工业控制系统的信息安全问题日益凸显

1　实际应用和技术发展对控制系统的影响

• 通用信息技术越来越多地应用于控制系统，如图形用户界面GUI 、对象链接嵌入OPC、分布式组件对象模型DCOM等，这些技术的应用大大加强了控制系统的功能和性能。

• 控制系统的深入应用使用户对系统提出了越来越高的要求，更大、更快、更全、更可靠、更安全，已成为广大用户和厂家的不懈追求。

• 多系统互连已成趋势，消除“信息孤岛”已成为普遍要求。

2　信息孤岛与信息安全

• 控制与管理一体化进程的不断推进，信息技术的不断发展，使多年来困扰工控界的“信息孤岛”问题得到了很大程度的解决，但同时产生的信息安全问题也日益突出。

• “信息孤岛”的消除依赖网络的广泛应用，而网络正是信息安全的薄弱环节。

• 消除“信息孤岛”势必使工业控制系统增加大量的对外联系通道，这使得信息安全面临更加复杂的环境，安全保障的难度大大增加。

3　影响信息安全的因素

• 信息通信（有线与无线）；

• 人因（有意和无意的破坏）；

• 组态数据与下装；

• 通用的软件、网络协议、系统平台所引入的黑客攻击、病毒等；

• 管理漏洞及信息安全意识的淡薄。

4　控制系统的信息安全应有专门解决方案

基于控制系统与信息系统不同的特点，在解决信息安全的方案上应有所不同：

• 技术措施必须简单易行，力求不影响系统实时性；

• 在保证系统功能和性能的前提下，尽量减少通用信息技术的使用；

• 对控制系统与其他系统的信息传输进行适当限制，如单向通信等；

• 加强信息安全管理，采取技术措施与管理措施相结合的方法；

• 制定应急预案，在出现信息安全问题时及时补救。

5　安全管理

• 信息安全的特点是存在大量的人为因素，大多数信息安全问题是出于恶意的故意行为。

• 从理论上讲，控制系统的信息安全问题没有百分之百的保证，特别是对人为的恶意渗透或攻击。

• 在信息安全方面，技术措施只占三成，而安全管理要占七成。

6　安全文化

• 对信息安全的认识逐步提高，在相当长的时间里，多数工业控制系统的使用者不认为自己的系统存在信息安全问题，目前正在逐步缓慢地提高认识。

• 控制系统的生产厂家和集成商已开始重视信息安全问题，但成本的压力导致安全保障措施难于真正实施。

• 迫切需要国家层面采取强制性法规，对重要控制系统进行审核认证，提高信息安全保障水平。