工業(yè)領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施主要包括電力、水務(wù)、燃?xì)狻⑹褪戎匾男袠I(yè)和領(lǐng)域，本文面向工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施開(kāi)展研究，調(diào)研某省工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全現(xiàn)狀，分析其面臨的安全問(wèn)題，研究安全防護(hù)體系，并進(jìn)行案例驗(yàn)證。

　　一、概述

　　關(guān)鍵信息基礎(chǔ)設(shè)施(以下簡(jiǎn)稱“關(guān)基”)主要指影響國(guó)家、社會(huì)、公共利益的通信、電子政務(wù)及國(guó)防科工等領(lǐng)域，除此之外，還包括電力、水務(wù)、燃?xì)狻⑹褪戎匾墓I(yè)行業(yè)和領(lǐng)域。與其他領(lǐng)域關(guān)基不同，工業(yè)領(lǐng)域的關(guān)基由于其網(wǎng)絡(luò)架構(gòu)的特殊性、網(wǎng)絡(luò)傳輸?shù)膶?shí)時(shí)性及工業(yè)協(xié)議種類多等特點(diǎn)，導(dǎo)致其安全防護(hù)在防護(hù)技術(shù)、措施和管理層面都存在一定的特殊性。工業(yè)領(lǐng)域的關(guān)基一旦遭受網(wǎng)絡(luò)攻擊，不僅影響系統(tǒng)正常運(yùn)行或引發(fā)數(shù)據(jù)泄露，還可能會(huì)威脅到人民生命財(cái)產(chǎn)安全，甚至社會(huì)穩(wěn)定和國(guó)家安全，因此亟須針對(duì)工業(yè)領(lǐng)域的關(guān)基開(kāi)展網(wǎng)絡(luò)安全防護(hù)體系研究，進(jìn)一步提升其安全防護(hù)水平。

　　本文主要面向工業(yè)領(lǐng)域的關(guān)基開(kāi)展研究，調(diào)研某省工業(yè)領(lǐng)域關(guān)基的網(wǎng)絡(luò)安全現(xiàn)狀，分析該領(lǐng)域面臨的問(wèn)題，研究包含各個(gè)層面安全防護(hù)要點(diǎn)的安全防護(hù)體系，并在化工行業(yè)進(jìn)行案例驗(yàn)證，以保障工業(yè)領(lǐng)域關(guān)基的安全運(yùn)行。

　　二、安全現(xiàn)狀

　　由于某省的產(chǎn)業(yè)門類齊全，能較好反映我國(guó)工業(yè)領(lǐng)域關(guān)基的安全現(xiàn)狀，故選取該省工業(yè)領(lǐng)域關(guān)基相關(guān)工業(yè)企業(yè)作為調(diào)研樣本，共選取200余家企業(yè)開(kāi)展調(diào)研，調(diào)研結(jié)果分析如下：

　　工業(yè)資產(chǎn)：參與調(diào)研的企業(yè)中，使用企業(yè)資源計(jì)劃系統(tǒng)(ERP)的企業(yè)占比約7成，使用制造企業(yè)生產(chǎn)過(guò)程執(zhí)行管理系統(tǒng)(MES)的企業(yè)僅占3成，使用Windows操作系統(tǒng)的企業(yè)占7成;使用國(guó)產(chǎn)可編程邏輯控制器(PLC)的企業(yè)不到1成，使用國(guó)產(chǎn)分散控制系統(tǒng)(DCS)的企業(yè)約為5成，使用國(guó)產(chǎn)數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)的企業(yè)不足3成。

　　安全技術(shù)：參與調(diào)研的企業(yè)中，超過(guò)7成的企業(yè)在其工控系統(tǒng)所在的物理環(huán)境部署了防護(hù)措施，近5成的企業(yè)使用了工業(yè)主機(jī)防護(hù)軟件，但超過(guò)3成的企業(yè)工控系統(tǒng)直接與互聯(lián)網(wǎng)連接，多數(shù)企業(yè)未在安全域之間部署安全隔離措施，只有近3成的企業(yè)部署了工業(yè)防火墻等安全隔離設(shè)備;部署入侵檢測(cè)系統(tǒng)(IDS)、入侵防護(hù)系統(tǒng)(IPS)等監(jiān)測(cè)手段的企業(yè)不足2成。

