工业控制系统信息安全是当前控制系统和信息安全行业的热点和难点,也是国家和行业用户高度重视的问题。但令人关切的是,由于现有的信息安全产品的开发人员、知识背景、开发环境是针对IT系统的,缺乏对工业控制系统以及特定行业工作流程的了解,这决定了开发工业控制系统安全防护产品会遭遇很大的困难。同样,信息安全厂商也面临类似的困境。因此,弥合信息安全与工控系统之间的这一鸿沟成为工业控制系统信息安全的当务之急,工业控制系统厂商与信息安全厂商的融合是一条必经之路。为此,中央研究院信息化所袁晓舒分析认为,融合途径可有以下几种方式:研发融合。工业控制系统和信息安全厂商可以也应当从研发层面展开合作和交流,通过研发层面的融合实现工业控制系统的本质安全。
方案融合。工业控制系统厂商和信息安全厂商应从方案设计层面加强合作,在纵深防御的基础上对一旦发生安全生产事故后果最为严重的现场设备的控制系统区域进行重点监控和防护,对新建的控制系统从设计时就考虑其信息安全防护和运维,对老系统的信息安全防护则应充分考虑保证生产的连续和平滑过渡。
产品融合。产品的融合应从三个层面进行:一是工业控制系统产品应从开发阶段就引入信息安全防护设计;二是信息安全产品应在开发中采用新的软硬件技术并进行充分的测试;三是信息安全监控和管理系统能够采集末端现场设备关键数据、控制系统数据、IT系统数据并进行综合分析和预警,工业控制系统能够反应信息安全监控和管理系统的分析与预警,并根据预警进行动作。
服务融合。服务融合的目标在于能在传统行业实现信息安全运维和工业控制系统运维的融合,传统行业的信息安全运维力量和IT行业相比更加薄弱,控制系统的信息安全运维难度又高于IT系统。客户、信息安全厂商、IT厂商和控制系统厂商均难以独立实现以保障安全运行为目标的工业控制系统信息安全运维。