工控信息安全日益深入 核心数据防护仍是关键

　　随着各种信息泄露事件的爆发，个人领域开始越来越多的关注到智能机等移动终端的信息安全中。而在企业领域，工控系统的数据安全也日益受到关注。

　　在最近的一年里，从中国政府的关注到涉及关键基础设施相关行业自发的重视与实践，越来越多的企业加入到工业控制系统信息安全建设中来。与工控安全相关的各种国家标准、行业标准正在积极建设中，业主单位、安全厂商、工控厂商也都在不同程度的关注工控信息安全领域，大量的工控安全实验室落成。

　　各种工控信息安全产品的大量涌现，也客观的展现了我国工业信息安全产业得高速发展，但缺乏指导、闭门造车等问题也是我们不得不面对的迫切问题。

　　显然，工控系统的信息安全还有一段很长的路要走，同时，为了应对在发展过程中依然存在的各种信息安全威胁，先从数据本源开始防护是不错的选择。那数据本源防护该如何处理，又如何应对现代多样的防护需求呢？下面就让信息安全领域的专家山丽网安来告诉你答案吧。

　　工控信息安全大剖析

　　一、责任如何明确

　　信息安全挑战本身就是敏感话题，升级到国家安全层面的现实令问题更加敏感。国家互联网应急中心安全运行处王明华处长介绍，生产企业信息安全工作本着谁拥有、谁运营、谁负责的基本原则，是否涉及到国家力量的介入，有相应的“对等原则”。从受威胁对象上划分：如网络攻击针对政府、整个行业，或攻击实施者有组织有预谋，再或确认是国家行为的针对我国任何个体单位的攻击，这都是我国政府调动力量对等介入的依据。国家响应级别又将和安全受威胁程度相关，王明华处长把这类比为是个体感冒，或是流感爆发，还是SARS爆发的应对级别，非常形象易懂。

　　二、管理与技术需齐头并进

　　信息安全防护问题是技术问题，更是涉及人因的系统问题。如果系统有身份认证，工程师却嫌麻烦而不设密码，或设置极其简单的密码，那这一环节的“门”就是敞开的。

　　同时就工控领域使用的防护技术而言，由于工业安全在工业生产中自然是最基本的前提条件，但信息安全却是由于生产网络化、信息化、高集成自动化后形成的新问题。由于现场控制系统设备如PLC的计算能力有限，控制网络的传输速率也参差不齐，生产控制在功能上还要确保实时性的硬性指标，所以套用传统IT方法显然不太现实。

　　面对这种需求，灵活且对敏感数据和信息有本源防护作用的防护技术或是最好的选择。而多模加密技术正是这样一种选择。

　　多模加密技术采用对称算法和非对称算法相结合的技术。在确保了工控行业一些敏感信息收到高质量加密防护的同时，配合工控领域不同的防护需求，多模加密加密还能灵活应对，根据不同的需求采用不同的加密模式进行防护。

　　同时，作为这项技术使用的典型代表，山丽防水墙的多模加密技术还采用了基于系统内核的透明加密技术，保证了加密防护的便利性和完整性（加密与格式无关），从而进一步提高了数据和信息安全防护的质量。

　　最后，山丽网安为了应对个人以及移动终端平台的防护需求，推出了以多模加密技术为核心的密盘系列。这些带有加密功能的U盘同样可以针对不同的防护需求做出灵活的应对。

　　三、切勿只看重眼前的投入与收益

　　不出事就是好事，这也许是安全议题的一贯衡量标准。而艾默生过程管理公司全球石油石化业务负责人Larry先生对此的新近观点让人耳目一新。衡量工业信息安全的ROI（投入产出比）要从大处着眼。企业要实现的是生产、商业一体化，构建面向未来的物联网、大数据的智能决策平台，此愿景价值不可限量。作为实现这一目标必需的投资细节组成部分，工业信息安全投资量非常有限。

　　四、工控信息安全防护的未来之路

　　从需要改革的角度看，工控信息安全发展主要有3个方向：

　　1、从定制化向通用平台的转变。早期工业控制系统针对特定应用需求研发，各系统之间的软硬件产品通用性差;反观现有控制系统，其集成化程度越来越高，越来越多地采用通用的软硬件产品(芯片、操作系统等)。

　　2、纯硬件向软硬结合的转变，这降低了攻击工控系统的技术门槛。早期的工业控制系统主要依赖硬件实现，系统可扩展性差，现有控制系统在通用硬件计算平台基础上，大量采用软件方式实现;网络攻击的实施在某种程度上也是在原有系统平台上扩展实现新的功能，工业控制系统的可扩展性也决定了其攻击实现的难易程度。

　　3、单一设备控制向网络互联的转变。早期的工业控制系统主要在单一、独立的设备中实现，现在的工业控制系统则将大量设备互联，工业控制系统甚至与互联网相连，系统越来越复杂;同时网络互联使系统暴露更多的漏洞，为攻击的实现提供了更多潜在的技术渠道，也为攻击造成大规模破坏提供了条件。

　　从发展趋势来看，工控信息安全主要有以下三个方面：

　　一是高稳定性要求带来的系统技术陈旧。工业控制系统对系统的稳定性有很高的要求，一般情况下，一套系统建设完成之后，系统内的设备、平台不会轻易地做更新换代，造成当下很多的共控制系统仍在采用Dos、WindowsXP等操作系统平台;而对于已发现的安全漏洞若无法充分地验证，评估补丁程序对控制系统稳定性的影响，企业也会更倾向于选择不打补丁。不会像个人电脑一样，下载补丁后立刻打上。在这种条件下，如何保障信息系统安全稳定运行，是个很有难度的事情。

　　二是高实时性要求带来的防护系统性能挑战。互联网中我们也很强调性能，但跟工业控制系统相比就是小巫见大巫了。工业控制系统对系统的实时响应要求是普通互联网无法比拟的，因此也对各类防护系统提出了更高的性能要求。这造成一系列复杂的、智能化的分析、检测算法都无法满足工业控制系统的安全防护要求，限制了防护方法的应用。

　　三是高可靠性要求带来的检测高准确性目标。工业控制系统同时具有高可靠性要求，这样也要求防护系统的分析检测结果要具有明确的确定性，从而造成当前基于模糊匹配、聚类分析等智能算法的入侵检测、计算机免疫等各类模糊检测方法无法应用。

　　山丽结语：

　　工控系统是工业化时代重要的组成结构，而其中自动化的基础就是信息化。但同时，在这个信息技术和互联网高速发展的时代，信息化的基础却是信息安全，一个没有信息与数据安全保障的信息化企业，将面临巨大的考验和危机。而面对多样的数据安全防护问题，除了一一应对解决之外，采用对数据本源具有针对性防护效果的加密技术及其软件进行防护也是一种不错的选择！

关键字：信息安全 数据安全 数据加密