長期以來，工業控製係統被認為是相對專業和封閉的、隻(zhi)有(you)少(shao)數(shu)具(ju)有(you)專(zhuan)業(ye)知(zhi)識(shi)背(bei)景(jing)的(de)技(ji)術(shu)人(ren)員(yuan)才(cai)能(neng)夠(gou)了(le)解(jie)和(he)接(jie)觸(chu)到(dao)的(de)控(kong)製(zhi)係(xi)統(tong)，加(jia)之(zhi)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)往(wang)往(wang)處(chu)於(yu)物(wu)理(li)隔(ge)離(li)狀(zhuang)態(tai)
，所(suo)以(yi)一(yi)般(ban)地(di)認(ren)為(wei)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)不(bu)太(tai)會(hui)受(shou)到(dao)信(xin)息(xi)安(an)全(quan)方(fang)麵(mian)的(de)威(wei)脅(xie)。但這些年來，隨著信息化的推動和工業化進程的加速，越來越多的計算機和網絡技術應用於工業控製係統，在為工業生產帶來極大推動作用的同時，也帶來了諸如木馬
、病毒、網絡攻擊等安全問題。尤其是近期“棱鏡門”事件曝光、工行6月yue發fa生sheng係xi統tong升sheng級ji事shi件jian，信xin息xi安an全quan已yi被bei上shang升sheng至zhi國guo家jia戰zhan略lve高gao度du。那na麼me
，如ru何he更geng好hao地di保bao障zhang工gong業ye控kong製zhi係xi統tong的de安an全quan，如ru何he更geng有you力li地di免mian於yu外wai部bu威wei脅xie
，是shi我wo們men在zai推tui動dong兩liang化hua深shen度du融rong合he的de進jin程cheng中zhong不bu斷duan思si索suo和he探tan討tao的de問wen題ti。

　　“工業控製係統信息安全正麵臨著嚴重的威脅。”工gong業ye和he信xin息xi化hua部bu信xin息xi安an全quan協xie調tiao司si副fu司si長chang歐ou陽yang武wu在zai日ri前qian召zhao開kai的de首shou屆jie工gong業ye信xin息xi安an全quan高gao峰feng論lun壇tan上shang指zhi出chu，隨sui著zhe計ji算suan機ji和he互hu聯lian網wang的de發fa展zhan
，特te別bie是shi信xin息xi化hua與yu工gong業ye化hua的de深shen度du融rong合he以yi及ji物wu聯lian網wang的de快kuai速su發fa展zhan

，工gong業ye控kong製zhi係xi統tong的de安an全quan問wen題ti越yue來lai越yue突tu出chu。

　　目前
，我國如石油、電力、水利等部門均有各自的工業控製係統，若受到黑客攻擊，後果不堪設想。據工業和信息化部電子科學技術情報研究所同日發布的《2013年中國ICS信息安全市場研究》報告顯示，目前國內工業控製係統信息安全在工業擬態網、控製設備、應ying用yong軟ruan件jian方fang麵mian均jun存cun在zai較jiao大da隱yin患huan，其qi中zhong化hua工gong與yu石shi化hua行xing業ye因yin控kong製zhi係xi統tong的de安an全quan隱yin患huan受shou到dao的de損sun失shi最zui大da。報bao告gao同tong時shi認ren為wei，未wei來lai的de工gong業ye控kong製zhi係xi統tong信xin息xi安an全quan將jiang著zhe重zhong於yu安an全quan審shen計ji及ji運yun營ying服fu務wu方fang麵mian。2012年
，國內工業控製係統信息安全市場已達11億元
，未來5年還將保持年均15%的增長速度
，其中交通係統將是發展最快領域。