　　安全管理：參與調(diào)研的企業(yè)中，60%的企業(yè)建立了工控網(wǎng)絡(luò)安全配置策略，超過(guò)6成的企業(yè)建立了工控系統(tǒng)資產(chǎn)清單，只有4成的企業(yè)與服務(wù)商明確了信息安全責(zé)任和義務(wù)，6成的企業(yè)制定了工控安全事件應(yīng)急響應(yīng)預(yù)案，但定期開(kāi)展應(yīng)急演練的企業(yè)只有4成。

　　根據(jù)調(diào)研結(jié)果，當(dāng)前工業(yè)領(lǐng)域關(guān)基網(wǎng)絡(luò)安全存在的問(wèn)題主要有：

　　企業(yè)安全主體責(zé)任落實(shí)不到位。工業(yè)領(lǐng)域關(guān)基相關(guān)企業(yè)初步建立了網(wǎng)絡(luò)安全防護(hù)策略，企業(yè)防護(hù)意識(shí)有所提升。但很多企業(yè)仍未明確安全主體責(zé)任，未建立安全責(zé)任制，內(nèi)部人員普遍存在使用弱密碼、賬號(hào)共用的現(xiàn)象;工控設(shè)備、系統(tǒng)的訪問(wèn)權(quán)限管理混亂，極易獲取敏感信息。

　　工控系統(tǒng)國(guó)產(chǎn)化水平偏低。工業(yè)領(lǐng)域關(guān)基在高端裝備、控制系統(tǒng)、工業(yè)標(biāo)準(zhǔn)等方面高度依賴國(guó)外，國(guó)內(nèi)產(chǎn)業(yè)實(shí)力難以滿足企業(yè)應(yīng)用需求。國(guó)內(nèi)廠商尚未掌握工控核心技術(shù)，大部分工控系統(tǒng)設(shè)備及核心元器件技術(shù)由國(guó)外壟斷，工控系統(tǒng)及設(shè)備自主化進(jìn)程仍需加快。

　　工控安全產(chǎn)業(yè)生態(tài)亟待完善。工業(yè)領(lǐng)域關(guān)基的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)呈現(xiàn)多元化特征，導(dǎo)致安全隱患發(fā)現(xiàn)難度更高。但工業(yè)領(lǐng)域關(guān)基相關(guān)的安全產(chǎn)業(yè)生態(tài)中的產(chǎn)品設(shè)計(jì)、運(yùn)維、評(píng)估、實(shí)施等服務(wù)能力不足，無(wú)法形成完整的安全產(chǎn)業(yè)鏈。同時(shí)，尚未出臺(tái)針對(duì)工業(yè)領(lǐng)域關(guān)基的安全防護(hù)體系，缺少相關(guān)的安全產(chǎn)品和服務(wù)。

 

　　三、安全防護(hù)體系

　　工業(yè)領(lǐng)域關(guān)基的網(wǎng)絡(luò)安全架構(gòu)如圖1所示，基于其復(fù)雜的內(nèi)網(wǎng)、外網(wǎng)協(xié)同的網(wǎng)絡(luò)狀態(tài)和安全業(yè)務(wù)需要，設(shè)計(jì)了四層架構(gòu)：終端層、控制層、網(wǎng)絡(luò)層、應(yīng)用層，以滿足工業(yè)領(lǐng)域關(guān)基網(wǎng)絡(luò)安全的防護(hù)要求。

