工業(yè)控制系統(tǒng)

　　工業(yè)控制系統(tǒng)是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行的“大腦”。隨著兩化深度融合的不斷推進(jìn)，工業(yè)控制系統(tǒng)研發(fā)設(shè)計(jì)、生產(chǎn)裝備、流程管理、物流配送、能源管理，正在從數(shù)字化、網(wǎng)絡(luò)化邁向智能化。對(duì)國(guó)內(nèi)工業(yè)控制系統(tǒng)及其信息安全基本狀況的調(diào)查結(jié)果顯示，我國(guó)工業(yè)控制系統(tǒng)防護(hù)面臨日益嚴(yán)峻的信息安全形勢(shì)，認(rèn)真分析工業(yè)控制系統(tǒng)信息安全的主要脆弱性，加強(qiáng)國(guó)內(nèi)信息安全工作迫在眉睫。

　　制造業(yè)是國(guó)民經(jīng)濟(jì)的主體，是立國(guó)之本、興國(guó)之器、強(qiáng)國(guó)之基。推進(jìn)信息化與工業(yè)化深度融合是我國(guó)實(shí)施制造強(qiáng)國(guó)戰(zhàn)略第一個(gè)十年行動(dòng)綱領(lǐng)《中國(guó)制造2025》的戰(zhàn)略任務(wù)和重點(diǎn)之一，而智能制造則是兩化深度融合的主攻方向。工業(yè)控制系統(tǒng)作為智能制造的重要組成部分，作用和影響巨大，其信息安全正面臨著嚴(yán)峻的挑戰(zhàn)。

　　工業(yè)控制系統(tǒng)廣泛應(yīng)用于電力、石油化工、核能、航空、鐵路等行業(yè)，是這些國(guó)家關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行的“大腦”。現(xiàn)代信息技術(shù)與現(xiàn)代控制技術(shù)的深度結(jié)合，在為控制技術(shù)帶來(lái)新的創(chuàng)新機(jī)會(huì)、為企業(yè)帶來(lái)新的商業(yè)模式的同時(shí)，也將信息網(wǎng)絡(luò)中的信息安全問(wèn)題一起帶入了現(xiàn)代工業(yè)控制系統(tǒng)中。從2010年眾所周知的“震網(wǎng)病毒”事件，2011年“Duqu病毒”和2012年的“火焰病毒”，到今天互聯(lián)網(wǎng)上隨處可見(jiàn)的黑客攻擊工具，處處展現(xiàn)的是工控系統(tǒng)遭受攻擊的“戰(zhàn)況”，充分顯示了工業(yè)控制系統(tǒng)信息安全問(wèn)題的現(xiàn)實(shí)迫切性。因此，以美國(guó)為代表的“工業(yè)互聯(lián)網(wǎng)”、以德國(guó)為代表的“工業(yè)4.0”，都將信息安全作為重中之重。從2011年開(kāi)始，國(guó)務(wù)院先后出臺(tái)《工業(yè)轉(zhuǎn)型升級(jí)規(guī)劃(2011—2015)》、《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》、《中國(guó)制造2025》等一系列文件，都強(qiáng)調(diào)了兩化融合中信息安全保障的重要性。

　　工業(yè)控制系統(tǒng)智能化過(guò)程中信息安全挑戰(zhàn)加劇

　　隨著兩化深度融合的不斷推進(jìn)，工業(yè)控制系統(tǒng)研發(fā)設(shè)計(jì)、生產(chǎn)裝備、流程管理、物流配送、能源管理，正在從數(shù)字化、網(wǎng)絡(luò)化邁向智能化。信息通信技術(shù)正在從單項(xiàng)業(yè)務(wù)應(yīng)用向多業(yè)務(wù)綜合集成轉(zhuǎn)變，從單一企業(yè)應(yīng)用向產(chǎn)業(yè)鏈協(xié)同應(yīng)用轉(zhuǎn)變，從局部流程優(yōu)化向全業(yè)務(wù)流程再造轉(zhuǎn)變，從傳統(tǒng)生產(chǎn)方式向柔性智能生產(chǎn)方式轉(zhuǎn)變, 國(guó)內(nèi)大量企業(yè)在國(guó)家支持和自發(fā)驅(qū)動(dòng)下，開(kāi)展了升級(jí)換代工作，主要有如下幾種方式：

