李浩偉，郝園

（河北省工業(yè)和信息化發(fā)展研究院，河北 石家莊 050000）

0 引言

工業(yè)是國(guó)民經(jīng)濟(jì)的基礎(chǔ)。近年來(lái)，隨著互聯(lián)網(wǎng)等新一代信息技術(shù)與工業(yè)生產(chǎn)活動(dòng)融合的不斷深入，工業(yè)信息安全面臨日益嚴(yán)峻的威脅。工信部落實(shí)《網(wǎng)絡(luò)安全法》《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等法律法規(guī)和規(guī)范性文件，出臺(tái)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》等系列政策文件，提出要加快工業(yè)控制系統(tǒng)（以下簡(jiǎn)稱(chēng)“工控系統(tǒng)”）信息安全保障體系建設(shè)，提升工業(yè)企業(yè)工控系統(tǒng)信息安全防護(hù)能力，為促進(jìn)制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)提供重要保障[1-2]。

1 工業(yè)控制系統(tǒng)信息安全態(tài)勢(shì)

隨著網(wǎng)絡(luò)化、數(shù)字化、智能化的不斷發(fā)展，工業(yè)控制系統(tǒng)從單機(jī)走向互聯(lián)，從封閉走向開(kāi)放，從自動(dòng)化走向智能化，工業(yè)控制系統(tǒng)面臨著日益嚴(yán)峻的信息安全威脅[3]。

一是工控系統(tǒng)高危漏洞層出不窮，制造、能源、交通等重要領(lǐng)域首當(dāng)其沖。2020年，國(guó)家工業(yè)信息安全漏洞庫(kù)共收錄工業(yè)信息安全漏洞2 138個(gè)，較2019年上升22.2%，其中通用型漏洞2 045個(gè)，事件型漏洞93個(gè)，通用型漏洞中高危漏洞占比高達(dá)62.5%。漏洞基本涵蓋國(guó)內(nèi)外主流設(shè)備廠商，影響制造、能源、醫(yī)療等重點(diǎn)領(lǐng)域。隨著兩化融合繼續(xù)深入，未來(lái)工控系統(tǒng)安全漏洞和威脅也會(huì)繼續(xù)快速增長(zhǎng)。

二是企業(yè)工業(yè)控制系統(tǒng)信息安全責(zé)任意識(shí)淡薄，管理和防護(hù)尚不到位。從國(guó)家抽查情況看，90%的企業(yè)存在安全管理制度落實(shí)不到位，U盤(pán)、Wi-Fi、手機(jī)違規(guī)使用；67%的應(yīng)用系統(tǒng)防護(hù)不足，弱口令、任意文件上傳等漏洞大量存在，容易成為攻擊跳板[4]。

三是工業(yè)互聯(lián)網(wǎng)對(duì)工業(yè)信息安全帶來(lái)新的挑戰(zhàn)。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展和應(yīng)用，工控系統(tǒng)原有相對(duì)封閉的使用環(huán)境被打破，開(kāi)放性和互聯(lián)性越來(lái)越強(qiáng)，暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)、智能裝備數(shù)量日益增多。從已研判的案例統(tǒng)計(jì)看，89%的設(shè)備、系統(tǒng)未采取有效安全防護(hù)措施，被攻擊的風(fēng)險(xiǎn)很大，工業(yè)控制系統(tǒng)信息安全面臨著更大的考驗(yàn)。

2 工業(yè)控制系統(tǒng)信息安全的風(fēng)險(xiǎn)來(lái)源

工業(yè)控制系統(tǒng)信息安全面臨的風(fēng)險(xiǎn)主要包括技術(shù)層面的風(fēng)險(xiǎn)和管理層面的風(fēng)險(xiǎn)[5]。

技術(shù)層面的風(fēng)險(xiǎn)主要是指組成工控系統(tǒng)的工業(yè)網(wǎng)絡(luò)、工業(yè)設(shè)備、工業(yè)系統(tǒng)和工業(yè)數(shù)據(jù)存在被攻擊的風(fēng)險(xiǎn)。黑客通過(guò)物理侵入或網(wǎng)絡(luò)侵入等技術(shù)手段，取得對(duì)所攻擊對(duì)象的控制權(quán)，篡改程序、閾值、參數(shù)設(shè)置導(dǎo)致相應(yīng)工控系統(tǒng)不能正常運(yùn)行甚至損毀工控系統(tǒng)[6]。

管理層面的風(fēng)險(xiǎn)主要是指由于工控系統(tǒng)運(yùn)營(yíng)主體存在管理制度缺失或不健全導(dǎo)致工控系統(tǒng)出現(xiàn)意外事故的風(fēng)險(xiǎn)。通常包括工程技術(shù)人員誤操作、用戶訪問(wèn)策略不清晰、文件管理混亂等造成工控系統(tǒng)的故障。

3 工業(yè)控制系統(tǒng)信息安全保障體系

在堅(jiān)持總體國(guó)家安全觀，以落實(shí)企業(yè)主體責(zé)任為關(guān)鍵，緊緊圍繞新時(shí)期兩化深度融合發(fā)展需求的發(fā)展思路下，重點(diǎn)打造組織管理、安全防護(hù)、態(tài)勢(shì)感知、應(yīng)急響應(yīng)、政策標(biāo)準(zhǔn)和人才技術(shù)服務(wù)支撐等六大體系，如圖1所示[7]。

