工業(yè)控制安全兩大塊課題分析

　　工業(yè)控制系統網絡安全是一個新的課題。根據我們的研究，目前我國工業(yè)控制系統網絡安全問題頻發(fā)原因主要有兩方面，一方面是管理，另一方面是技術。

　　管理上，目前工控網絡信息安全主要有五個方面的問題。一是組織不健全?，F有的工業(yè)自動化管理體系和信息安全管理體系尚未完成有機結合，難以有效應對工業(yè)控制網絡安全挑戰(zhàn);二是工業(yè)信息安全管理制度缺失。沒有可以參照的安全標準規(guī)范，缺乏經過實踐檢驗的工業(yè)控制系統網絡安全管理制度流程，從而難以有效實現工業(yè)控制系統網絡的安全規(guī)范管理;三是相關人員缺乏安全培訓。面對全新的課題，從管理人員到一線操作人員普遍缺乏對工業(yè)信息安全的認識，更談不上有效的針對性培訓，一旦出現問題，往往無力應對;四是監(jiān)管執(zhí)行不力。由于組織不健全、安全管理標準和制度缺失，加上技術方面原因，直接導致監(jiān)管措施難以落實，從而使高層管理人員對安全風險難以把控;五是技術措施不到位。在缺乏標準規(guī)范的情況下，無法安排有效的技術措施，也無法確保技術措施真正發(fā)揮作用。

　　同時在技術上也存在一系列問題，首先是缺乏對攻擊手段的研究和工業(yè)信息安全防護及檢測手段，對攻擊手段的一無所知直接造成了防護的無從下手。其次，缺乏對技術設備的控制，我國的工業(yè)控制系統中的關鍵設備95%以上都是進口的，對于其內部結構、組成、隱藏功能都缺乏了解，也沒有有效的技術和法律控制措施，很難保證沒有暗藏的后門、病毒、木馬、邏輯炸彈等破壞手段。

　　最重要的是，缺乏信息安全設計，沒有安全模塊設計就談不上安全保障。據殷國強透露，目前，所謂的安全防護大都是通過“打補丁”的方式進行，這種方式可以暫時取得防護效果，但是從長遠來看，治標不治本，或許還會帶來更大的風險。

（轉載）