　　攸關國計民生

　　近年來，各個工業行業頻發的信息安全事故表明，一直以來被認為相對安全、相對封閉的工業控製係統已經成為不法組織和黑客的攻擊目標

，黑客攻擊正在從開放的互聯網向封閉的工控網蔓延。

　　工業控製係統包括過程控製、數據采集係統（SCADA）、分布式控製係統（DCS）、程序邏輯控製（PLC）以及其他控製係統等，目前已廣泛應用於電力

、水力
、石化、醫藥、食品以及汽車、航天等工業領域
，成為國家關鍵基礎設施的重要組成部分，關係到國家的戰略安全。據不完全統計，超過80%涉及國計民生的關鍵基礎設施依靠工業控製係統來實現自動化作業
，工業控製係統已成為國家安全戰略的重要組成部分。

　　“經濟越發達，科技越進步，關鍵基礎設施中工業控製係統的地位和作用就越重要。”歐陽武表示。無論是高速鐵路、民用航空，還是火電
、水電、dianlideshupeixianyijishiyoutianranqideguandaoyunshu，yihuogongyeshengchanxitongshiyouhuagongyijixianjinzhizaoxitongdeng，douhegongyekongzhixitongfenbukai。zhexiejichusheshidegongyekongzhixitongyidanshoudaogongji
，bujinhuizaochengjudadejingjisunshi
，haihuiduirenmindeshengminganquanzaochengweixie。

　　在此不得不提及席卷全球工業界的病毒——“震網”。2010年6月，德國安全專家發現可攻擊工業控製係統的震網病毒。截至當年9月底，該病毒感染了全球超過45000個網絡，其中伊朗最為嚴重，直接造成其核電站推遲發電。震網病毒專門針對西門子公司的SIMATICWinCC監控與數據采集（SCADA）係統進行攻擊
，通過直接篡改PLC控製代碼實施。而SIMATICWinCC監控與數據采集（SCADA）係統在中國的多個重要行業應用廣泛，如鋼鐵、電力
、能源、化工等行業。

　　“工業控製係統信息安全問題不但在能源、化工
、石化

、交通運輸等國民經濟關鍵領域要關注，對於中小型製造企業方麵更要引起重視。”和利時科技集團技術總監朱毅明表示。

　　專(zhuan)家(jia)建(jian)議(yi)，在(zai)關(guan)係(xi)到(dao)國(guo)計(ji)民(min)生(sheng)與(yu)國(guo)家(jia)安(an)全(quan)的(de)重(zhong)大(da)項(xiang)目(mu)中(zhong)，對(dui)國(guo)外(wai)品(pin)牌(pai)的(de)選(xuan)擇(ze)需(xu)要(yao)更(geng)加(jia)謹(jin)慎(shen)，並(bing)對(dui)中(zhong)國(guo)自(zi)主(zhu)研(yan)發(fa)的(de)產(chan)品(pin)有(you)足(zu)夠(gou)的(de)重(zhong)視(shi)。另(ling)有(you)分(fen)析(xi)人(ren)士(shi)認(ren)為(wei)，在(zai)“棱鏡門”等事件的持續發酵下，未來進口替代將是投資工控信息安全產業的主要因素，未來3年，國內信息安全有望保持20%左右的複合增長率。

　　縱深防護應對

　　中國海洋石油總公司高級工程師郭強在談到工控係統麵臨的威脅時說，工業控製係統麵臨的威脅是多樣化的，一方麵，敵對政府
、恐怖組織
、商業間諜、內部不法人員、外部非法入侵者等對係統虎視眈眈

；另一方麵，係統複雜性、人為事故
、操作失誤
、設備故障和自然災害等也會對工業控製係統造成破壞。

　　盡管工業控製係統信息安全問題無法避免，但也有規可循。西門子（中國）有限公司信息安全專家分析近些年出現的工控係統安全問題認為：“除少數特別複雜的攻擊外，主要的問題還是集中在工業PC感染IT病毒後導致工業應用失效，或影響到工業擬太網，其次是各種工控設備、應用在部署中普遍采用弱口令
、空口令、靜態口令，再有就是利用工程師站上網或從事其他無關用途等管理脆弱性所帶來的安全問題。”

