数字化转型背景下扬州市工业控制系统信息安全工作现状及对策研究

数字化转型背景下扬州市工业控制系统信息安全工作现状及对策研究

陈磊

扬州市宝应县工业和信息化局

摘要：随着新一代信息技术的快速发展，工业控制系统在扬州市工业企业中得到广泛应用。这些系统不仅提高了企业智能化数字化水平，帮助企业实现了降本提质增效的目的，同时也带来了严重的安全隐患。本文以江苏省扬州市为例，通过发放调查问卷和走访检查，总结分析了数字化转型背景下扬州市工业控制系统信息安全防护工作现状及存在的主要问题，提出了进一步提升扬州市工控系统安全防护的对策建议，以期能够对未来扬州市及其他相似城市的工控安全防护工作提供参考和借鉴。

关键词：工业控制系统；信息安全；扬州市

一、引言

工业控制系统作为工业生产运行的基础核心，在现代企业生产管理中发挥着重要作用。随着江苏省制造业智能化改造数字化转型网络化联接工作的深入推进，工业控制系统逐步实现开放互联，也面临诸多新的安全隐患，给企业发展带来了严重威胁。当前，国内学者多侧重于研究全国工业控制系统信息安全防护现状和问题，而对地方性、区域性工业控制系统信息安全防护问题研究偏少。扬州市位于江苏省中部，南临长江，在江苏省发展大局中起着承南启北的重要作用。因此，研究扬州市工业控制系统信息安全防护工作具有重要的理论和现实意义。本文通过对扬州市工业控制系统信息安全防护工作现状进行调研，分析了存在的主要问题，对进一步提升扬州市工控安全防护能力提出对策建议。

     二、扬州市工控系统信息安全工作现状

近年来，扬州市深入贯彻落实国家和省工业信息安全工作部署，不断强化工作举措，加快推进工控安全建设，工控安全防护工作取得了明显成效：

（一）工控安全工作机制逐步健全。成立了信息安全工作领导小组，明确了各级部门的工作职责，上下联动、齐抓共管、合力推进工控安全保障体系建设，有效落实工控安全防护措施。建立了工控安全应急工作机制，制定了《扬州市工业信息安全事件应急预案（试行）》，做好信息安全突发事件的预防和应对准备工作。建立网络安全监测、预警、阻断和通报制度，强化日常监测预警和安全漏洞通报工作，提醒企业定期对联网电子屏管理系统、企业网站、水电热气、设备生产管理系统等重要信息系统开展风险隐患排查和安全加固,加强防黑客、防入侵、防攻击等安全防护措施。建成了扬州市工业互联网安全服务平台，已接入江苏省工业信息安全公共服务平台，能够为全市工业企业提供安全在线监测、漏洞扫描、威胁预警、态势感知、漏洞通报等服务，该平台已为石油化工、机械制造、电子信息和医药化工4个行业的近30家重点工业企业提供7×24小时全天候的安全监测服务。强化重大活动、节假日和突发事件期间工控系统信息安全保障工作，在全国“两会”、疫情防控、防汛防台风、国庆、春节等国家重大活动、节假日、突发事件期间对工控系统安全防护工作进行安排部署。

（二）信息安全宣贯培训扎实开展。扬州市高度重视工业控制系统信息安全的宣传培训工作，通过多种形式提升相关人员的安全意识和技能水平。组织企业参加国家和省市县举办的工业信息安全培训活动，举办数字人才暨工业信息安全专题培训、扬州市工业互联网安全深度行、扬州市工业信息安全培训县市行、扬州市标识应用区县行、网络和数据安全政策技能培训等活动，宣讲工业信息安全防护知识，指导企业提升相关人员的专业技能和应对能力，提高全社会对工控系统信息安全的关注度和认识水平。组织开展国家网络安全宣传周、国家无线电管理宣传月、防范电信网络诈骗进村（社区）宣讲、网信普法进企业、网络“清朗-护企”行动、网络市场监管专项行动（网剑行动）等系列活动，发放宣传资料，普及网络安全知识，规范网络市场秩序，增强群众信息安全防护意识，提升网络和数据安全保障能力。

（三）事件应急处置能力持续提升。多措并举强化企业事前防范、事中监测和事后应急安全保障能力，网信、公安、工信等部门，每年联合组织开展“网安”扬州行动暨实战攻防演练、“天翼云杯•护网”攻防实战演习、网络和数据安全实战攻防演练等活动，定期组织信息安全服务商、重点工业企业信息安全负责人参加省市工业信息安全事件应急演练，加强重点企业网络安全风险漏洞隐患排查和处置，提高企业应对网络安全突发事件综合处置能力。开展工业企业信息安全建设情况调查，了解工业企业信息安全建设情况。组织开展工控安全检查，及时发现并整改安全隐患。委托工控安全服务机构对重点企业和单位的关键设备进行安全测评和风险评估，确保系统的安全稳定运行。

