一分钟让你深入了解：如何维护工控系统安全

随着信息安全被提升到国家安全的层面，工业控制系统作为关系国之命脉的重要体系，其安全防御也日益成为信息安全领域关注的热点。

然而，与传统的信息安全相比，工控系统安全又有其独特之处。我国工控系统安全当前面临的形势如何，我们又该如何对工控系统安全进行有效防御？近日，记者就此采访了北京网御星云信息技术有限公司助理总裁孟庆森。

自2010年伊朗布什尔核电站遭到“震网病毒”攻击以来，针对工业控制系统的信息安全日益被各个国家所重视。“目前在我国，虽然尚未发生重大的工控系统安全事件，但工控系统安全一旦出现问题，其后果会十分严重。”孟庆森说道，“从总体来说，国内对于工控系统的安全意识仍旧薄弱，对工控系统安全的资源、专业安全人员等方面的投入还相对少。”

与传统的IT系统有所区别的是，工控系统采用的一般都是专用系统，其操作系统、通信协议也与一般的系统有很大差别。相较于开放的互联网环境，工控系统则比较独立。

孟庆森表示：“近年来，随着两化融合的发展趋势，管理系统与工控系统的互联互通，在提升效率的同时，也把传统IT风险延伸到了工业控制系统。此外，随着越来越多通用系统、通用硬件被逐渐应用于工控系统设施中，传统的系统漏洞也对工控系统安全构成了威胁。但就目前而言，工控系统安全所面临的最大威胁还在于APT攻击。”

APT攻击攻击者往往是有组织、有计划，采用多攻击模式结合，通过全面的情报搜集，持久的搜索目标的漏洞，直到攻陷系统为止。这类攻击往往有明确的目标、巨大的资金支持。由于其很强的计划性、组织性与隐蔽性，且攻击持续时间很长，很难被发现和进行防御。加之工控安全系统在信息安全防御方面的设计先天不足，APT攻击便成为威胁工控系统安全的头号杀手。

那么，工控系统安全该如何保障？目前，我国在工控系统安全方面已发布了相关指导文件，如工业和信息化部发布的《关于加强工业控制系统信息安全管理的通知》（工信部协［2011］451号）、国务院发布的《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）等，均对重点领域工业控制系统信息安全的管理提出了意见，要求建立国家信息安全保障体系，并且明确提出要“保障工业控制系统安全”。

孟庆森认为，国家已从政策层面表达了对工控系统安全的高度重视，但在对工控系统安全防御的实施过程中，仍旧存在一定的困难：“目前国内工控系统所采用的产品种类、品牌繁多，且多以海外厂商产品为主，国内信息安全厂商很难与众多厂商及产品进行一一合作；其次，因为工控系统的特殊性，其一直处于运转生产的状态中，安全厂商无法对其进行试验测试，这也使得安全厂商与用户层面的合作难以实施。”

此外，不同行业、厂商之间的工控协议之间也存在较大区别，各类通信协议甚至多达五六十种，这也为安全厂商在对工控系统安全保护产品的研发造成了困扰。对于这一点，孟庆森建议：对工控系统安全产品及解决方案的研发，最好从面向行业的角度入手。

那么，面对如上问题，究竟该如何落实对工控系统安全的防御和保护？孟庆森表示：工控系统安全的保障还需要有大安全的视角，从多个维度进行纵深防御，如：从整个系统体系考虑、安全管理人员的培训、以及安全制度层面的保障等。

在采访中，孟庆森也给出了具体的相关建议：对工控系统进行分层、分域、分等级划分，通过使用网闸设备、VPN接入设备等手段对工控系统进行隔离访问与接入控制；对工控系统及设备进行脆弱性评估，及时更新系统，或更新防护设备的虚拟补丁；通过面向工控系统的监控平台，与其他安全设备一起对工控系统设施进行保护；此外，还要定期进行安全培训、系统评估，及时发现安全威胁隐患等。