　　為了夯實工業控製係統脆弱的防護體係
，以西門子和施耐德電氣為代表的工業控製係統廠商在2012年都推出了以縱深防禦為核心的工業控製係統信息安全解決方案
，他們認為縱深防禦是實現工業控製係統信息安全的最佳方法。

　　施耐德電氣工業事業部工業信息安全技術總監王斌介紹，縱深防禦體係包括設備級

、係統級和管理級
，涉及安全計劃
、網絡分隔、邊界保護、網段分離
、設備加固以及監視和更新6大安全防禦步驟。

　　完善管理製度

　　歐ou陽yang武wu表biao示shi，我wo國guo的de工gong業ye控kong製zhi係xi統tong信xin息xi安an全quan起qi步bu相xiang對dui較jiao晚wan，目mu前qian工gong業ye控kong製zhi係xi統tong的de安an全quan防fang護hu能neng力li還hai比bi較jiao薄bo弱ruo，有you很hen多duo工gong作zuo需xu要yao做zuo。加jia快kuai工gong業ye控kong製zhi係xi統tong信xin息xi安an全quan的de製zhi度du建jian設she，製zhi定ding工gong業ye控kong製zhi係xi統tong信xin息xi安an全quan的de標biao準zhun
，提ti升sheng工gong業ye控kong製zhi係xi統tong信xin息xi安an全quan的de保bao障zhang能neng力li等deng，都dou是shi需xu要yao著zhe力li的de工gong作zuo方fang麵mian。

　　缺que乏fa完wan整zheng有you效xiao的de安an全quan管guan理li是shi當dang前qian我wo國guo工gong業ye控kong製zhi係xi統tong的de難nan題ti之zhi一yi。記ji者zhe通tong過guo聽ting取qu多duo家jia企qi業ye發fa言yan發fa現xian，雖sui然ran國guo家jia已yi經jing出chu台tai了le相xiang應ying的de文wen件jian或huo者zhe通tong知zhi來lai加jia強qiang工gong業ye控kong製zhi係xi統tong信xin息xi安an全quan，包bao括kuo整zheng改gai實shi施shi工gong作zuo。但dan對dui於yu很hen多duo的de企qi業ye用yong戶hu來lai說shuo
，因yin為wei目mu前qian沒mei有you相xiang應ying明ming確que的de法fa律lv法fa規gui去qu約yue束shu相xiang應ying的de企qi業ye加jia強qiang信xin息xi安an全quan的de整zheng改gai，所suo以yi很hen多duo企qi業ye在zai管guan理li製zhi度du建jian設she方fang麵mian還hai比bi較jiao欠qian缺que。

　　正如王斌在談到整改和實施過程中的困境時所總結的，“中國企業裏麵信息安全的專責還沒有建立起來。”王斌說，工業控製係統信息安全，是一個交叉的領域
，但中國企業麵臨工業控製係統信息安全技術人員缺失的問題。

　　“其次是管理製度缺失。”王(wang)斌(bin)說(shuo)。有(you)的(de)企(qi)業(ye)也(ye)建(jian)立(li)了(le)完(wan)善(shan)的(de)管(guan)理(li)製(zhi)度(du)去(qu)防(fang)範(fan)信(xin)息(xi)安(an)全(quan)的(de)風(feng)險(xian)，但(dan)這(zhe)些(xie)管(guan)理(li)製(zhi)度(du)並(bing)沒(mei)有(you)真(zhen)正(zheng)落(luo)到(dao)實(shi)處(chu)。還(hai)有(you)的(de)企(qi)業(ye)管(guan)理(li)製(zhi)度(du)也(ye)去(qu)落(luo)實(shi)了(le)
，但(dan)為(wei)了(le)去(qu)落(luo)實(shi)管(guan)理(li)製(zhi)度(du)也(ye)為(wei)了(le)減(jian)少(shao)某(mou)種(zhong)風(feng)險(xian)，卻(que)嚴(yan)格(ge)地(di)限(xian)製(zhi)了(le)信(xin)息(xi)安(an)全(quan)方(fang)麵(mian)的(de)評(ping)估(gu)和(he)測(ce)試(shi)
，反(fan)而(er)導(dao)致(zhi)信(xin)息(xi)安(an)全(quan)的(de)風(feng)險(xian)沒(mei)有(you)被(bei)發(fa)現(xian)。