（四）典型示范引领效应不断显现。发挥政策激励作用，培育一批示范项目，支持企业争创省工业信息安全防护星级企业、网络安全分类分级管理企业、工业信息安全防护应用试点示范等项目。开展工业信息安全防护自评估、整改提升，组织安全服务机构为企业提供免费的工控安全诊断服务，帮助企业了解工业信息安全情况，及时采取安全防护措施，目前全市已培育62家省工业信息安全防护星级企业。组织了30多家重点工业互联网企业开展网络安全分类分级管理工作，指导企业落实网络安全防护措施，进一步提升网络安全保障能力。培育信息安全服务机构，扬州大自然网络信息有限公司入选2021年省信息安全风险评估机构备案目录。开展典型案例警示教育，扬州市还通过通报典型信息安全事件和案例，让企业认识到信息安全事件的严重危害性，有助于企业提高防范意识。

（五）企业信息安全建设步伐加快。通过对143家重点工业企业信息安全建设情况调研和资料查阅发现，扬州市工控系统信息安全建设取得了较大进展，主要体现在以下几个方面：一是生产管理系统普及。许多企业已经不同程度应用了PLC、ERP、MES、DCS、SCADA等生产管理系统，提升企业生产管理效率，为工控系统信息安全提供了重要的数据支持。应用系统基本上都已组网，约有93%的企业采用本地物理机房部署应用系统，约有29%的企业采用本地物理机房和云端同时部署应用系统。约93%的企业采用自行运维，少数企业委托第三方运维。二是管理机制日益完善。规范网络和设备的维护管理，约71%的企业有专职或兼职的网络安全管理部门，企业均有兼职或专职的网络安全工作人员。已经建立、正在建立网络安全管理制度的企业比例分别为50%、29%，约64%的企业严格执行或大部分执行管理制度，有71%的企业建立了应急预案，有57%的企业每年开展应急演练活动。三是网络安全意识提升。网络安全建设意愿有所提升，迫切需要、有意愿开展网络安全建设的企业比例分别为28%和43%。工业互联网企业、行业骨干工业企业参加过政府部门组织的工控系统信息安全、网络安全培训活动，约有93%的企业每年均有工控安全建设投入。约有43%的企业开展了全部网络安全建设，并根据业务风险逐步完善体系化建设；有14%的企业开展了部分重点工控系统安全建设。央企、龙头企业和外企非常重视工控系统信息安全工作，基本上已完成体系化建设，拥有比较完善的工控系统安全防护措施，每年有超过百万元的工控系统信息安全建设投入，建立了信息安全保密管理制度。四是防护能力不断增强。许多企业积极采用各种网络安全技术来提升安全防护能力，超过93%的企业已按业务类型对网络边界进行分区，办公网与生产网物理隔离，网络设有防火墙，经常进行维护加固。部分企业租用通信运营商的机房，有机房的企业单独设立了服务器机房，在服务终端安装了内嵌防病毒软件、应用与威胁防护软件。企业根据需要购置了网络安全设备，安装了杀毒软件，采用防火墙、漏洞扫描、数据备份、入侵防御、身份鉴别准入、日志审计、堡垒机、上网行为管理等中的一项或多项网络安全设备来防止外部攻击。

三、扬州市工控安全面临的主要问题

    近些年来，扬州市在工业控制系统信息安全防护方面取得了明显成效，但还存在一些问题，主要表现为：

（一）工控安全防护意识不高。一些企业特别是广大中小企业，对工控系统安全重视不够，认识不足，安全主体意识不强。调查发现，约有7%的企业暂不考虑工控安全建设，约有22%的企业工控安全建设意愿一般。企业工控安全建设资金投入偏少，部分企业每年仅有几万元资金投入，采取简单的防护措施，甚至没有进行数据备份和防入侵软件，工控系统的安全十分脆弱，工控系统的安全十分脆弱。例如扬州某电缆企业使用国外某知名控制系统，未进行数据备份，受勒索病毒攻击，造成数据信息丢失。此外，不少信息系统使用人员安全意识不强，没有受到工控安全知识培训，在管理上缺乏主动性和自觉性。部分企业还存在使用弱口令、系统漏洞更新修补不及时等问题，降低了工控系统的安全性。

（二）工控安全管理机制不健全。多数中小企业未建立工控安全管理制度和应急预案，没有专门或兼职的网络安全管理部门，有些企业虽然有专门或兼职的网络安全管理部门，但无跨部门的工作机制。现行制度未能有效执行，工控安全管理混乱，有些企业虽然建立了安全管理制度，但未实际执行或小部分执行，存在移动存储设备、手机连接和未授权接入设备随意接入使用的现象，操作人员在使用时也可能出现失误，容易造成生产数据等敏感信息外泄、病毒入侵等风险。

（三）工控安全支撑产品不足。扬州市工控安全专业服务机构偏少，目前仅有扬州大自然公司1家企业，不能有效服务全市工业企业。大部分企业仅配置了杀毒软件、数据备份、防火墙，工控安全防护手段单一，缺乏多种工控安全软件配合使用。超过50%的企业在使用国外大型厂商的工业控制系统，国产工控系统应用较少，安全性受制于人，容易成为外部病毒黑客渗透攻击的目标。

