上海工业控制系统信息安全保障探索与实践.pdfVIP

上海工业控制系统信息安全保障探索与实践

文／刘健

随着工业化与信息化不断深入融合，涉及国计民生的关键基础设施越来越多地依靠工业控制

系统寒实现自动化作业，雨现代工控系统大量采用通用协议、硬件和软件，形成控制网络，

其信息安全风险和威胁不断扩大。为此，开展工控系统信息安全管理，已成为上海推进产业

转型升级，实现工业化和信息化深度融合的必然要求。

党中央高度重视网络安全工作，强调网络安全和信息化是一体之两翼、驱动之双轮，必须做

到协调一致、齐头并进。上海从上世纪90年代开展信息化工作以来，始终坚持把网络安全

与信息化统一谋划、统一部署、统一推进、统一实施，在推进工业化和信息化的深度融合发

展中，按照工业和信息化部印发的《关于加强工业控制系统信息安全管理的通知》（工信部

协[2011]451号）等文件要求，紧密结合上海的实际情况，积极开展调查研究和试点示

范，不断夯实工控系统信息安全工作基础，逐步探索出工控系统信息安全管理之道。

2011年年底至2012年年中，上海市经济和信息化委员会（以下简称“市经信委”）联合安

全生产、国资管理等职能部门，对全市涉及电力、化工、钢铁、汽车、供水、燃气、轨道交

通等不同行业中的104家单位进行了工控系统基本情况调研，初步掌握了1354个系统的应

用情况。从总体上看，上海工控系统主要呈现三方面的特点：系统类型多、行业差异大，

其中数据采集与监控系统(SupervisoryControlAndDataAcqLusition，简称SCADA)、

分布式控制系统(DistributedControlSystem，简称DCS)、可编程控制器(Programmable

LogicController，简称PLC)等工控系统均有大量分布，并且不同行业工控系统解决方案

的差异较大：国外设备为主，初步测算87%为国外产品，基本被西门子、施耐德、ABB、

Honeywell（霍尼韦尔）等巨头垄断；安全防护弱，控制系统设备和软件缺乏资质、准入等

安全要求，监管制度和配套标准不够，整体信息安全保障能力亟待提高。

与此同时，解决工控系统信息安全问题也面临诸多难点：一是专业性强，工控行业技术创新

活跃，不同行业的系统功能、应用环境、供货厂商、配置实施等方面差异较大，对检测平

台、安全产品、技术人才和服务队伍的要求较高。二是系统性强，工控安全问题涉及外部服

务、业务管理、指挥调度、操作执行等多个层面，很多信息安全问题与控制系统物理安全、

功能安全相互交织。三是复杂性高，工控系统的采购、运输、建设、上线、运维、退服等环

节都有可能存在风险，特别是很多工控信息安全问题在设计、集成阶段就已经被固化，后期

改造难度大：有的系统处于持续运行状态，在线干预风险高。

从结合调研反映出的问题来看，加强工控系统信息安全管理，要在处理好功能安全和信息安

全两个界面的基础上，突出工作重点：一是注重统筹规划，依托现有的信息安全保障工作基

础，建立适应工控系统信息安全特点的制度安排。二是聚焦行业领域，加强与相关主管部门

的协作，通过试点示范，形成可借鉴的行业解决方案。三是加强能力建设，围绕技术研发、

平台设施、专业队伍、产品产业化等方面，完善工控系统信息安全技术和服务支撑体系。

在编制《上海市国民经济和社会信息化“十二五”规划》、《上海市信息安全保障“十二

五”规划》、《上海市信息化与工业化深度融合发展“十二五”规划》等政策文件过程中，

市经信委始终将工控系统信息安全作为一项重要问题进行研究，并提出相应的工作要求。最

近，由上海市委办公厅、市政府办公厅印发的《上海市推进智慧城市建设行动计划(2014-

2016年)》中，还将“重点行业工业控制系统安全防护”作为重点专项提出，要求着力加强

石化、钢铁、轨道交通等重点行业及水、电、油、气等城市运行生命线的工控系统安全防

护，建立健全工控系统安全保障标准体系，组建工控系统安全产业联盟：同时提出支持工控

信息安全产品研发及产业化，开展重点行业工控系统安全检查，构建工控系统网络安全联合

实验平台，建立工控系统产品检测和安全测评服务体系等。

在推进工控系统信息安全管理过程中，充分依托上海已经建立的城市信息安全保障工作基

础，将其作为重点领域纳入其中。一是完善责任制体系。经过梳理并听取专家意见，将46

家涉及国计民生的重要工控系统主[来自wwW.lw5u.cOM]管、运营单位纳入全市信息安全重

点单位责任体系，并落实工作部门、领导责任人和信息安全员，形成工作网络。二是开展安

全检查。2012年，率先在轨道交通领域开展工控系统检查实践，并在全国重