工業(yè)控制系統(tǒng)(Industrial Control Systems,ICS)，是由各種自動化控制組件和實時數據采集、監(jiān)測的過程控制組件共同構成。其組件包括數據采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED)，以及確保各組件通信的接口技術。工業(yè)控制系統(tǒng)的操作系統(tǒng)、殺毒軟件安裝及升級更新、設備維修時筆記本電腦的隨便接入、操作行為、控制終端、管理終端、服務器、網絡設備故障等都存在許多潛在的風險。

　　工業(yè)控制系統(tǒng)被廣泛應用于石油、石化、冶金、電力、燃氣、煤礦、煙草以及市政等領域，用于控制關鍵生產設備的運行。這些領域中的工業(yè)控制系統(tǒng)一旦遭到破壞，不僅會影響產業(yè)經濟的持續(xù)發(fā)展，更會對國家安全造成巨大的損害。網絡安全等級保護是網絡安全工作的基本制度、基本國策;是開展網絡安全工作的基本方法;是信息化健康發(fā)展、維護國家網絡安全的根本保障，是國家意志的體現，也是目前嚴峻的安全形勢下，亟待完成的基礎安全防護，本文主要講述在工業(yè)控制系統(tǒng)中如何實現網絡安全等級保護的相關要求?！　?/p>

　　以下重點介紹技術類3級安全要求。

　　(1)物理環(huán)境安全

　　物理環(huán)境安全是保護工業(yè)控制系統(tǒng)中物理設備不受直接破壞，保護的對象主要有機房、辦公場所、重要和關鍵工業(yè)控制設備所在的區(qū)域。

　　(2)網絡和通信安全

　　在工業(yè)控制系統(tǒng)中的網絡邊界安全尤為重要，為了防止從外部網絡和內部非重要網絡對重要網絡區(qū)域的入侵，要求限制和監(jiān)測非授權設備私自聯(lián)到內部網絡的行為、內部用戶非授權聯(lián)到外部網絡的行為;對于無線網絡使用進行嚴格控制，對所有參與無線通信的用戶(人員和軟件進程)提供唯一性標識和身份鑒別，確保無線網絡通過受控的邊界防護設備接入內部網絡。監(jiān)視和控制區(qū)域邊界通信，默認拒絕所有非必要的網絡數據流，僅允許例外網絡數據流;邊界防護機制失效時，能阻止所有邊界通信(也稱故障關閉)并及時進行報警，但故障關閉功能的設計不應干擾安全相關功能的運行。

　　(3)設備和計算安全

　　測評對象為工業(yè)控制系統(tǒng)中的設備，包括網絡設備、安全設備、服務器、終端、數據庫管理系統(tǒng)、控制器、控制單元、記錄裝置、傳感器、執(zhí)行機構、保護裝置等。

　　對工業(yè)控制系統(tǒng)中重要設備的用戶登錄、操作、行為、資源使用情況等信息應保留審計記錄，以便于發(fā)生安全事件時進行分析、跟蹤、追責。審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息，并對審計記錄進行保護，按照規(guī)定留存相關的網絡日志不少于六個月。另外，審計記錄產生時的時間應由系統(tǒng)范圍內唯一確定的時鐘產生，以確保審計分析的正確性。

　　(4)應用系統(tǒng)安全

　　測評對象為與企業(yè)資源相關的財務管理、資產管理、人力管理等系統(tǒng)的軟件和數據資產，與生產制造相關的倉儲管理、先進控制、工藝管理等系統(tǒng)的軟件和數據資產，監(jiān)控軟件，控制程序等。

　　(5)數據安全

　　工業(yè)控制系統(tǒng)應采用校驗碼技術或加解密技術保證重要數據在傳輸過程或存儲過程的完整性，采用加密或其他保護措施實現系統(tǒng)管理數據、鑒別信息和重要業(yè)務數據傳輸或存儲的保密性。

　　對于重要數據應提供重要數據的本地數據備份與恢復功能，提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地，提供重要數據處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。

　　綜上所述，工業(yè)控制系統(tǒng)要達到等級保護的要求，必須從物理環(huán)境安全、網絡和通信安全、設備和計算安全、應用系統(tǒng)安全、數據安全、安全管理等多個層面去落實相關規(guī)定，定期開展應急演練、漏洞掃描修復、系統(tǒng)安全管理等防護工作，三級工控系統(tǒng)每年進行一次等級測評，對發(fā)現的安全問題及隱患，依據網絡安全等級保護理論進行安全整改加固，消除潛在的安全風險，提高工控系統(tǒng)的綜合安全防護能力。