導讀：目前我國的工業控製係統安全防護能力還處在初級階段，極易受到黑客的攻擊。正如此次暴發的WannaCry
，萬(wan)一(yi)其(qi)變(bian)種(zhong)傳(chuan)播(bo)到(dao)工(gong)業(ye)係(xi)統(tong)主(zhu)機(ji)，最(zui)糟(zao)糕(gao)的(de)後(hou)果(guo)就(jiu)是(shi)工(gong)控(kong)主(zhu)機(ji)係(xi)統(tong)癱(tan)瘓(huan)，導(dao)致(zhi)生(sheng)產(chan)係(xi)統(tong)無(wu)法(fa)正(zheng)常(chang)運(yun)行(xing)

，也(ye)可(ke)能(neng)會(hui)導(dao)致(zhi)爆(bao)炸(zha)等(deng)事(shi)故(gu)。在(zai)兩(liang)化(hua)融(rong)合(he)加(jia)劇(ju)的(de)情(qing)況(kuang)下(xia)
，我(wo)國(guo)脆(cui)弱(ruo)的(de)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)急(ji)需(xu)受(shou)到(dao)保(bao)護(hu)。

5月12日20時左右
，新型“蠕蟲式”勒索軟件“WannaCry”在全球爆發
，波及範圍多達上百個國家
，涉及能源
、電力、交通
、醫療、教育等多個重點行業領域。

但dan據ju記ji者zhe了le解jie，工gong業ye係xi統tong在zai此ci次ci危wei機ji中zhong卻que有you驚jing無wu險xian。可ke業ye內nei人ren士shi表biao示shi
，事shi實shi上shang，目mu前qian我wo國guo的de工gong業ye控kong製zhi係xi統tong安an全quan防fang護hu能neng力li還hai處chu在zai初chu級ji階jie段duan，極ji易yi受shou到dao黑hei客ke的de攻gong擊ji。

正如此次暴發的WannaCry
，萬一其變種傳播到工業係統主機，最糟糕的後果就是工控主機係統癱瘓，導致生產係統無法正常運行
，也可能會導致爆炸等事故。

在兩化融合加劇的情況下，我國脆弱的工業控製係統急需受到保護。

安全隱患需警示

預警在前防範在先。在WannaCry爆發的第二天，國家工業信息安全發展研究中心就緊急發布《惡意勒索軟件WannaCry肆虐對我工業經信安全造成嚴重威脅》的預警通知，提到如果不加以防範和控製，勢必對我國工業領域信息安全造成極大威脅。

通知中提到，工業主機存在被攻擊的安全隱患。我國工業領域的工業主機（如操作站、工程師站
、曆史服務器等）廣泛使用了Windows通用型操作係統


，尤其是大量應用了默認開放445端口的Windows 2000和Windows XP係統
，極有可能被WannaCryliyongloudongjinxingruqingongji，bingxunsumanyanzhigongyeqiyeneiwangshenzhigongyekongzhiwangluo，daozhigongyezhujibeijiamisuodingyizhiyuwufazhengchangyunxing
，shenzhizaochengzhenggegongyeqiyeneiwangdetanhuan。

其次，工業企業相關敏感數據存在被鎖定
、篡改和銷毀的風險。一旦中招，該勒索軟件可以對目標係統和設備中的數十種類型的文件加密
，涉及文檔、數據庫、視頻、音頻、圖像
、製圖、壓縮包等幾乎所有文件類型，可能導致工業企業生產運行等敏感數據無法正常采集和讀取
，對工業生產造成嚴重經濟損失。

目前，多個國家的電力
、石油
、通信、交通運輸等領域受到嚴重影響

，例如，西班牙電力公司Iberdrola
、天然氣公司Gas Natural以及電信巨頭Telefonica等均遭受到勒索軟件的攻擊。通知中提到：“鑒於該惡意軟件傳播速度極快
、影響範圍極廣，我國重點工業領域已然受到波及
，如若不加防範和控製
，大範圍中招隻是時間問題。”

