隨著信息安全被提升到國家安全的層面，工業(yè)控制系統(tǒng)作為關(guān)系國之命脈的重要體系，其安全防御也日益成為信息安全領(lǐng)域關(guān)注的熱點。

　　然而，與傳統(tǒng)的信息安全相比，工控系統(tǒng)安全又有其獨特之處。我國工控系統(tǒng)安全當(dāng)前面臨的形勢如何，我們又該如何對工控系統(tǒng)安全進(jìn)行有效防御？近日，記者就此采訪了北京網(wǎng)御星云信息技術(shù)有限公司助理總裁孟慶森。

　　自2010年伊朗布什爾核電站遭到“震網(wǎng)病毒”攻擊以來，針對工業(yè)控制系統(tǒng)的信息安全日益被各個國家所重視。“目前在我國，雖然尚未發(fā)生重大的工控系統(tǒng)安全事件，但工控系統(tǒng)安全一旦出現(xiàn)問題，其后果會十分嚴(yán)重。”孟慶森說道，“從總體來說，國內(nèi)對于工控系統(tǒng)的安全意識仍舊薄弱，對工控系統(tǒng)安全的資源、專業(yè)安全人員等方面的投入還相對少。”

　　與傳統(tǒng)的IT系統(tǒng)有所區(qū)別的是，工控系統(tǒng)采用的一般都是專用系統(tǒng)，其操作系統(tǒng)、通信協(xié)議也與一般的系統(tǒng)有很大差別。相較于開放的互聯(lián)網(wǎng)環(huán)境，工控系統(tǒng)則比較獨立。

　　孟慶森表示：“近年來，隨著兩化融合的發(fā)展趨勢，管理系統(tǒng)與工控系統(tǒng)的互聯(lián)互通，在提升效率的同時，也把傳統(tǒng)IT風(fēng)險延伸到了工業(yè)控制系統(tǒng)。此外，隨著越來越多通用系統(tǒng)、通用硬件被逐漸應(yīng)用于工控系統(tǒng)設(shè)施中，傳統(tǒng)的系統(tǒng)漏洞也對工控系統(tǒng)安全構(gòu)成了威脅。但就目前而言，工控系統(tǒng)安全所面臨的最大威脅還在于APT攻擊。”

　　APT攻擊攻擊者往往是有組織、有計劃，采用多攻擊模式結(jié)合，通過全面的情報搜集，持久的搜索目標(biāo)的漏洞，直到攻陷系統(tǒng)為止。這類攻擊往往有明確的目標(biāo)、巨大的資金支持。由于其很強(qiáng)的計劃性、組織性與隱蔽性，且攻擊持續(xù)時間很長，很難被發(fā)現(xiàn)和進(jìn)行防御。加之工控安全系統(tǒng)在信息安全防御方面的設(shè)計先天不足，APT攻擊便成為威脅工控系統(tǒng)安全的頭號殺手。

　　那么，工控系統(tǒng)安全該如何保障？目前，我國在工控系統(tǒng)安全方面已發(fā)布了相關(guān)指導(dǎo)文件，如工業(yè)和信息化部發(fā)布的《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號)、國務(wù)院發(fā)布的《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)〔2012〕23號)等，均對重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理提出了意見，要求建立國家信息安全保障體系，并且明確提出要“保障工業(yè)控制系統(tǒng)安全”。

　　孟慶森認(rèn)為，國家已從政策層面表達(dá)了對工控系統(tǒng)安全的高度重視，但在對工控系統(tǒng)安全防御的實施過程中，仍舊存在一定的困難：“目前國內(nèi)工控系統(tǒng)所采用的產(chǎn)品種類、品牌繁多，且多以海外廠商產(chǎn)品為主，國內(nèi)信息安全廠商很難與眾多廠商及產(chǎn)品進(jìn)行一一合作；其次，因為工控系統(tǒng)的特殊性，其一直處于運轉(zhuǎn)生產(chǎn)的狀態(tài)中，安全廠商無法對其進(jìn)行試驗測試，這也使得安全廠商與用戶層面的合作難以實施。”

　　此外，不同行業(yè)、廠商之間的工控協(xié)議之間也存在較大區(qū)別，各類通信協(xié)議甚至多達(dá)五六十種，這也為安全廠商在對工控系統(tǒng)安全保護(hù)產(chǎn)品的研發(fā)造成了困擾。對于這一點，孟慶森建議：對工控系統(tǒng)安全產(chǎn)品及解決方案的研發(fā)，最好從面向行業(yè)的角度入手。

　　那么，面對如上問題，究竟該如何落實對工控系統(tǒng)安全的防御和保護(hù)？孟慶森表示：工控系統(tǒng)安全的保障還需要有大安全的視角，從多個維度進(jìn)行縱深防御，如：從整個系統(tǒng)體系考慮、安全管理人員的培訓(xùn)、以及安全制度層面的保障等。

　　在采訪中，孟慶森也給出了具體的相關(guān)建議：對工控系統(tǒng)進(jìn)行分層、分域、分等級劃分，通過使用網(wǎng)閘設(shè)備、VPN接入設(shè)備等手段對工控系統(tǒng)進(jìn)行隔離訪問與接入控制；對工控系統(tǒng)及設(shè)備進(jìn)行脆弱性評估，及時更新系統(tǒng)，或更新防護(hù)設(shè)備的虛擬補(bǔ)??；通過面向工控系統(tǒng)的監(jiān)控平臺，與其他安全設(shè)備一起對工控系統(tǒng)設(shè)施進(jìn)行保護(hù)；此外，還要定期進(jìn)行安全培訓(xùn)、系統(tǒng)評估，及時發(fā)現(xiàn)安全威脅隱患等。