工業(yè)控制系統(tǒng)(Industrial Control Systems,ICS)们豌，是由各種自動(dòng)化控制組件和實(shí)時(shí)數(shù)據(jù)采集、監(jiān)測(cè)的過程控制組件共同構(gòu)成撰糠。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)具练、遠(yuǎn)程終端(RTU)、智能電子設(shè)備(IED)甜无，以及確保各組件通信的接口技術(shù)扛点。工業(yè)控制系統(tǒng)的操作系統(tǒng)、殺毒軟件安裝及升級(jí)更新岂丘、設(shè)備維修時(shí)筆記本電腦的隨便接入陵究、操作行為、控制終端奥帘、管理終端铜邮、服務(wù)器、網(wǎng)絡(luò)設(shè)備故障等都存在許多潛在的風(fēng)險(xiǎn)翩概。

　　工業(yè)控制系統(tǒng)被廣泛應(yīng)用于石油牲距、石化、冶金钥庇、電力牍鞠、燃?xì)狻⒚旱V评姨、煙草以及市政等領(lǐng)域难述，用于控制關(guān)鍵生產(chǎn)設(shè)備的運(yùn)行。這些領(lǐng)域中的工業(yè)控制系統(tǒng)一旦遭到破壞吐句，不僅會(huì)影響產(chǎn)業(yè)經(jīng)濟(jì)的持續(xù)發(fā)展胁后，更會(huì)對(duì)國(guó)家安全造成巨大的損害。網(wǎng)絡(luò)安全等級(jí)保護(hù)是網(wǎng)絡(luò)安全工作的基本制度嗦枢、基本國(guó)策;是開展網(wǎng)絡(luò)安全工作的基本方法;是信息化健康發(fā)展攀芯、維護(hù)國(guó)家網(wǎng)絡(luò)安全的根本保障，是國(guó)家意志的體現(xiàn)文虏，也是目前嚴(yán)峻的安全形勢(shì)下侣诺，亟待完成的基礎(chǔ)安全防護(hù)殖演，本文主要講述在工業(yè)控制系統(tǒng)中如何實(shí)現(xiàn)網(wǎng)絡(luò)安全等級(jí)保護(hù)的相關(guān)要求。

　　以下重點(diǎn)介紹技術(shù)類3級(jí)安全要求年鸳。

　　(1)物理環(huán)境安全

　　物理環(huán)境安全是保護(hù)工業(yè)控制系統(tǒng)中物理設(shè)備不受直接破壞趴久，保護(hù)的對(duì)象主要有機(jī)房、辦公場(chǎng)所搔确、重要和關(guān)鍵工業(yè)控制設(shè)備所在的區(qū)域彼棍。

　　(2)網(wǎng)絡(luò)和通信安全

　　在工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)邊界安全尤為重要，為了防止從外部網(wǎng)絡(luò)和內(nèi)部非重要網(wǎng)絡(luò)對(duì)重要網(wǎng)絡(luò)區(qū)域的入侵膳算，要求限制和監(jiān)測(cè)非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為座硕、內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為;對(duì)于無線網(wǎng)絡(luò)使用進(jìn)行嚴(yán)格控制，對(duì)所有參與無線通信的用戶(人員和軟件進(jìn)程)提供唯一性標(biāo)識(shí)和身份鑒別涕蜂，確保無線網(wǎng)絡(luò)通過受控的邊界防護(hù)設(shè)備接入內(nèi)部網(wǎng)絡(luò)坎吻。監(jiān)視和控制區(qū)域邊界通信，默認(rèn)拒絕所有非必要的網(wǎng)絡(luò)數(shù)據(jù)流宇葱，僅允許例外網(wǎng)絡(luò)數(shù)據(jù)流;邊界防護(hù)機(jī)制失效時(shí)，能阻止所有邊界通信(也稱故障關(guān)閉)并及時(shí)進(jìn)行報(bào)警刊头，但故障關(guān)閉功能的設(shè)計(jì)不應(yīng)干擾安全相關(guān)功能的運(yùn)行黍瞧。

　(3)設(shè)備和計(jì)算安全

　　測(cè)評(píng)對(duì)象為工業(yè)控制系統(tǒng)中的設(shè)備，包括網(wǎng)絡(luò)設(shè)備原杂、安全設(shè)備印颤、服務(wù)器、終端穿肄、數(shù)據(jù)庫(kù)管理系統(tǒng)年局、控制器、控制單元咸产、記錄裝置矢否、傳感器、執(zhí)行機(jī)構(gòu)脑溢、保護(hù)裝置等僵朗。

　　對(duì)工業(yè)控制系統(tǒng)中重要設(shè)備的用戶登錄、操作屑彻、行為验庙、資源使用情況等信息應(yīng)保留審計(jì)記錄，以便于發(fā)生安全事件時(shí)進(jìn)行分析社牲、跟蹤粪薛、追責(zé)。審計(jì)記錄應(yīng)包括事件的日期和時(shí)間搏恤、用戶违寿、事件類型湃交、事件是否成功及其他與審計(jì)相關(guān)的信息，并對(duì)審計(jì)記錄進(jìn)行保護(hù)陨界，按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月巡揍。另外，審計(jì)記錄產(chǎn)生時(shí)的時(shí)間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘產(chǎn)生菌瘪，以確保審計(jì)分析的正確性腮敌。

　　(4)應(yīng)用系統(tǒng)安全

　　測(cè)評(píng)對(duì)象為與企業(yè)資源相關(guān)的財(cái)務(wù)管理、資產(chǎn)管理俏扩、人力管理等系統(tǒng)的軟件和數(shù)據(jù)資產(chǎn)糜工，與生產(chǎn)制造相關(guān)的倉(cāng)儲(chǔ)管理、先進(jìn)控制录淡、工藝管理等系統(tǒng)的軟件和數(shù)據(jù)資產(chǎn)捌木，監(jiān)控軟件，控制程序等嫉戚。

　　(5)數(shù)據(jù)安全

　　工業(yè)控制系統(tǒng)應(yīng)采用校驗(yàn)碼技術(shù)或加解密技術(shù)保證重要數(shù)據(jù)在傳輸過程或存儲(chǔ)過程的完整性刨裆，采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)傳輸或存儲(chǔ)的保密性彬檀。

　　對(duì)于重要數(shù)據(jù)應(yīng)提供重要數(shù)據(jù)的本地?cái)?shù)據(jù)備份與恢復(fù)功能帆啃，提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地窍帝，提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余努潘，保證系統(tǒng)的高可用性。

　　綜上所述坤学，工業(yè)控制系統(tǒng)要達(dá)到等級(jí)保護(hù)的要求疯坤，必須從物理環(huán)境安全、網(wǎng)絡(luò)和通信安全深浮、設(shè)備和計(jì)算安全压怠、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全略号、安全管理等多個(gè)層面去落實(shí)相關(guān)規(guī)定刑峡，定期開展應(yīng)急演練、漏洞掃描修復(fù)玄柠、系統(tǒng)安全管理等防護(hù)工作突梦，三級(jí)工控系統(tǒng)每年進(jìn)行一次等級(jí)測(cè)評(píng)，對(duì)發(fā)現(xiàn)的安全問題及隱患羽利，依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)理論進(jìn)行安全整改加固宫患，消除潛在的安全風(fēng)險(xiǎn)，提高工控系統(tǒng)的綜合安全防護(hù)能力这弧。