　　在原有工業(yè)控制系統(tǒng)中，增加通信模塊，將工業(yè)生產(chǎn)數(shù)據(jù)實(shí)時(shí)傳輸給生產(chǎn)管理系統(tǒng)，提高生產(chǎn)效率；

　　在原來(lái)相對(duì)獨(dú)立甚至封閉的工業(yè)控制網(wǎng)絡(luò)里，增加路由網(wǎng)關(guān)設(shè)備，保持相關(guān)生產(chǎn)系統(tǒng)間的聯(lián)動(dòng)以及生產(chǎn)管理系統(tǒng)的實(shí)時(shí)監(jiān)控；

　　購(gòu)置新工業(yè)控制系統(tǒng)，系統(tǒng)具備先進(jìn)的智能通信設(shè)備，可實(shí)現(xiàn)一體化的智能生產(chǎn)。

　　在上述智能化過(guò)程中，信息安全保障工作卻進(jìn)展緩慢，體現(xiàn)在如下幾個(gè)方面：

信息安全空白：借助信息化手段提高生產(chǎn)效率的同時(shí)，并沒(méi)有考慮信息安全防護(hù)措施，有些工業(yè)控制系統(tǒng)甚至與互聯(lián)網(wǎng)保持“親密接觸”。中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司（以下簡(jiǎn)稱中國(guó)網(wǎng)安）的“工業(yè)控制系統(tǒng)接入互聯(lián)網(wǎng)威脅感知系統(tǒng)”目前已探明連接互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng)有萬(wàn)余個(gè)，涉及供熱、供水、能源等眾多城市關(guān)鍵基礎(chǔ)設(shè)施。

　　信息安全淺表化：部分企業(yè)為了滿足生產(chǎn)聯(lián)動(dòng)，將原來(lái)相互獨(dú)立的工業(yè)控制系統(tǒng)互聯(lián)，或者將生產(chǎn)控制網(wǎng)接入到企業(yè)管理網(wǎng)；為了滿足信息安全需求，雖然增加了信息安全防護(hù)設(shè)備，但使用的卻是信息系統(tǒng)常用的防火墻。此類信息系統(tǒng)的防火墻并不支持常用的工業(yè)控制協(xié)議，因此安裝的防火墻防護(hù)作用非常有限。此類現(xiàn)象目前非常普遍。

　　信息安全僵化：個(gè)別企業(yè)認(rèn)識(shí)到工業(yè)控制系統(tǒng)信息安全的重要性，在工業(yè)控制系統(tǒng)改造過(guò)程中，主動(dòng)增加了安全防護(hù)措施，例如工業(yè)防火墻、工控網(wǎng)絡(luò)監(jiān)控系統(tǒng)，但由于工業(yè)控制系統(tǒng)對(duì)高可靠運(yùn)行生產(chǎn)的要求，作為使用方，在信息安全運(yùn)維過(guò)程中，相應(yīng)的信息安全策略并沒(méi)有隨著外界攻擊技術(shù)的發(fā)展而調(diào)整，導(dǎo)致在實(shí)際運(yùn)行過(guò)程中，信息安全問(wèn)題依然時(shí)有發(fā)生。兩化融合中，信息安全保障不到位，但是針對(duì)工業(yè)控制系統(tǒng)的攻擊技術(shù)卻呈現(xiàn)出日新月異的發(fā)展趨勢(shì)，主要體現(xiàn)在：

