工业控制系统安全检查工作现状分析及对策研究

　　摘要：工业控制系统的信息安全关系到经济发展，社会稳定和国家安全的各个方面，安全检查作为工控安全的主要抓手，能够及时全面地了解工业控制系统的安全现状。通过分析以往工控安全检查取得的成效，总结现阶段安全检查存在的问题，提出有针对性的解决对策，为工业控制系统信息安全主管部门开展下一阶段的安全检查工作的提供借鉴。

　　关键词：工业控制系统;安全检查;应对措施

　　工业控制论文投稿刊物：工业控制计算机读者群涵盖电力、机械、石化、冶金、交通、通信、轻工、医药、智能建筑、仪器仪表等多个领域，成为国内知名的专业技术期刊之一，得到了广大工控、自动化界人士的认可。本刊适合从事工业控制、自动化仪器仪表应用、开发、研究的企业技术管理人员、科研院所研究人员及高校师生。

　　工业控制系统的网络安全事关经济发展，社会稳定和国家安全，是网络强国战略，制造强国战略的重要支撑。安全检查作为工业控制系统安全保障的主要抓手，能够及时发现工业控制系统存在的网络安全风险，预防和减少重大网络安全事件的发生，促进工业控制系统安全稳定运行。在贯彻落实叶中华人民共和国网络安全法曳，叶国家网络空间安全战略曳，工信部叶关于加强工业控制系统信息安全管理的通知曳等政策文件精神的基础上，开展安全检查工作现状分析及研究，总结经验教训，指导工作开展，为国家新一轮战略部署夯实基础。

　　员工控安全检查工作取得成效自圆园员源年起，工信部每年下发文件，要求各省开展工业控制系统安全检查工作，各级工信部门积极响应，周密部署，认真组织，开展工业控制系统安全检查工作。通过安全检查，一是摸清工控系统底数，了解各地重要工控系统部署，应用和管理情况;二是掌握安全防护现状，了解工控系统存在的安全风险及采取的防护措施;三是及时纠正存在问题，查找工业企业存在工业控制系统网络安全问题，提出防范对策和改进措施，避免重大网络安全事件的发生，防患于未然。各级工信部门及时汇总数据报送国家部委。通过几年的数据积累，基本做到野底数清，手段明，动态知冶。工业企业网络安全意识正在逐年提高，工业控制系统安全管控措施也在逐步加强，企业管理层从过去的野没意识，无思路冶到现在野有方法，有措施冶，部分工业企业已设立独立的风险管控部门，开展顶层设计与规划。新建工控系统已将网络安全作为建设的主要保障内容，同步规划，同步建设，同步实施，三位一体，确保工控系统网络安全。

　　个别企业邀请独立第三方，开展风险评估，实时监测，应急演练等安全服务，认真排查工控系统存在的安全隐患，避免重大网络安全事件的发生。在各相关方的共同努力下，工控系统信息安全检查工作取得了显著成效。同时，还存在许多问题和不足。圆现阶段工作存在问题一是体制不顺畅，机制不健全。各地主管部门工控系统信息安全工作主管部门缺乏有效监管手段全面了解在线工控系统的安全风险，工作协调力度上存在不足，没有形成顺畅的工作联动机制，在工作协调配合和协调周期上均存在一定问题。此外，由于各个工业控制系统主管部门没有设立相关工控系统信息安全职能机构，导致工控系统信息安全相关工作落实不到位，工作实效性不强。

　　二是工控企业认识不到位，重视程度和保障力度不够。由于工控系统信息安全检查工作的人力和资金投入不能给企业带来直接的利益收入，以及企业管理层对工控系统信息安全重要性缺乏认识，使得一些工控企业还没有真正认识到开展工控信息安全检查工作的重要性，少数工控企业没有将开展工控信息安全检查工作作为保障工控系统安全和业务安全的重要措施，工控系统信息安全检查工作变成细枝末节;对工控系统信息安全政策，标准缺乏学习和掌握，研究与探索工控系统信息安全保护工作的思路，方法不够，开展工控系统信息安全检查工作能力不强，办法不多。此外，工控企业中均未设立专门的工控系统信息安全管理协调机构，相关工控系统信息安全检查工作目前主要由企业信息化部门或生产部门负责，造成相关工控系统信息安全检查工作缺乏主动性，人员的责任意识和工作执行力不强，易出现工控系统信息安全检查工作不认真，如问题整改不及时，跟踪核查不到位等情况，导致检查数据的真实性，有效性，及时性，客观性，合规性，追溯性等无法保障。

　　三是工控信息安全专业人才短缺，检查人员力量不均衡。由于工控系统信息安全是一个集自动化控制，计算机网络，信息安全于一体的交叉学科，目前国内相关学科建设属于起步状态，教育师资力量匮乏，缺乏学科体系标准和教育服务机构，在专业人才培养方面仍处于真空期。此外，随着工控企业工控系统建设的加快以及行业信息化程度的增高，工控信息安全风险在不断增加，各行业对工控网络安全类的人才需求猛增，工控信息安全专业人才短缺的问题也日益突出。所以，出现了工控信息安全检查队伍结构业务能力不均衡，检查人员专业素养参差不齐等情况，部分检查人员虽然基础理论功底相对较深，但实践经验明显不足，加上检查人员相关的教育培训方式单一，针对性和实效性不强，严重影响了工控信息安全检查相关工作的开展。

