隨著信息安全被提升到國家安全的層面，工業控制系統作為關系國之命脈的重要體系，其安全防御也日益成為信息安全領域關注的熱點。然而，與傳統的信息安全相比，工控系統安全又有其獨特之處。

自2010年伊朗布什爾核電站遭到“震網病毒”攻擊以來，針對工業控制系統的信息安全日益被各個國家所重視。目前在我國，雖然尚未發生重大的工控系統安全事件，但工控系統安全一旦出現問題，其后果會十分嚴重。從總體來說，國內對于工控系統的安全意識仍舊薄弱，對工控系統安全的資源、專業安全人員等方面的投入還相對少。”

與傳統的IT系統有所區別的是，工控系統采用的一般都是專用系統，其操作系統、通信協議也與一般的系統有很大差別。相較于開放的互聯網環境，工控系統則比較獨立。

近年來，隨著兩化融合的發展趨勢，管理系統與工控系統的互聯互通，在提升效率的同時，也把傳統IT風險延伸到了工業控制系統。此外，隨著越來越多通用系統、通用硬件被逐漸應用于工控系統設施中，傳統的系統漏洞也對工控系統安全構成了威脅。但就目前而言，工控系統安全所面臨的最大威脅還在于APT攻擊。

APT攻擊攻擊者往往是有組織、有計劃，采用多攻擊模式結合，通過全面的情報搜集，持久的搜索目標的漏洞，直到攻陷系統為止。這類攻擊往往有明確的目標、巨大的資金支持。由于其很強的計劃性、組織性與隱蔽性，且攻擊持續時間很長，很難被發現和進行防御。加之工控安全系統在信息安全防御方面的設計先天不足，APT攻擊便成為威脅工控系統安全的頭號殺手。

那么，工控系統安全該如何保障？目前，我國在工控系統安全方面已發布了相關指導文件，如工業和信息化部發布的《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)、國務院發布的《關于大力推進信息化發展和切實保障信息安全的若干意見》(國發〔2012〕23號)等，均對重點領域工業控制系統信息安全的管理提出了意見，要求建立國家信息安全保障體系，并且明確提出要“保障工業控制系統安全”。

國家已從政策層面表達了對工控系統安全的高度重視，但在對工控系統安全防御的實施過程中，仍舊存在一定的困難。目前國內工控系統所采用的產品種類、品牌繁多，且多以海外廠商產品為主，國內信息安全廠商很難與眾多廠商及產品進行一一合作;其次，因為工控系統的特殊性，其一直處于運轉生產的狀態中，安全廠商無法對其進行試驗測試，這也使得安全廠商與用戶層面的合作難以實施。

此外，不同行業、廠商之間的工控協議之間也存在較大區別，各類通信協議甚至多達五六十種，這也為安全廠商在對工控系統安全保護產品的研發造成了困擾。對工控系統安全產品及解決方案的研發，最好從面向行業的角度入手。工控系統安全的保障還需要有大安全的視角，從多個維度進行縱深防御，如：從整個系統體系考慮、安全管理人員的培訓、以及安全制度層面的保障等。

對工控系統進行分層、分域、分等級劃分，通過使用網閘設備、VPN接入設備等手段對工控系統進行隔離訪問與接入控制;對工控系統及設備進行脆弱性評估，及時更新系統，或更新防護設備的虛擬補丁;通過面向工控系統的監控平臺，與其他安全設備一起對工控系統設施進行保護;此外，還要定期進行安全培訓、系統評估，及時發現安全威脅隱患等。

更多資訊請關注自動化軟件頻道