　　攻擊工具層出不窮：針對(duì)工業(yè)控制系統(tǒng)的攻擊工具，被黑客制作并散布在互聯(lián)網(wǎng)上，使得攻擊成本越來(lái)越低。

　　攻擊范圍迅速擴(kuò)大：早期針對(duì)部署在關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)進(jìn)行攻擊，需要較強(qiáng)的攻擊能力；但隨著工業(yè)控制系統(tǒng)信息安全問(wèn)題公眾化后，許多黑客開(kāi)始利用互聯(lián)網(wǎng)上輕易得到的攻擊工具，瞄準(zhǔn)很多基本不具備信息安全防護(hù)能力的行業(yè)或企業(yè)進(jìn)行攻擊，雖然沒(méi)有嚴(yán)重的惡性事件，卻造成嚴(yán)重經(jīng)濟(jì)損失。

　　攻擊頻率不斷增加：越來(lái)越多的黑客開(kāi)始借助工具，對(duì)工業(yè)控制系統(tǒng)進(jìn)行持續(xù)攻擊，嚴(yán)重影響了生產(chǎn)效率。

　　攻擊后果愈發(fā)嚴(yán)重：早期針對(duì)工業(yè)控制系統(tǒng)的攻擊以竊取資料為多，但隨著黑客攻擊的普及化，為追求“轟動(dòng)效益”，很多攻擊就演變?yōu)槠茐墓I(yè)控制系統(tǒng)，直接導(dǎo)致停產(chǎn)甚至是生產(chǎn)線損毀，給企業(yè)造成重大經(jīng)濟(jì)損失，例如有企業(yè)因?yàn)槿湎x(chóng)攻擊導(dǎo)致?lián)p失3000萬(wàn)元。

　　我國(guó)工控系統(tǒng)信息安全防護(hù)不容樂(lè)觀

　　根據(jù)中國(guó)網(wǎng)安的調(diào)查，國(guó)內(nèi)工業(yè)控制系統(tǒng)國(guó)產(chǎn)化率低，尤其是中高端系統(tǒng)嚴(yán)重依賴國(guó)外進(jìn)口設(shè)備。以近幾個(gè)月針對(duì)煤礦、化工廠、環(huán)保材料的若干家企業(yè)深入調(diào)研為例，調(diào)研對(duì)象涵蓋工業(yè)控制系統(tǒng)組態(tài)軟件、工程師站、操作員站、控制器，包括DCS、PLC等，工業(yè)控制系統(tǒng)及相關(guān)設(shè)備國(guó)產(chǎn)化情況見(jiàn)表1：

　　調(diào)研還發(fā)現(xiàn)一些較為嚴(yán)重的問(wèn)題，比如工業(yè)控制系統(tǒng)連接互聯(lián)網(wǎng)、移動(dòng)介質(zhì)隨意接入控制網(wǎng)內(nèi)計(jì)算機(jī)、使用無(wú)線設(shè)備時(shí)缺乏安全防護(hù)等等。

　　國(guó)內(nèi)工業(yè)控制系統(tǒng)信息安全防護(hù)狀況不容樂(lè)觀。

　　重要工業(yè)控制系統(tǒng)運(yùn)行基本正常，存在偶發(fā)安全事件。從實(shí)地調(diào)研情況來(lái)看，工業(yè)控制系統(tǒng)雖然沒(méi)有發(fā)生影響巨大的惡意信息安全事件，但受調(diào)研企業(yè)或多或少發(fā)生過(guò)工業(yè)控制系統(tǒng)因計(jì)算機(jī)病毒引發(fā)的信息安全事故，影響了企業(yè)正常生產(chǎn)。如某化工企業(yè)輔助系統(tǒng)的操作站曾因感染病毒，導(dǎo)致操作站不斷重新啟動(dòng)，影響生產(chǎn)輔助系統(tǒng)管網(wǎng)壓力異常波動(dòng)，進(jìn)而影響多個(gè)重要的生產(chǎn)裝置的穩(wěn)定生產(chǎn)；某制造企業(yè)MES系統(tǒng)因移動(dòng)介質(zhì)和移動(dòng)計(jì)算機(jī)接入控制不嚴(yán)，導(dǎo)致計(jì)算機(jī)病毒的引入和蔓延，對(duì)MES系統(tǒng)造成影響。

