企业工控系统信息安全管理初探

  • 格式:doc
  • 大小:16.50 KB
  • 文档页数:3

企业工控系统信息安全管理初探
作者:李国斌
来源:《科学与信息化》2018年第03期
摘要近年来,随着信息化和工业化融合的不断深入和“智能制造2025”的提出,工业控制系统从单机走向集成,从封闭走向开放,从自动化走向智能化。

在提高生产力的同时,工控系统也面临着日益严峻的信息安全威胁。

开展企业生产控制系统的信息安全管理研究,提出相应防护措施,显得尤为必要。

关键词工控系统;信息;安全
前言
国内某大型矿山的选矿工控系统曾因受病毒感染,造成传输皮带和自磨机停止运转;乌克兰电力系统被黑客攻击导致电网瘫痪……企业工业控制系统(以下简称“工控系统”)的安全影响着企业能否正常生产运营,严重的会影响企业的生存发展,甚至关系到经济发展、社会稳定和国家安全。

做好工控系统的安全具有现实的意义,而其中的信息安全管理又尤为重要。

本文中,笔者结合制造型企业的信息安全管理工作和工控系统的运行管理经验,针对企业较为普遍的工控安全防护意识不到位、管理责任不明晰、技术措施不完善等问题,对企业工控系统的信息安全管理做了初步研究。

1 建立安全管理体系,落实安全责任
首先要对信息安全有正确的认识,要有“生产必须安全,安全为了生产”、“安全是发展的前提,发展是安全的保障”的正确理念;其次要认清工控系统的信息安全主体是企业自身,要将“要我安全”转变为“我要安全”,主动作为做好“人防、物防、技防”工作。

企业作为工控安全责任主体,要把安全管理体系建立起来,明确工控信息安全管理责任人,并且把责任分解到岗位上。

“安全第一,预防为主,综合治理”的安全生产工作“十二字方针”对工控系统信息安全同样适用。

企业的“一把手”要亲自抓安全,分管领导要亲自管安全。

从企业、安全生产管理部门、信息管理部门到各岗位,均应明确信息安全的分管领导、责任人。

信息安全和IT内控管理的责任要层层落实到各级管理者和相关岗位,通过“宣传与教育培训、制度与标准修订、开展检查与演练、加强技术防范”等方面的工作切实做好信息安全管理,确保信息系统的“真实性、保密性、完整性、可用性、不可抵赖性、可控制性、可审查性”。

工控系统信息安全既属于企业的安全生产范畴,也是企业信息安全管理体系的一部分,同样要建章立制和符合规范标准,应将信息安全指标列入生产部门及工控相关岗位的考评工作中;既在规章制度中有要求,也在绩效中有体现。

2 按照信息系统安全等级保护的标准推进信息安全工作
企业可参照公安部对信息安全等级保护的要求,针对工控系统制定相应等级的保护要求和内控管理规范,并形成制度督促落实执行。

信息安全重在预防。

企业需组织信息系统各岗位制订岗位工作规程和工作标准,开展岗位的安全风险辨识(风险点识别),提出所在岗位的信息安全风险等级建议和安全风险的应对措施,制订符合各岗位实际情况的IT风险点清单和《IT岗位内控风险管理表》。

根据风险评估结果,针对不同岗位的风险特点,从组织、制度、技术、应急等方面对信息安全风险进行管控。

识别风险点后,预判可能发生的信息安全事件,根据其可控性、严重程度和影响范围,按照《信息安全事件分类分级指南》(GB/Z 20986—2007),结合企业的实际情况明确各等级对应工控系统各岗位的安全风险点及事件[1]。

3 强化管控,开展针对性检查
企业应按照《信息系统内部控制规范》开展工控系统的安全与内控合规情况检查、组织灾备演练等工作,积极做好问题和短板的整改。

不同的工控系统,工控系统不同的岗位,检查的侧重点不同,要在检查前做好详细的岗位安全风险点识别。

比如,在矿山选矿DCS控制系统中,应关注皮带传输系统、管道加压泵送系统、磨机控制系统等的工作站对控制器的影响。

一些事故调查结果表明,工作站感染了计算机病毒,会导致传输系统的不正常甚至停止输送,也可能导致磨机运转速度异常或停止运转。

企业也可不定期邀请公安部门按照信息系统等级保护的标准对工控系统进行检查,或者邀请信息安全测评机构对企业的工控系统进行安全测评,以保证及时发现安全隐患、提早消除隐患。

4 加强培训教育,提高信息安全意识和管理水平
企业应通过多种渠道、多种形式,加强工控系统岗位员工的信息安全教育培训,提高安全意识。

组织编制《企业员工信息安全教育手册》,把它作为安全生产教育内容的一部分,把制度要求和日常行为、习惯结合起来[2]。

从加强职业道德、职业素养、职业技能、培训考核等方面对IT专业人员提出明确要求,特别是要做好新入职员工、离职员工的信息安全管理。

从入职抓起,在离职善后,不留下安全的尾巴。

5 完善技术管理,加强技术和设备的运用
工控系统的信息安全技防、物防标准应通过制度的形式确定下来并得到执行。

企业可根据自身情况,结合工控系统的特点,加强技术和设备的应用。

应从网络传输、主机管理、工作站管理、应用系统和数据库等,在技术和设备应用上做好防控措施。

比如,工控系统环网应通过防火墙与办公网隔离,在物理上断绝与互联网的连接;全面部署网络防病毒软件,对主机、工作站定期查杀病毒;关键生产数据应实现一天一备份,必要时可设置异地备份和容灾系统。

6 加强应急管理,提高应急处置能力
应制定工控系统安全的综合应急预案、专项应急预案和现场处置方案,组织对应急预案、方案的评审、公布、培训和实施,并定期进行评估和修订。

工控系统的安全管理应具备两级值班服务体系,前端控制室值班人员应能与后端支持人员实时有效联动。

在生产设备检修期间,要对控制系统包括主机、工作站、控制终端、控制器、网络等的全面检查,确保出现安全事件时系统的“可用、有效控制”。

除了特殊情况下的应急应对,日常还要开展工控系统的全生命周期安全防护。

要从设计、选型、建设、测试,到运行、检修、废弃等各阶段提出防护工作要求,从安全设备、安全软件等的选型、访问控制策略构建、数据安全保护、资产配置管理等方面提出具体的实施细则。

7 结束语
当今世界,信息、通信技术日新月异,随着物联网、AI等的进一步发展、应用,工控系统的信息安全也将面临新的挑战。

我们只要坚持安全生产的方针,树立正确的信息安全观,进一步认清信息安全形势,健全信息安全管理体系,全面落实信息安全内控管理工作,定能保障工控系统的安全运行,从而保障企业生产、经营的连续性、可持续发展。

参考文献
[1] 工业和信息化部.工业控制系统信息安全防护指南[EB/OL].http:
///n1146285/n1146352/n3054355/n3057656/n3057672/c5338092/content.html,2016-10-19.
[2] 国家安全生产监督管理总局宣传教育中心.生产经营单位主要负责人和安全管理人员安全培训通用教材[M].第2版.中国矿业大学出版社,2015:37-39.。