　　終端層包含執(zhí)行器、計(jì)量器、生產(chǎn)設(shè)備、智能裝備等終端設(shè)備，終端層的安全防護(hù)層面主要指物理安全，包括終端設(shè)備的物理位置選擇、訪問(wèn)控制、防火、防盜、電磁防護(hù)等要求;控制層包含工程師站、操作員站和工業(yè)控制系統(tǒng)，控制層安全防護(hù)層面分為控制安全和設(shè)備安全，其中控制安全包括工控系統(tǒng)安全、組態(tài)軟件安全、工業(yè)數(shù)據(jù)庫(kù)安全，設(shè)備安全包括主機(jī)安全、控制設(shè)備安全、介質(zhì)安全;網(wǎng)絡(luò)層包含交換機(jī)、工業(yè)網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)層安全防護(hù)層面為網(wǎng)絡(luò)安全，包括網(wǎng)絡(luò)架構(gòu)、邊界防護(hù)、網(wǎng)絡(luò)設(shè)備安全、訪問(wèn)控制、入侵防范等要求;應(yīng)用層包含MES、ERP等應(yīng)用系統(tǒng)，應(yīng)用層安全防護(hù)層面為應(yīng)用安全，包括身份鑒別、訪問(wèn)控制、安全審計(jì)等;數(shù)據(jù)安全和管理安全層面貫穿整個(gè)工業(yè)領(lǐng)域關(guān)基的網(wǎng)絡(luò)安全防護(hù)體系，為其提供全面的安全防護(hù)。

　　四、案例驗(yàn)證

　　為驗(yàn)證工業(yè)領(lǐng)域關(guān)基安全防護(hù)體系的有效性，選取化工行業(yè)典型企業(yè)XX化工集團(tuán)開(kāi)展防護(hù)體系的實(shí)例驗(yàn)證。本次驗(yàn)證的范圍主要包括XX化工集團(tuán)下屬化工有限公司DCS控制系統(tǒng)的物理環(huán)境、主機(jī)、網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用系統(tǒng)、安全管理制度和人員等，從物理、控制、設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、管理等七個(gè)方面，對(duì)其網(wǎng)絡(luò)安全防護(hù)情況進(jìn)行綜合驗(yàn)證，并改善其安全防護(hù)要點(diǎn)。

　　通過(guò)本次案例驗(yàn)證，XX化工集團(tuán)的DCS控制系統(tǒng)通過(guò)以下防護(hù)措施，可以更好地實(shí)現(xiàn)對(duì)關(guān)基的安全防護(hù)：

　　設(shè)備安全層面，在工業(yè)主機(jī)上安裝防病毒軟件，并在安裝前進(jìn)行驗(yàn)證測(cè)試。

　　控制安全層面，對(duì)接入網(wǎng)絡(luò)的主機(jī)采取控制措施，如實(shí)名接入認(rèn)證、IP地址與MAC地址綁定等。

　　網(wǎng)絡(luò)安全層面，采取身份認(rèn)證、安全監(jiān)測(cè)等措施對(duì)無(wú)線網(wǎng)絡(luò)入網(wǎng)進(jìn)行嚴(yán)格管控。

　　數(shù)據(jù)安全層面，對(duì)重要或敏感的工業(yè)數(shù)據(jù)進(jìn)行分類分級(jí)后，對(duì)其進(jìn)行加密存儲(chǔ)或隔離保護(hù)。

　　管理安全層面，建立關(guān)基網(wǎng)絡(luò)和系統(tǒng)的安全策略配置清單，并定期核查。

　　五、結(jié)語(yǔ)

　　隨著人工智能、5G、物聯(lián)網(wǎng)等新技術(shù)與工業(yè)的深度融合應(yīng)用，工業(yè)領(lǐng)域關(guān)基的網(wǎng)絡(luò)邊界逐漸模糊，網(wǎng)絡(luò)攻擊面不斷擴(kuò)大，“新基建”下的工業(yè)領(lǐng)域關(guān)基網(wǎng)絡(luò)安全面臨更為復(fù)雜多變的新挑戰(zhàn)。下一步需繼續(xù)推進(jìn)工業(yè)領(lǐng)域關(guān)基的網(wǎng)絡(luò)安全保障工作，通過(guò)政產(chǎn)學(xué)研協(xié)同合作，從政策、技術(shù)、產(chǎn)業(yè)、人才等方面持續(xù)發(fā)力，不斷提升工業(yè)領(lǐng)域關(guān)基的安全防護(hù)水平。

　　推薦閱讀：工業(yè)廢水處理裝置中的廢氣治理技術(shù)