　　工業(yè)控制信息安全防護(hù)設(shè)備應(yīng)用尚未普及。在網(wǎng)絡(luò)安全防護(hù)方面，普遍使用的是信息系統(tǒng)防火墻產(chǎn)品，無(wú)法對(duì)工業(yè)控制系統(tǒng)實(shí)施有效的信息安全防護(hù)；極個(gè)別企業(yè)的重要工業(yè)控制系統(tǒng)在數(shù)據(jù)采集監(jiān)控層和控制層之間安裝了專業(yè)的工業(yè)防火墻，解決OPC通訊采用動(dòng)態(tài)端口帶來(lái)的安全防護(hù)瓶頸問(wèn)題。據(jù)受調(diào)查企業(yè)普遍反映，由于企業(yè)安全意識(shí)薄弱和職責(zé)不清問(wèn)題，專用的工業(yè)防火墻等工業(yè)控制信息安全防護(hù)產(chǎn)品尚未得到大規(guī)模應(yīng)用。

　　在過(guò)程工業(yè)及關(guān)鍵行業(yè)里，一些重要工業(yè)控制系統(tǒng)，未部署信息安全防護(hù)產(chǎn)品。部署在關(guān)鍵行業(yè)的工業(yè)控制系統(tǒng)，本來(lái)是嚴(yán)格執(zhí)行網(wǎng)絡(luò)物理隔離，網(wǎng)絡(luò)邊界相對(duì)安全。但隨著先進(jìn)信息技術(shù)的引進(jìn)，例如機(jī)器人無(wú)線控制、惡劣環(huán)境無(wú)線監(jiān)控等，帶給生產(chǎn)效率提升的同時(shí)，也使得原來(lái)處于相對(duì)封閉狀態(tài)的控制系統(tǒng)開(kāi)始暴露在外。

　　工控系統(tǒng)信息安全的主要脆弱性

　　1、工業(yè)控制產(chǎn)品漏洞屢見(jiàn)不鮮

　　根據(jù)中國(guó)網(wǎng)安的整理，截至2015年9月10日，中國(guó)國(guó)家信息安全漏洞庫(kù)（CNNVD）、Common Vulnerabilities & Exposures（CVE）、The Industrial Control Systems Cyber Emergency Response Team（ICS-CERT美國(guó)工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)小組）三大組織公開(kāi)發(fā)布的與工業(yè)控制系統(tǒng)相關(guān)漏洞數(shù)量為568個(gè)，涉及國(guó)內(nèi)外相關(guān)廠商120個(gè)。

　　目前工業(yè)控制系統(tǒng)使用的現(xiàn)場(chǎng)控制設(shè)備、過(guò)程控制自動(dòng)化軟件、工程師站、操作員站、OPC接口機(jī)等設(shè)備中大量使用了標(biāo)準(zhǔn)的信息網(wǎng)絡(luò)技術(shù)或產(chǎn)品。這些技術(shù)和產(chǎn)品并沒(méi)有針對(duì)工控系統(tǒng)的應(yīng)用環(huán)境進(jìn)行優(yōu)化和專門設(shè)計(jì)，導(dǎo)致為工控系統(tǒng)引入了大量的“冗余功能和配置”。工控系統(tǒng)的設(shè)計(jì)、實(shí)施、工程人員并沒(méi)有意識(shí)到這些“冗余功能和配置”所引發(fā)的安全問(wèn)題，仍然按照老思路實(shí)現(xiàn)控制功能。也有一部分工控廠家、控制系統(tǒng)開(kāi)發(fā)人員注意到了信息安全，但由于相關(guān)知識(shí)和技能的缺乏，控制系統(tǒng)自身設(shè)計(jì)、實(shí)現(xiàn)的安全功能不僅沒(méi)能充分利用信息系統(tǒng)所提供的基礎(chǔ)安全技術(shù)和功能，而且還存在一些設(shè)計(jì)上的錯(cuò)誤和缺陷（如：不正確的密鑰管理、口令保護(hù)措施等）。如前所述，在所調(diào)研單位使用的廠商相關(guān)設(shè)備漏洞中，羅克韋爾公司相關(guān)設(shè)備高危漏洞4個(gè)，西門子公司相關(guān)設(shè)備高危漏洞7個(gè)，橫河公司相關(guān)設(shè)備高危漏洞6個(gè)。Windows XP操作系統(tǒng)截至SP3補(bǔ)丁更新時(shí)高危漏洞239個(gè)，在2014年4月8日停止服務(wù)支持后，發(fā)現(xiàn)的高危漏洞為119個(gè)，共計(jì)358個(gè)。典型的工業(yè)控制系統(tǒng)信息安全高危漏洞如表2所示，造成其中的原因見(jiàn)表中說(shuō)明一欄。

