（南网科研院 广东 510000）

随着我国经济社会的快速发展和科技水平的不断提升，工业控制系统在我国工业企业中的应用范围进一步扩大，工业控制信息技术的发展不断加快，不仅为提升整个工业领域的生产效益和经济效益做出了重要贡献，更对提升工业运营管理的质量有着不容忽视的积极作用。而在我国工业企业所采用控制系统性能不断完善的同时，系统整体安全性标准也进一步提高。如何在工业控制系统设计与期间针对性地做出风险信息管理和防控，尽可能地提高整个工业控制信息系统的安全性和可靠性，使整个工业控制系统安全稳定运行并如期达到相关目标成为相关企业管理人员思考的重要问题。在此背景下，针对工业控制系统信息安全防护的相关研究和探讨也就具备了重要理论意义和现实价值。

1 工业控制系统信息安全现状

1.1 工业控制系统信息安全事件高发

近年来，工业控制系统信息安全事故发生数目呈逐渐上升趋势，向来被人们认为是相对安全和可靠的封闭式工业控制信息系统逐步开放，逐渐成为世界各国黑客的重要攻击目标。美国工业控制网络安全数据库相关数据表明，自2010年起，工业控制系统信息安全事故大幅度增加，由2010年的39 起直接增加到了2015年的295 起，五年时间内的工业控制系统信息安全事故统计示意图如图1所示。由该图可知，短短五年时间里，工业控制系统信息安全事故发生的次数呈倍数增长，不断冲击着各行各业工业控制系统的进一步应用，给工业控制信息系统的安全使用和防护管理带来了严重挑战。

图1 工业控制系统信息安全事故统计图

1.2 工业控制系统漏洞数量逐年递增

众所周知，企业是工业控制系统的重要使用者，由于该系统的实际应用空间相对封闭和狭小，因此，在设计之初并没有考虑到工业控制系统的信息安全和防护管理的问题。随着现代社会工业控制系统开放性的不断增强，系统安全运行和信息安全漏洞问题等不断涌现，黑客在极大程度上能直接通过系统漏洞发起对某一企业工业控制系统的针对性攻击，进而导致企业工业生产过程和经济效益受到较大损失。2016年中国互联网安全大会相关安全论坛中提到，2000年到2016年间有1552个工业控制软件、硬件设备出现漏洞问题，涉及123 家工业控制系统厂商，而在工业控制系统厂商对其漏洞进行一定修复后，516个硬件设备漏洞仍未被修复。也就是说，工业控制系统在安全使用过程中的漏洞问题已十分严重，如何进一步解决工业控制系统信息安全防护问题已成为现阶段工业控制系统使用企业面临的重要挑战。

2 工业控制系统及其特征

在工业控制系统中，研究信息安全防护问题的首要工作是将工业控制系统和传统的计算机系统进行严格区分。就目前而言，传统模式下的信息安全管理原则已不适用于我国现阶段工业控制系统信息安全防护与管理不断提升的要求，应遵循AIC 等基本原则，保证全面实现工业控制系统的信息安全管理目标。与此同时，针对工业控制系统的相关特点进行分析，工业控制系统是物理信息融合系统的重要组成部分，而信息技术系统在普遍情况下并不属于信息系统。也就是说，针对工业控制系统的信息安全管理必须和传统的信息系统管理模式进行严格有效区分。将工业控制系统的信息安全管理和信息技术系统甚至信息系统的本质进行科学区别是严格保证在信息安全管理方面实现工业控制系统目标的根本。在此背景下，笔者以某冶金工厂为例，勾画出图2所示的常见的工业控制系统网络结构图。

3 工业控制系统信息安全防护策略

3.1 入侵检测技术

在工业控制系统的大环境下，入侵检测技术主要是针对工业控制系统的各个关键节点进行一定的数据收集、整理和反馈，进而从数据中提取出反映工业控制系统行为的相关数据特征，在掌握设计识别技术和检测算法技术的基础上，对关键节点数据进行识别，尽可能地发现工业控制系统环境可能存在的入侵行为。

3.2 漏洞扫描与漏洞挖掘技术

一般而言，漏洞扫描技术主要是基于完整的工业控制系统及工业控制网络安全漏洞数据库，根据高频漏洞扫描引擎和检测规则等自动进行匹配，以扫描出企业所用工业控制系统内部关键设备、关键软件和关键硬件等是否存在已知漏洞的方法。漏洞挖掘技术则可进一步分为静态分析漏洞挖掘方法和动态分析漏洞挖掘方法两大类。静态分析漏洞挖掘方法在工业控制系统程序非运行状态下对漏洞进行检测和对比扫描，强化对静态代码审计、逆向分析和补丁等的对比研究，动态分析漏洞挖掘技术则是在系统软件运行的情况下，对工业控制系统进行程序格式、黑盒子测试等针对性的漏洞扫描，以此发现工业控制系统可能存在的信息安全隐患，保障工业控制信息系统的安全运行。

3.3 访问控制技术

通常情况下，访问控制技术主要包括对工业控制系统内部相关数据信息的访问控制策略、访问控制模型和访问控制框架等三大部分，而企业在开展工业控制系统安全信息防护过程中采用访问控制技术的主要目的即最大限度地限制对工业控制系统内部任何受企业保护资源的数据访问，尽可能地防止未授权人员对企业工业控制系统内部任何资源进行不合法访问与浏览。

3.4 工业防火墙技术

众所周知，传统模式下的防火墙信息技术对进一步保护工业控制系统相关数据信息的内部和外部非法入侵并无较大实际意义。在工业控制系统中，企业为保护相关数据信息和资料必须进一步采用工业防火墙技术，该类防火墙技术和传统模式下的防火墙信息技术相比具有以下三大优点：首先是工业防火墙技术具备对工业控制系统进行动态检测和实时访问控制的相关功能；其次，针对诸如OPC 等工业控制协议，工业防火墙技术相关内容具备支持性和兼容性；最后，工业防火墙技术能最大限度满足工业控制系统较高的实时性需求和运行稳定性需求。

4 结语

总之，随着现代社会信息技术和计算机技术应用水平的进一步提升，工业控制系统在企业实际应用过程中所面临的信息安全风险和威胁不断扩大。企业应在针对自身实际情况的基础上，最大限度地对工业控制系统的信息安全进行不断探索和实践，最大程度上保证本企业工业控制系统的安全使用，保证本企业相关数据信息不被非法攻击，进而最大程度上利用工业控制系统指导本企业日常生产和运营。