事實上，由於“兩網”融合，傳統信息網絡所麵臨的病毒

、木馬、入侵攻擊、拒ju絕jue服fu務wu等deng安an全quan威wei脅xie正zheng在zai向xiang工gong業ye控kong製zhi係xi統tong擴kuo散san。北bei京jing和he利li時shi係xi統tong工gong程cheng有you限xian公gong司si信xin息xi安an全quan係xi統tong架jia構gou師shi劉liu盈ying介jie紹shao道dao，工gong業ye控kong製zhi係xi統tong的de網wang絡luo威wei脅xie源yuan包bao括kuo網wang絡luo病bing毒du木mu馬ma攻gong擊ji、控製權限截獲、數據監聽及竊取

、數據篡改、通信健壯性攻擊等。

具體而言，網絡病毒木馬攻擊包括惡意代碼、APT攻擊病毒
、漏洞攻擊
、後門服務等攻擊類型

，通過已知的操作係統漏洞和後門、電子郵件攻擊和零日漏洞等方式對工控係統構成威脅；控製權限截獲則可通過操作係統或軟件漏洞獲取操作權限或更高級的權限、竊取或窮舉攻擊等手段暴力破解口令。

另(ling)外(wai)
，劉(liu)盈(ying)還(hai)表(biao)示(shi)

，工(gong)控(kong)係(xi)統(tong)大(da)部(bu)分(fen)采(cai)用(yong)明(ming)文(wen)傳(chuan)輸(shu)的(de)方(fang)式(shi)
，對(dui)於(yu)數(shu)據(ju)監(jian)聽(ting)缺(que)乏(fa)防(fang)護(hu)能(neng)力(li)，明(ming)文(wen)存(cun)儲(chu)的(de)數(shu)據(ju)信(xin)息(xi)風(feng)險(xian)較(jiao)大(da)。不(bu)僅(jin)如(ru)此(ci)
，控(kong)製(zhi)係(xi)統(tong)通(tong)信(xin)健(jian)壯(zhuang)性(xing)薄(bo)弱(ruo)，麵(mian)對(dui)網(wang)絡(luo)攻(gong)擊(ji)易(yi)造(zao)成(cheng)通(tong)信(xin)鏈(lian)路(lu)中(zhong)斷(duan)

，甚(shen)至(zhi)麵(mian)臨(lin)係(xi)統(tong)重(zhong)啟(qi)的(de)風(feng)險(xian)。

防禦由被動轉向主動

當前，智能工廠和數字化車間成為智能製造的標配，也將新一代信息技術貫穿於設計、生產
、管理
、服務等製造活動的各個環節

，信息深度自感知、智慧優化自決策、精準控製自執行等也成為智能製造的基本功能。

但需要強調的是，“智能製造的主要安全目標就是，保證係統功能不會失效和失控。”機械工業儀器綜合技術經濟研究所副所長梅恪強調說。

工業控製係統通常包括傳感器、轉換器、發射器


、控製器、執(zhi)行(xing)器(qi)等(deng)儀(yi)器(qi)儀(yi)表(biao)，工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)就(jiu)像(xiang)是(shi)這(zhe)些(xie)工(gong)業(ye)裝(zhuang)備(bei)的(de)大(da)腦(nao)，在(zai)它(ta)的(de)指(zhi)揮(hui)下(xia)
，大(da)量(liang)儀(yi)器(qi)儀(yi)表(biao)以(yi)子(zi)係(xi)統(tong)的(de)形(xing)式(shi)進(jin)行(xing)組(zu)合(he)，完(wan)成(cheng)各(ge)種(zhong)複(fu)雜(za)的(de)控(kong)製(zhi)任(ren)務(wu)。

近年來，工業控製係統安全事故層出不窮。去年卡巴斯基安全實驗室就揭露了針對工控行業的“食屍鬼”網絡攻擊活動，攻擊通過偽裝阿聯酋國家銀行電郵，使用魚叉式釣魚郵件，對中東和其它國家的工控組織發起了定向網絡入侵。