　　2、工控網(wǎng)絡(luò)安全防護(hù)薄弱點(diǎn)較多

　　網(wǎng)絡(luò)邊界防護(hù)措施薄弱。大部分企業(yè)中，因?yàn)楣I(yè)控制系統(tǒng)類型的多樣化以及安全管理意識(shí)和職責(zé)不明確等原因，一方面網(wǎng)絡(luò)間的數(shù)據(jù)傳輸和授權(quán)管理未實(shí)施明確的安全策略，另一方面企業(yè)管理層連接互聯(lián)網(wǎng)，從而導(dǎo)致互聯(lián)網(wǎng)用戶可以利用企業(yè)管理網(wǎng)絡(luò)系統(tǒng)的漏洞，通過(guò)“隧道”方式直接獲取生產(chǎn)控制網(wǎng)關(guān)鍵設(shè)備的運(yùn)行控制數(shù)據(jù)，對(duì)工業(yè)控制系統(tǒng)運(yùn)行帶來(lái)造成重大安全隱患。

　　網(wǎng)絡(luò)配置脆弱性。突出表現(xiàn)在，企業(yè)為了確保整個(gè)網(wǎng)絡(luò)的穩(wěn)定和高效，一是相關(guān)網(wǎng)絡(luò)交換設(shè)備幾乎從未配置安全策略；二是在網(wǎng)絡(luò)設(shè)備不配置密碼口令或密碼明文傳輸，且密碼位數(shù)低甚至口令長(zhǎng)時(shí)間不更改；三是無(wú)線網(wǎng)絡(luò)應(yīng)用越來(lái)越多，但無(wú)線終端和AP之間認(rèn)證機(jī)制未采用安全認(rèn)證機(jī)制方式，很容易被截取。

　　缺乏有效的網(wǎng)絡(luò)獨(dú)立審計(jì)系統(tǒng)。很多工業(yè)控制系統(tǒng)已運(yùn)行使用多年，相比現(xiàn)在的大多數(shù)網(wǎng)絡(luò)攻擊，現(xiàn)場(chǎng)控制設(shè)備通信能力非常有限，致使控制網(wǎng)內(nèi)稍有風(fēng)吹草動(dòng)就會(huì)產(chǎn)生后果，例如利用網(wǎng)絡(luò)地址解析協(xié)議（ARP）的欺騙攻擊，輕則影響控制數(shù)據(jù)實(shí)時(shí)傳輸，重則導(dǎo)致現(xiàn)場(chǎng)控制設(shè)備出現(xiàn)通信故障。有效的網(wǎng)絡(luò)獨(dú)立審計(jì)系統(tǒng)，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)威脅并報(bào)警，但大多數(shù)工業(yè)控制系統(tǒng)都缺乏此類設(shè)備。