圖1 工業(yè)控制系統(tǒng)信息安全保障體系框架

3.1 組織管理體系

（1）落實(shí)企業(yè)主體責(zé)任。通過(guò)建立工業(yè)信息安全管理機(jī)制、成立工業(yè)信息安全協(xié)調(diào)小組等方式，明確企業(yè)法人代表、經(jīng)營(yíng)負(fù)責(zé)人為工業(yè)信息安全管理第一責(zé)任人，完善管理制度，落實(shí)工業(yè)信息安全責(zé)任制，實(shí)行日常值班值守，積極開(kāi)展防護(hù)能力評(píng)估，持續(xù)加大資金投入，部署工業(yè)信息安全防護(hù)措施[8]。

（2）落實(shí)指導(dǎo)推動(dòng)責(zé)任。各級(jí)主管部門(mén)負(fù)責(zé)組織工業(yè)信息安全政策標(biāo)準(zhǔn)宣貫培訓(xùn)，提高安全意識(shí)；指導(dǎo)工業(yè)企業(yè)開(kāi)展工業(yè)信息安全檢查評(píng)估，支持開(kāi)展工業(yè)信息安全試點(diǎn)示范項(xiàng)目建設(shè)，推動(dòng)企業(yè)主體責(zé)任落實(shí)；爭(zhēng)取專(zhuān)項(xiàng)資金，推動(dòng)全省監(jiān)測(cè)、預(yù)警、應(yīng)急等能力建設(shè)，持續(xù)完善地方工業(yè)控制系統(tǒng)信息安全保障體系。

3.2 安全防護(hù)體系

（1）開(kāi)展檢查評(píng)估。工業(yè)企業(yè)要按照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（以下簡(jiǎn)稱(chēng)《防護(hù)指南》）、《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估方法》要求，對(duì)重點(diǎn)產(chǎn)線、重點(diǎn)車(chē)間、重點(diǎn)工廠進(jìn)行自評(píng)估，逐步實(shí)現(xiàn)全覆蓋；根據(jù)評(píng)估檢查存在的問(wèn)題，要按照《防護(hù)指南》11個(gè)方面的具體要求進(jìn)行頂層設(shè)計(jì)，堅(jiān)持管理技術(shù)并重，制定工業(yè)信息安全防護(hù)能力提升計(jì)劃并組織實(shí)施，對(duì)于通過(guò)企業(yè)現(xiàn)有技術(shù)能力和強(qiáng)化管理就能解決的要立行立改、邊查邊改[9]。

（2）企業(yè)工業(yè)信息安全綜合管理平臺(tái)建設(shè)。依據(jù)企業(yè)工業(yè)信息安全防護(hù)能力提升計(jì)劃，在考察驗(yàn)證現(xiàn)有企業(yè)側(cè)工業(yè)信息安全技術(shù)解決方案的基礎(chǔ)上，突出重點(diǎn)，逐步建設(shè)具有對(duì)設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等資產(chǎn)進(jìn)行安全防護(hù)與風(fēng)險(xiǎn)監(jiān)測(cè)能力的綜合管理平臺(tái)，提升企業(yè)風(fēng)險(xiǎn)可防護(hù)、態(tài)勢(shì)可感知、威脅可處置的工業(yè)信息安全保障能力。

（3）仿真測(cè)試平臺(tái)建設(shè)。以真實(shí)工業(yè)生產(chǎn)場(chǎng)景為基礎(chǔ)，模擬業(yè)務(wù)流程，還原真實(shí)現(xiàn)場(chǎng)，滿足培訓(xùn)、測(cè)試、驗(yàn)證、試驗(yàn)等需求。鼓勵(lì)科研單位和龍頭制造企業(yè)搭建行業(yè)信息安全仿真測(cè)試平臺(tái)，為工業(yè)企業(yè)提供仿真測(cè)試、漏洞挖掘、攻防演練等公共服務(wù)[10-11]。

3.3 態(tài)勢(shì)感知體系

綜合運(yùn)用主/被動(dòng)監(jiān)測(cè)、大數(shù)據(jù)分析、威脅預(yù)警等技術(shù)手段，逐步建設(shè)具有資產(chǎn)識(shí)別、風(fēng)險(xiǎn)發(fā)現(xiàn)、風(fēng)險(xiǎn)分析、態(tài)勢(shì)預(yù)警等功能的，上聯(lián)國(guó)家下聯(lián)企業(yè)的省級(jí)工業(yè)信息安全態(tài)勢(shì)感知平臺(tái)，實(shí)時(shí)掌握工業(yè)信息安全威脅情況和整體現(xiàn)狀，及時(shí)預(yù)警重大風(fēng)險(xiǎn)隱患，為省市兩級(jí)提供全天候全方位的工業(yè)信息安全態(tài)勢(shì)感知展示服務(wù)，有效支撐省市兩級(jí)安全決策和應(yīng)急響應(yīng)[12]。

