彭天彬

摘要：工业信息化的快速发展，使得传统意义上的相对封闭的工业控制系统在应对网络攻击、病毒侵害以及木马攻击的过程中变得脆弱而又不堪一击。但是工业控制系统是工业化生产建设过程中的重要环节，也是中国国家基础建设设施的重要构成部分，一旦遭到外部攻击造成系统或是设备受损必然会产生较大的影响和危害。针对工业控制的相关系统，还有对应概念内容结合现代化的信息技术应用进行分析，探究安全防护问题并进一步制定出相应的对策。

关键词：工控系统;安全防护;对策;问题

引言：

近些年来随着工业化发展水平的不断提升，工控系统的应用领域以及应用规模也在不断地扩大，同时在面对网络信息化的发展的大背景，工业控制的安全等级也有了一定的提升。然而我们仍然不能忽视网络信息在带来便捷的同时所带来的风险。对现阶段的工控系统进行安全风险的评估，并选择科学合理的方式对其进行预防和控制。能够有效提升传统工控系统的安全级别，将潜在问题及时发现并消除。

一、工控系统所面临的问题

（一）应用软件的安全隐患

工业领域的软件系统同行是更具有针对性的，由于其应用范围较窄，所以没有及时地进行系统的更新，导致在进入到信息更为便捷的今天，对于一些恶意软件以及病毒、木马的防范几乎为零[1]。而一些安全软件在对这些病毒和木马进行识别时也会对原有的工控软件和系统产生一定的影响。

（二）管理制度的漏洞

在管理过程中由于操作人员的自身安全意识不强，在进行设备操作的过程中操作不当或是随意接入未经杀毒的外接设备，给工控系统带来巨大的隐患。而从企业角度出发，企业在进行系统搭建的过程中将更多地关注点放在了对硬件和软件的选购和使用方面，但是在系统建成之后却缺少对应的安全使用制度及安全意识的培训。

（三）技术应用的隐患

工业系统的应用主要是由三个部分构成：

1.系统平台

工控系统的平台由于应用的相对性，所以在安全级别的设计方面本身就存在一定的安全漏洞，这一问题会对整个工控系统的引用和部署产生影响，甚至对整个企业内部的系统使用和硬件设备产生破坏。

2.工控系统软件

在工控系统软件中难免会存在安全漏洞，它的存在会给整个工控系统带来影响和危害。而且在实际应用过程中由于系统软件与设备之间在应用中还存在一定的差异性，这就导致在进行防范的过程中无法采用统一的方式和策略，在后期的安全方案和引用方面也会增加难度和风险。

3.网络协议

目前工控系统中所使用的几类网络协议都存在一定的安全漏洞，比如我们最长用到的Windows系统，在使用过程中采用了OPC协议，除了系统自身所存在的安全漏洞之外，在使用该协议的过程中会为了便利性而舍去一定的安全防范措施，在用户设置的过程中会采用同一组用户名和密码[2]。

二、针对工控系统的安全防护策略

（一）技术应用

工控系统是通过一系列的技术应用方式对工业生产的过程中所产生的信息进行采集、分析、处理并汇总，从而方便管理人员进行科学合理地控制和调动，使管理更加自动化、科学化。工业控制系统与其他的系统相比更加独立也更具有针对性。但是目前工控系统所面对的问题主要是来源于网络、设备在防范方面的脆弱性以及操作过程中的疏漏。为了抵御这些问题，在进行工控系统改进的过程中我们将以“纵深防御”为主，进行系统化分离的方式来规避风险[13]。具体应用的过程中即便系统中，某一个点位出现网络安全问题，也不会影响其他的设备运行。同时管理人员能够及时发现问题并加以处理，确保整个工控系统地使用安全性。

（二）管理机制

要确保工控系统的应用安全性，除了从软硬件方面提升其抵御风险的能力之外，还应当从管理角度出发，制定对应的安全操作防范流程，避免因人员操作不当而产生的风险问题。同时也能够通过管理制度的落实降低漏洞的发生，减少安全隐患的出现。一般来说对工控系统进行安全管理，同时会从技术与管理两个方面入手，安全技术的引用手段是工控系统的基础构建，而安全管理则是保障整个基础构建稳步运行的护身符。只有将安全管理工作落实到位，才能够确保整个工控系统的稳步运行。当然作为企业的管理者要做好安全管理工作还需要建立对应的安全工作体系。通过结合行政部门、技术部门等多部门协作，构建出一套更加正规、完善、完备的系统使用安全流程，作为后期工控系统实施和应用的重要参考。同时结合工控系统地使用需求，包括系统使用的连续性、系统在受到侵扰后的恢复能力以及遇到紧急问题的处置机制等需要交由第三方专业机构进行评估和核定，对目前存在的问题进行检查，确保方案制定的有效性和系统实施的可行性。

（三）安全培訓

为了进一步降低工控系统在使用过程中所存在的安全隐患，企业不仅仅需要对参与操作的工作人员进行安全培训和专业指导，同时也要对企业内部所有相关人员进行安全防范工作的培训和意识建立。从每个人着手，确保不同人员在操作过程中都能够严格依照操作规范和流程执行。如此才能真正做到全员防范的目标。当然参与培训的安全管理人员以及考核人员的水平也会决定最终安全防护的措施使用的有效性，所以对管理人员进行定期的技能培训和提升以及考核也是一项非常重要的工作。相关管理部门要确认好培训对象的人员和数量，确保专机专用，同时在不同安全工作内容下确定技能要求。对培训内容进行确认，有计划、有组织地进行定期的培训。在完成培训之后需要针对性地进行考核，通过考核反馈来了解考核对象对知识内容的掌握情况，方便制定后期的培训计划。

三、结束语

工控系统的应用升级需要我们不断地投入科技支持，逐步提升工控系统的安全性和稳定性。当然作为企业也应当与时俱进与各大科研院所和高校联合交流，进行系统研发，从而有效提升系统应用的安全可控性水平。

参考文献

[1]李晓龙.工业控制系统信息安全面临的紧迫问题分析[J].自动化博览，2019，36（S2）：76-79.

[2]彭道刚，卫涛，姚峻，张凯，夏飞.能源互联网环境下分布式能源站的信息安全防护[J].中国电力，2019，52（10）：11-17+25.

[3]卢光明.我国工控安全现状及面临的挑战[J].网络空间安全，2018，9（03）：1-7.