　　3、終端安全管理問(wèn)題突出

　　工業(yè)控制系統(tǒng)計(jì)算機(jī)最大特點(diǎn)是相對(duì)固定，各工程師站、操作員站和OPC接口計(jì)算機(jī)等大都采用WINDOWS系統(tǒng)，這些系統(tǒng)常年無(wú)法升級(jí)補(bǔ)丁，也沒(méi)有相應(yīng)的病毒防護(hù)措施。一旦移動(dòng)介質(zhì)管理出現(xiàn)疏忽，則會(huì)導(dǎo)致病毒等感染事件頻發(fā)。

　　部分企業(yè)在工業(yè)控制系統(tǒng)檢修或排除故障過(guò)程中，使用遠(yuǎn)程維護(hù)或診斷，或者使用外部移動(dòng)終端，同時(shí)未采取嚴(yán)格的安全措施，可能導(dǎo)致系統(tǒng)的非授權(quán)訪問(wèn)。同時(shí)移動(dòng)終端自身的安全問(wèn)題（如病毒、木馬等惡意程序），也可能感染整個(gè)系統(tǒng)。對(duì)于使用國(guó)外品牌而開(kāi)放遠(yuǎn)程診斷維護(hù)的工業(yè)控制系統(tǒng)，這一問(wèn)題顯得尤為突出。

　　4、缺乏有效的全生命周期安全管理

　　工業(yè)控制系統(tǒng)普遍缺乏有效的手段對(duì)遠(yuǎn)程維護(hù)操作、移動(dòng)終端訪問(wèn)、設(shè)備配置更新等重要操作行為的有效管理，大多依賴手動(dòng)“作業(yè)單”方式。

　　工業(yè)控制系統(tǒng)生命周期一般在15～30年不等，而支撐工業(yè)控制系統(tǒng)運(yùn)行的硬件設(shè)備（如工程師站、操作員站、服務(wù)器、交換機(jī)等）、應(yīng)用軟件（如操作系統(tǒng)、數(shù)據(jù)庫(kù)、組態(tài)軟件等）、網(wǎng)絡(luò)結(jié)構(gòu)和安全防護(hù)措施僅能適應(yīng)最初設(shè)計(jì)的應(yīng)用條件。

　　隨著工業(yè)控制系統(tǒng)所支撐工藝的成熟、產(chǎn)量的增長(zhǎng)，運(yùn)維的需求大大增加，這就促使運(yùn)維人員不斷將工業(yè)控制系統(tǒng)運(yùn)維的信息化產(chǎn)品（硬件、軟件等）接入到工業(yè)控制系統(tǒng)網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)、企業(yè)管理網(wǎng)絡(luò)、甚至互聯(lián)網(wǎng)中，以提高生產(chǎn)效率。

　　這種“私搭亂建”現(xiàn)象卻給企業(yè)控制系統(tǒng)生產(chǎn)帶來(lái)了極大的安全隱患，而安全管理手段的缺乏，使得在原有基礎(chǔ)上出現(xiàn)了很多管理者完全不了解的工業(yè)控制網(wǎng)絡(luò)。

　　5、操作人員信息安全意識(shí)和技能有待提高

　　由于工業(yè)控制系統(tǒng)信息安全涉及到多個(gè)部門，在企業(yè)內(nèi)部，工業(yè)控制系統(tǒng)的管理主要涉及設(shè)備管理部門（如自動(dòng)化部/設(shè)備處），信息安全管理主要涉及信息化管理部門（如信息中心），不同部門管理的對(duì)象和重點(diǎn)有所區(qū)別，現(xiàn)階段多數(shù)企業(yè)存在職責(zé)不清的問(wèn)題。

　　另外，自動(dòng)化專業(yè)的操作人員對(duì)于信息安全的意識(shí)和技能尚有不足，實(shí)際操作中不能有效貫徹執(zhí)行公司統(tǒng)一的信息安全策略，所以在多數(shù)企業(yè)中存在著信息安全管理制度執(zhí)行難的問(wèn)題。