　　“第三是生產和安全的矛盾。”王斌表示。很多企業首要的目的是保證生產的連續性，然後才會去考慮其他因素。

　　相關報道

　　信息安全和工業控製需融合

　　工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)信(xin)息(xi)安(an)全(quan)是(shi)當(dang)前(qian)控(kong)製(zhi)係(xi)統(tong)和(he)信(xin)息(xi)安(an)全(quan)行(xing)業(ye)的(de)熱(re)點(dian)和(he)難(nan)點(dian)
，也(ye)是(shi)國(guo)家(jia)和(he)行(xing)業(ye)用(yong)戶(hu)高(gao)度(du)重(zhong)視(shi)的(de)問(wen)題(ti)。但(dan)令(ling)人(ren)關(guan)切(qie)的(de)是(shi)，由(you)於(yu)現(xian)有(you)的(de)信(xin)息(xi)安(an)全(quan)產(chan)品(pin)的(de)開(kai)發(fa)人(ren)員(yuan)、知識背景
、開發環境是針對ITxitongde，quefaduigongyekongzhixitongyijitedingxingyegongzuoliuchengdelejie，zhejuedinglekaifagongyekongzhixitonganquanfanghuchanpinhuizaoyuhendadekunnan。tongyang，xinxianquanchangshangyemianlinleisidekunjing。yinci
，mihexinxianquanyugongkongxitongzhijiandezheyihonggouchengweigongyekongzhixitongxinxianquandedangwuzhiji
，gongyekongzhixitongchangshangyuxinxianquanchangshangderongheshiyitiaobijingzhilu。weici，zhongyangyanjiuyuanxinxihuasuoyuanxiaoshufenxirenwei，ronghetujingkeyouyixiajizhongfangshi：研發融合。工業控製係統和信息安全廠商可以也應當從研發層麵展開合作和交流
，通過研發層麵的融合實現工業控製係統的本質安全。

　　方fang案an融rong合he。工gong業ye控kong製zhi係xi統tong廠chang商shang和he信xin息xi安an全quan廠chang商shang應ying從cong方fang案an設she計ji層ceng麵mian加jia強qiang合he作zuo，在zai縱zong深shen防fang禦yu的de基ji礎chu上shang對dui一yi旦dan發fa生sheng安an全quan生sheng產chan事shi故gu後hou果guo最zui為wei嚴yan重zhong的de現xian場chang設she備bei的de控kong製zhi係xi統tong區qu域yu進jin行xing重zhong點dian監jian控kong和he防fang護hu，對dui新xin建jian的de控kong製zhi係xi統tong從cong設she計ji時shi就jiu考kao慮lv其qi信xin息xi安an全quan防fang護hu和he運yun維wei，對dui老lao係xi統tong的de信xin息xi安an全quan防fang護hu則ze應ying充chong分fen考kao慮lv保bao證zheng生sheng產chan的de連lian續xu和he平ping滑hua過guo渡du。

　　產品融合。產品的融合應從三個層麵進行：一是工業控製係統產品應從開發階段就引入信息安全防護設計；二是信息安全產品應在開發中采用新的軟硬件技術並進行充分的測試
；三是信息安全監控和管理係統能夠采集末端現場設備關鍵數據
、控製係統數據、IT係統數據並進行綜合分析和預警，工業控製係統能夠反應信息安全監控和管理係統的分析與預警，並根據預警進行動作。

　　服務融合。服務融合的目標在於能在傳統行業實現信息安全運維和工業控製係統運維的融合，傳統行業的信息安全運維力量和IT行業相比更加薄弱
，控製係統的信息安全運維難度又高於IT係統。客戶
、信息安全廠商
、IT廠商和控製係統廠商均難以獨立實現以保障安全運行為目標的工業控製係統信息安全運維。（任奕奕）