此次WannaCrylaixi
，zaiciweigongyekongzhixitongdeanquanfangkongqiaoxiangjingzhong。ruhegoujiananquandefanghutixi，ruhezhengqueyingduigongyekongzhixitongwangluoanquanwenti

，beishougongyeqiyedeguanzhu。

“過去傳統的網絡安全模型是封、堵、查、殺的被動防禦
，而當前應該借鑒傳統防禦方式建立主動防禦體係。”劉盈說。

工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)信(xin)息(xi)安(an)全(quan)領(ling)域(yu)資(zi)深(shen)專(zhuan)家(jia)李(li)鴻(hong)培(pei)也(ye)表(biao)示(shi)

，從(cong)攻(gong)防(fang)對(dui)抗(kang)的(de)角(jiao)度(du)
，係(xi)統(tong)總(zong)會(hui)被(bei)攻(gong)破(po)，也(ye)就(jiu)是(shi)說(shuo)，僅(jin)部(bu)署(shu)傳(chuan)統(tong)的(de)安(an)全(quan)防(fang)護(hu)機(ji)製(zhi)是(shi)不(bu)夠(gou)的(de)。

“針對係統缺陷的攻防，攻方占盡先機。”李鴻培說，“防(fang)禦(yu)成(cheng)功(gong)的(de)關(guan)鍵(jian)在(zai)於(yu)如(ru)何(he)及(ji)時(shi)洞(dong)察(cha)係(xi)統(tong)中(zhong)的(de)安(an)全(quan)缺(que)陷(xian)，並(bing)盡(jin)早(zao)主(zhu)動(dong)彌(mi)補(bu)。另(ling)外(wai)，如(ru)何(he)盡(jin)早(zao)發(fa)現(xian)攻(gong)擊(ji)行(xing)為(wei)並(bing)及(ji)時(shi)處(chu)置(zhi)
，縮(suo)小(xiao)係(xi)統(tong)被(bei)自(zi)由(you)攻(gong)擊(ji)的(de)時(shi)間(jian)窗(chuang)口(kou)。”

對於信息安全防護關鍵技術，劉盈重點介紹了幾種
，例如基於數字證書的身份驗證機製，對接入設備進行雙向驗證；采用對稱算法對係統通信數據進行加解密處理
；以及訪問控製技術
、入侵檢測技術、虛擬化隔離技術、可信啟動技術等。

中(zhong)國(guo)能(neng)源(yuan)建(jian)設(she)集(ji)團(tuan)有(you)限(xian)公(gong)司(si)工(gong)程(cheng)研(yan)究(jiu)院(yuan)副(fu)院(yuan)長(chang)許(xu)繼(ji)剛(gang)則(ze)以(yi)電(dian)廠(chang)為(wei)例(li)表(biao)示(shi)，電(dian)廠(chang)信(xin)息(xi)安(an)全(quan)的(de)防(fang)範(fan)重(zhong)點(dian)就(jiu)是(shi)設(she)置(zhi)好(hao)三(san)道(dao)重(zhong)要(yao)防(fang)線(xian)，第(di)一(yi)道(dao)是(shi)電(dian)廠(chang)信(xin)息(xi)係(xi)統(tong)與(yu)外(wai)部(bu)係(xi)統(tong)的(de)安(an)全(quan)防(fang)線(xian)

；第二道是電廠控製係統與產品供貨商的安全防線；第三道是電廠控製係統與電廠信息係統的安全防線。

許繼剛還針對電廠的主要信息係統的信息安全防禦重點指出，廠級監控信息係統（SIS）是(shi)電(dian)廠(chang)的(de)運(yun)行(xing)數(shu)據(ju)中(zhong)心(xin)
，處(chu)於(yu)電(dian)廠(chang)所(suo)有(you)自(zi)動(dong)化(hua)係(xi)統(tong)的(de)中(zhong)心(xin)位(wei)置(zhi)
，其(qi)防(fang)禦(yu)重(zhong)點(dian)就(jiu)是(shi)必(bi)須(xu)切(qie)斷(duan)所(suo)有(you)從(cong)實(shi)時(shi)或(huo)曆(li)史(shi)數(shu)據(ju)庫(ku)讀(du)取(qu)數(shu)據(ju)的(de)用(yong)戶(hu)係(xi)統(tong)對(dui)SIS的入侵。