　　加強(qiáng)工業(yè)控制系統(tǒng)信息安全對(duì)策建議

　　面臨日益嚴(yán)峻的信息安全形勢(shì)，針對(duì)薄弱的工業(yè)控制系統(tǒng)防護(hù)現(xiàn)狀，加強(qiáng)國(guó)內(nèi)信息安全工作迫在眉睫。當(dāng)前工業(yè)控制系統(tǒng)信息安全保障工作應(yīng)按照國(guó)家網(wǎng)絡(luò)與信息安全相關(guān)政策和制度要求，開(kāi)展重點(diǎn)行業(yè)工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估，加強(qiáng)重點(diǎn)行業(yè)工業(yè)控制系統(tǒng)信息安全防護(hù)建設(shè)，為兩化融合創(chuàng)造可靠的信息安全保障。

　　工業(yè)控制系統(tǒng)信息安全不僅是國(guó)家安全的體現(xiàn)，更是企業(yè)發(fā)展的現(xiàn)實(shí)需求，因此加強(qiáng)工業(yè)控制系統(tǒng)信息安全應(yīng)當(dāng)是“整體聯(lián)動(dòng)、可持續(xù)發(fā)展”的智能安全，即國(guó)家自上而下的體系化指導(dǎo)、產(chǎn)業(yè)化引導(dǎo)，企業(yè)自下而上的主動(dòng)配合、自發(fā)實(shí)踐。

　　國(guó)家體系化指導(dǎo)：建立面向工業(yè)領(lǐng)域的信息安全技術(shù)支撐、產(chǎn)品檢測(cè)、檢查評(píng)估綜合保障體系，加強(qiáng)人才隊(duì)伍建設(shè)，為企業(yè)加強(qiáng)工業(yè)控制系統(tǒng)信息安全提供指導(dǎo)。

　　國(guó)家產(chǎn)業(yè)化引導(dǎo)：加快建設(shè)仿真測(cè)試、持續(xù)提升工業(yè)信息安全保障能力。推廣安全可靠的工業(yè)控制系統(tǒng)信息安全產(chǎn)品及技術(shù)，增強(qiáng)自主可控能力和企業(yè)信息安全水平。

　　企業(yè)主動(dòng)配合：按照國(guó)家的統(tǒng)一要求，積極開(kāi)展企業(yè)工業(yè)控制系統(tǒng)信息安全檢查評(píng)估工作，協(xié)助國(guó)家掌握和提高工業(yè)控制系統(tǒng)信息安全防護(hù)水平。

　　企業(yè)自發(fā)實(shí)踐：按照企業(yè)的業(yè)務(wù)發(fā)展需求，積極開(kāi)展工業(yè)控制系統(tǒng)信息安全實(shí)踐應(yīng)用，在保障企業(yè)安全的同時(shí)，協(xié)助國(guó)家完成工業(yè)控制系統(tǒng)信息安全布局。

　　依據(jù)中國(guó)網(wǎng)安在工控信息安全領(lǐng)域多年經(jīng)驗(yàn)，可以區(qū)別對(duì)待在役的存量工控系統(tǒng)和新建的增量工控系統(tǒng)，深入開(kāi)展信息安全檢查工作，加強(qiáng)工業(yè)控制系統(tǒng)資產(chǎn)管理工作。按照“固隔監(jiān)”的安全防護(hù)思路，利用存量系統(tǒng)的停車檢修時(shí)機(jī)，做好工控系統(tǒng)邊界信息安全防護(hù)，實(shí)現(xiàn)工控網(wǎng)絡(luò)獨(dú)立審計(jì)，加強(qiáng)工控信息安全管理和運(yùn)維工作；對(duì)于增量系統(tǒng)，可以在設(shè)計(jì)環(huán)節(jié)就增加信息安全整體防護(hù)措施，最終做到工業(yè)控制系統(tǒng)全生命周期的信息安全保障。