重要戰(zhàn)略組成部分。然而，我國的工控信息安全檢查工作還處于起步階段，安全落后于建設(shè)，檢查管理機(jī)制，標(biāo)準(zhǔn)規(guī)范，評(píng)價(jià)機(jī)制，技術(shù)對(duì)策，安全產(chǎn)品等亟待加強(qiáng)，結(jié)合國外的做法和國內(nèi)的實(shí)際情況，通過完善檢查管理體系，加強(qiáng)技術(shù)創(chuàng)新，發(fā)揮產(chǎn)業(yè)力量等方面著手，逐步提高我國工業(yè)控制系統(tǒng)信息安全檢查能力。

轉(zhuǎn)載請(qǐng)注明來自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///jzlw/22014.html