（四）工控安全专业人才短缺。工控安全防护从业人员需要具备信息安全、机械、网络、通信工程等多学科知识，现有的专业人才无法满足需求，工控安全人才短缺已成为企业面临的普遍问题。大部分企业的工控系统安全工作是由兼职的网络安全人员或者委托第三方信息安全机构进行维护，这制约了企业工控安全人员的培养，且很有可能不能及时应对突发的工控安全问题。

四、提升扬州工控安全的对策建议

（一）健全工控安全管理机制。加大工控安全防护的宣传力度，努力营造工控安全的良好环境和氛围。工业企业要增强工控安全责任意识，加快完善工控安全管理制度，制定突发事件应急预案，严格管控涉密信息系统，坚持“制度管人”，明确责任部门和人员，细化工作措施和流程，严格落实工控安全管理制度，严禁移动设备随意接入工控系统，定期检查工控安全防护措施落实情况，及时排除安全隐患。工控安全服务机构要提升服务能力，帮助工业企业和政府部门健全工控安全规章制度，配合检查评估安全防护状况并给出整改建议。政府部门要强化协调机制，落实好工控安全监督检查、风险报告、信息共享和风险研判处置等机制，定期开展工控安全检查，及时发布通报提醒，指导企业做好工控安全防护工作。

（二）加强工控安全日常监管。全面加强工控安全检查，摸清家底，找出漏洞，督促整改。按照“谁主管、谁负责”、“谁使用、谁管理、谁负责”的原则，明确责任人和职责，如实登记设备故障和维护情况，及时跟踪处理。对信息安全文件资料进行区别管控，有效管控设备和用户访问网络资源，加强设备定期维护。鼓励企业定期开展工控安全风险评估，全面排查信息系统及连接的设备可能存在的安全漏洞，条件允许的可以委托第三方专业机构进行信息安全检测，根据检测评估报告，及时发现和修复安全漏洞，确保工控系统安全稳定运行。

（三）提升工控安全保障能力。一是引培信息安全服务机构。培育本地工业信息安全服务机构，鼓励信息安全示范企业输出解决方案与管理经验，为同类企业尤其是中小企业提供安全保障服务；支持国内大型信息安全服务商落户扬州，在扬州设立分支机构、区域总部。二是加强工控安全引导。政府部门要定期开展重点工业企业工控安全风险评估和检查工作，开展省级工业信息安全防护星级企业培育工作，发挥示范引领带动作用，及时梳理总结推广可复制的工控安全防护典型案例，进一步提升工控安全防护能力和水平。三是加强网络安全技术防范。出台保障工控安全的资金支持政策，鼓励企业不断加大工控系统和网络信息安全管理、维护、更新等方面的资金投入，采用多种安全防护工具和手段，及时对服务器的系统和防病毒软件升级、实时监测木马病毒、安装操作系统补丁，移动存储设备限制使用等安全防护措施，发现问题立即解决，做好每日网络安全日志。加强密码管理，全面排查更换弱口令，不同的系统使用不同的混合密码，定期更换混合密码。及时备份重要数据和文件，创建系统恢复文件，防止重要数据丢失。

（四）加快培养工控安全人才。开展人才与企业对接活动，鼓励工业企业加强与高职院校合作，联合建立工控安全应用型人才实训基地，联合培养工控安全专业人才。完善人才引进政策，将工业安全人才纳入人才引进计划，依托国家人才计划、江苏省“双创计划”和扬州市“绿扬金凤计划”等项目，大力引进工业信息安全专业人才。开展企业、院校人才供需对接活动，帮助企业引进工业信息安全人才。加强工控安全教育培训，定期举办工控安全培训活动，进一步提高从业人员安全防范技能。工业企业要对入职员工、在岗职工开展工控安全教育培训，使员工意识到工控安全保护的重要性，增强信息安全防护意识；对离职员工和兼职网络安全工作人员，要签署工控安全保密协议，确保信息不泄露。各级政府部门、行业协会等单位要经常组织开展工控安全形势、相关法规政策培训，提升企业和政府部门人员网络安全意识和防护水平，提升工控系统突发事件应急处置能力。

“工控系统安全是护航新型工业化的必要条件”，加强工控安全建设为支撑扬州工业高质量发展和产业强市建设奠定基础。扬州市应持续加强工业信息安全建设，努力消除工控安全隐患，不断提升企业工控安全防护能力，为全市工业经济的健康发展提供安全保障。

参考文献

[1] 工业和信息化部.《工业和信息化部关于印发工业控制系统网络安全防护指南的通知》，2024年1月19日，工信部网安〔2024〕14号

[2] 李娟丽.关于加强企业信息安全管理的探索[J].决策与信息,2016(6)

[3] 刘冬、程曦、杨帅锋.深度解析我国工业信息安全现状、挑战及对策建议[J].信息安全与通信保密，2019（8）

[4]张婉妮.企业信息安全管理现状与策略研究[J].现代工业经济和信息化,2022（1）

[5] 李浩伟.河北省工业控制系统信息安全工作现状及发展思考[J].工业信息安全，2022（5）

[6]蒋艳. 护航新型工业化高质量发展 切实提升工业控制系统网络安全能力[J].中国网信，2024（8）

1