上述人士普遍認為，當前急需加大在工業控製網絡安全設備的投入，防止相關企業受到攻擊，避免造成巨大損失。

工控係統產業或迎“金海”

此次WannaCry來襲，許多網絡安全企業都在第一時間做出應急處置方案。總之，勒索病毒爆發，網絡安全產業再迎催化。

“超過80%deguanjianjichusheshiyikaogongyekongzhixitongshixianzidonghuazuoye
，gongyekongzhixitongjiguangfanyingyongyushejiguojiminshengdegelingyu，suizhewangluokongjiananquanshangshengweiguojiazhanlve
，gongkongwangluoanquanxingyeyunhanjudadejiyu。”北京匡恩網絡科技有限責任公司技術委員會主席兼首席戰略官孫一桉說。

國內網絡安全產業現狀究竟如何？中國網絡安全產業聯盟理事長沈繼業此前已做了幾點概括：一是產業規模小
，廠商眾多並且背景多樣化，產品眾多
，整體水平不高並且同質化嚴重；二是行業競爭激烈，不良物種侵入，產業生態遭到嚴重破壞。但與此同時
，這又是一個熱門的行業，未來前景被各方看好。

事(shi)實(shi)上(shang)
，我(wo)國(guo)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)規(gui)模(mo)巨(ju)大(da)且(qie)嚴(yan)重(zhong)依(yi)賴(lai)進(jin)口(kou)，智(zhi)能(neng)化(hua)改(gai)造(zao)使(shi)得(de)生(sheng)產(chan)網(wang)絡(luo)從(cong)開(kai)放(fang)走(zou)向(xiang)互(hu)聯(lian)
，進(jin)一(yi)步(bu)加(jia)劇(ju)係(xi)統(tong)網(wang)絡(luo)安(an)全(quan)威(wei)脅(xie)，而(er)且(qie)大(da)規(gui)模(mo)的(de)新(xin)建(jian)工(gong)控(kong)係(xi)統(tong)依(yi)然(ran)缺(que)乏(fa)網(wang)絡(luo)安(an)全(quan)規(gui)劃(hua)和(he)設(she)計(ji)。

可(ke)喜(xi)的(de)是(shi)，國(guo)家(jia)已(yi)經(jing)注(zhu)意(yi)到(dao)這(zhe)一(yi)情(qing)況(kuang)
，高(gao)度(du)重(zhong)視(shi)並(bing)開(kai)始(shi)部(bu)署(shu)一(yi)係(xi)列(lie)旨(zhi)在(zai)提(ti)升(sheng)我(wo)國(guo)工(gong)控(kong)係(xi)統(tong)網(wang)絡(luo)安(an)全(quan)的(de)舉(ju)措(cuo)。中(zhong)央(yang)網(wang)絡(luo)安(an)全(quan)和(he)信(xin)息(xi)化(hua)領(ling)導(dao)小(xiao)組(zu)的(de)成(cheng)立(li)
，標(biao)誌(zhi)著(zhe)我(wo)國(guo)進(jin)入(ru)了(le)全(quan)麵(mian)防(fang)護(hu)網(wang)絡(luo)空(kong)間(jian)安(an)全(quan)的(de)戰(zhan)略(lve)時(shi)期(qi)。《中華人民共和國網絡安全法（草案）》和《中華人民共和國國家安全法》的相繼頒布，也使我國網絡安全立法達到了前所未有的高度。

在業界看來
，工業控製係統產業方興未艾
，誰先搶占這一片藍海，收獲的或許將是一片“金海”。