　　四是工控安全技术力量薄弱，检查手段不足。由于国外技术支撑服务成本高，响应速度慢，连续性低，国内工控安全服务厂商数量少，技术能力不够，工业控制系统设备类型多，通信协议不统一，在开展工业控制系统信息安全检查工作时，针对不同的工业控制系统设备需要使用特定的检查工具，导致检查工具标准不统一，使用有局限。此外，工业控制系统信息安全缺少相关技术研究及标准支持，检查工具在产品的功能和性能，安全服务能力上仍处于起步阶段，使得在相应的工业控制系统信息安全检查工作中不能及时有效发现工业企业存在的安全隐患及漏洞等，对分析工控系统面临的安全威胁和风险，评估网络安全整体防护能力和安全防护水平产生一定影响。

　　应对措施渊员冤完善工控检查工作管理机制在工业控制系统安全领域，建立分工明确，相互协作的检查工作管理机构，确保检查工作领导协调通畅，相关部门按照检查职责分工协作，确保检查管理机制良性运行。工业控制系统主管部门与工业企业，技术机构，科研：所，安全厂商等建立工控安全联络机制，在开展工业控制系统信息安全检查工作时，制定检查工作方案，成立工控安全检查专家组对检查工作中遇到的问题和风险进行研判，组建检查技术队伍，并结合工作实际，明确检查内容和人员。

　　加强工控检查工作责任意识在开展工业控制系统信息安全检查工作中，应进行检查工作专项培训和责任划分，增强责任感和使命感，认识到工业控制系统信息安全检查工作的重要性，切实落实检查工作管理制度，以对行业高度负责的态度开展检查工作。渊猿冤制定工控检查工作实施标准借鉴国内外已经建立的相关标准，如信息安全等级保护，风险评估，安全事件应急处置以及工业控制系统信息安全防护指南等方式方法，制定工业控制系统信息安全检查工作相关标准，保障检查工作在实施过程中科学化，规范化，制度化。渊源冤提升工控检查工作技术能力引导社会科研力量加强工业控制系统安全基础理论，关键技术等重大课题研究，吸引社会资源研发安全检查相关技术手段和技术产品，制定切合实际的工控安全检查技术体系。

　　根据实际检查情况，对工控系统的特点，威胁和漏洞进行检查技术研发，涵盖工业控制系统安全项目开发与部署和相关网络架构，工控系统安全控制的管理控制，运行控制和技术控制等内容，从管理，操作，技术出发，包含信息系统安全和风险管理，人的实施执行，系统实施的技术控制，安全评估等方面的安全措施;研究工业控制系统安全标准辕协议，工业控制安全威胁和脆弱性，安全控制等技术;采取多元化的检查防护措施，变被动为主动，既有针对性又有整体性，既有重点又有全面，制定相关的工业控制系统安全检查技术体系。同时，集中产业力量，加强对工业控制系统行业的管理，集中不同行业，产业的力量和优势，建立共享机制，加强工业控制系统信息安全检查技术的研发，提升工业控制系统信息安全检查工作技术能力。加大工控检查工作力度我国工业控制系统涉及行业多，分布广泛，应用部署在多个条块分割的垂直体系中，从横向和纵向两个层面加大安全检查深度和力度，摸清工业控制系统资产底数，深度检查关键工业控制系统中存在的安全风险，及时排除安全隐患。

　　对检查中发现工业控制系统安全漏洞整改修复情况进行跟踪验证，通过现场再次检查确保漏洞修复，风险消除。渊远冤开展工控检查工作试点工作工业控制系统涉及行业广泛，针对不同行业所采取的检查方式方法及内容都有所差异，有针对性地选择工业控制系统，开展安全检查试点工作，发现检查中存在不足和问题，评估检查工作是否能够对某一特定的工业控制系统安全情况进行适用，并可以提出有针对性的防护措施，为防范和化解不同行业的工业控制系统信息安全风险，保障系统的正常运行和安全提供依据。工业控制系统信息安全检查工作的顺利开展，需要建立综合保障体系，如检查主管部门机构和人员的设置，检查人员责任的追究，检查工作制度的落实，技术支撑队伍的建设，专家队伍的建设，安全厂商和科研：所等社会资源的信息共享与合作，检查技术平台和管理平台的研发，检查工具的储备，检查工作的资金保障等。

　　结束语

　　目前，大多数关键工业控制系统基础设施是依靠工业控制系统实现自动化，工控安全已成为维系国家安全的重要战略组成部分。然而，我国的工控信息安全检查工作还处于起步阶段，安全落后于建设，检查管理机制，标准规范，评价机制，技术对策，安全产品等亟待加强，结合国外的做法和国内的实际情况，通过完善检查管理体系，加强技术创新，发挥产业力量等方面着手，逐步提高我国工业控制系统信息安全检查能力。

转载请注明来自发表学术论文网：http://www.fbxslw.com/jzlw/22014.html