工业40进程中的工控系统信息安全

　　工业4.0悄然而起

　　说起工控系统的信息安全，必须看到工控系统的发展，以德国的Industrie 4.0为代表的第四次工业革命已经悄然而起。

　　德国人认为第四次工业革命是指：机械化+电气化+IT技术+Internet技术。第四次工业革命就是第三次工业革命的成果上再加上互联技术。必须说明这里所要求的互联是“Things and Services”的互联，Things可理解为物和事情;Services泛指一切服务。所以，第四次工业革命首先要建设“物事互联”与“服务互联”。这意味着有史以来第一次将资源、信息、物事、人和对这一切的服务进行互联。在the Internet of Things and Services的支持下革新、改造整个工业及制造业。制造业中的智能机器、存储系统和生产设施将融入the Internet of Things and Services中，成为信息-物理系统(Cyber-Physical System，CPS)。

　　中国应该尽快地构建自己的第四次工业革命纲领——中国工业4.0，尽快地在工业领域特别是制造业中构建起自己的CPS，在系统各层面实现信息与物理实体的融合，应该用中国的智能产品、智能生产流程主导中国的市场。

　　找准风险落实防护定位

　　由工业4.0可以看出，工控系统必将与信息化融合。

　　普度大学很早就提出了自动化的经典五层普度模型(如下图所示)，这个模型其实把自动化与信息化已经关联在了一起。

　　普度模型

　　工控系统的信息安全问题，在各层上都面临着来自不同方面的威胁，详细如下图所示。企业的管理信息层面临来自互联的攻击，也有企业内部恶意的攻击通过企业进入工控，一直到现场络;在控制层有系统管理人员非法操作，最严重的要属第三方运维人员的对现场设备的操作;还有远程拨号的攻击，有部分现场还有野外搭线的威胁。

　　国际NIST SP《工业控制系统安全指南》中已经详细描述了各种威胁来源，也从策略程序、平台及络等方面讲述了可能的风险和脆弱性。

　　当然不同行业面临的威胁和风险重点不同，比如军工行业主要强调工控和涉密连接时的信息保密;石化强调DCS系统生产的连续和非异常;电力强调SCADA调度系统的不中断等等。

　　总体上，明晰面临的风险才能进行有针对性的防护。信息安全防护的整体架构性必须要跟工业自动化体系保持一致，方可成为同一体系，因此在GT/T 26 工业企业信息化集成系统规范中提到了工业企业信息化集成总体架构。