3.4 應(yīng)急響應(yīng)體系

（1）建立應(yīng)急響應(yīng)預(yù)案體系。主要建立省-市-企業(yè)三級(jí)工業(yè)信息安全事件應(yīng)急響應(yīng)預(yù)案，并分級(jí)定期組織應(yīng)急演練[13]。

（2）開(kāi)展信息通報(bào)預(yù)警。依據(jù)應(yīng)急預(yù)案體系，制定工業(yè)信息安全信息報(bào)送與通報(bào)管理辦法，建立信息通報(bào)員、日常信息通報(bào)、應(yīng)急信息通報(bào)、風(fēng)險(xiǎn)預(yù)警等制度。建設(shè)工業(yè)信息安全信息通報(bào)預(yù)警平臺(tái)，及時(shí)發(fā)布風(fēng)險(xiǎn)預(yù)警信息，跟蹤風(fēng)險(xiǎn)防范工作進(jìn)展，形成快速高效、各方聯(lián)動(dòng)的信息通報(bào)預(yù)警體系。

（3）開(kāi)展應(yīng)急處置。依據(jù)應(yīng)急預(yù)案體系，建立應(yīng)急專(zhuān)家委員會(huì)和應(yīng)急支撐隊(duì)伍，構(gòu)建應(yīng)急資源庫(kù)，匯聚漏洞、風(fēng)險(xiǎn)、解決方案、預(yù)案等信息，實(shí)現(xiàn)輔助決策、預(yù)案演練等功能。在突發(fā)工業(yè)信息安全事件時(shí)，支撐省市兩級(jí)協(xié)調(diào)技術(shù)專(zhuān)家和專(zhuān)業(yè)隊(duì)伍對(duì)事件開(kāi)展分析研判，并調(diào)動(dòng)相關(guān)應(yīng)急資源及時(shí)有效地開(kāi)展處置工作。工業(yè)企業(yè)對(duì)于可能發(fā)生或已經(jīng)發(fā)生的工業(yè)信息安全事件，應(yīng)立即開(kāi)展應(yīng)急處置，力爭(zhēng)將損失降到最小，盡快恢復(fù)受損系統(tǒng)的正常運(yùn)行；當(dāng)事發(fā)工業(yè)企業(yè)應(yīng)急處置力量不足時(shí)，可請(qǐng)求上級(jí)主管部門(mén)協(xié)調(diào)應(yīng)急技術(shù)機(jī)構(gòu)提供支援[14]。

3.5 政策標(biāo)準(zhǔn)體系

堅(jiān)持政府引導(dǎo)和市場(chǎng)運(yùn)作相結(jié)合，充分調(diào)動(dòng)社會(huì)力量支持工業(yè)信息安全保障體系建設(shè)。有條件的地方要設(shè)立專(zhuān)項(xiàng)資金、加大支持。緊密跟蹤國(guó)家工業(yè)信息安全標(biāo)準(zhǔn)建設(shè)情況，適時(shí)做好標(biāo)準(zhǔn)宣貫工作，為安全防護(hù)、態(tài)勢(shì)感知、應(yīng)急響應(yīng)等能力建設(shè)提供標(biāo)準(zhǔn)支撐。鼓勵(lì)企業(yè)、科研院所、行業(yè)組織等參與標(biāo)準(zhǔn)化工作。

3.6 人才技術(shù)服務(wù)支撐體系

（1）鼓勵(lì)工業(yè)企業(yè)加強(qiáng)與院校合作，聯(lián)合培養(yǎng)工業(yè)信息安全專(zhuān)業(yè)人才。借力京津冀協(xié)同發(fā)展，打造我省工業(yè)信息安全高端智庫(kù)，圍繞安全防護(hù)、態(tài)勢(shì)感知、應(yīng)急響應(yīng)等能力建設(shè)，鍛煉培養(yǎng)工業(yè)信息安全服務(wù)支撐隊(duì)伍[15]。

（2）建立工業(yè)信息安全共享平臺(tái)，實(shí)現(xiàn)服務(wù)隊(duì)伍、風(fēng)險(xiǎn)漏洞、威脅信息、補(bǔ)丁程序、共性防護(hù)方案、安全事件與處置、新技術(shù)新產(chǎn)品等方面信息共享，開(kāi)展風(fēng)險(xiǎn)分析、威脅研判、態(tài)勢(shì)通報(bào)等數(shù)據(jù)精準(zhǔn)服務(wù)，為全面提升企業(yè)工業(yè)信息安全保障能力提供支撐。

4 結(jié)語(yǔ)

工業(yè)控制系統(tǒng)一旦受到破壞，其后果不僅僅局限于眼前短期的損失，還會(huì)直接影響國(guó)民日常生活甚至造成人員傷亡，乃至社會(huì)穩(wěn)定。本文分析了工業(yè)控制系統(tǒng)信息安全面臨的問(wèn)題，就形成多級(jí)聯(lián)防聯(lián)動(dòng)工作機(jī)制，提出了工業(yè)控制系統(tǒng)信息安全六大保障體系，可為管理者頂層規(guī)劃提供參考。