congdaiyouchuantongsecaidegerendiannaoheyidongdianhua，daojintianchongchizhekejiqiweidezhinengshouhuanhegugeyanjing，jihuwuchubuzaidezhinengyingjianshebei，rangcongqianxunideshujubiandejuxianghua。raner

，zhexieyingjianhejishugeiwomendeshenghuodailailejudadeyingxianghegaibiandetongshi，也對我們個人的信息安全產生了威脅——這樣的情況在工業領域同樣存在：越來越多開放式信息技術的應用和推廣，在保證工業數據通暢傳輸
、降低信息化集成成本等方麵居功至偉，但信息技術的普及對工業網絡的安全防護也提出了更為嚴格的要求。　

　　難以兩全的“透明”和“安全”

　　談及工業信息安全，首當其衝的便是工業控製係統，即ICS（Industrial Control Systems），通常被用於控製關鍵生產設備的運行，廣泛地應用於石油石化、冶金、勘探、電力、ranqiyijishizhengdenglingyu。weilefangbianshujucaijiyujiankongxitonggenghaodishoujishuju
，bingtongshiquebaogezujianzhijiantongxindeshunchang，gongyekongzhixitongzaibuduandigengxinhuandaizhongzhengzaibiandeyuelaiyuekaifang。raner，zhezhongkaifangzaiweigongyeyonghutigongfangbiandetongshi
，yejiangdilegongyekongzhixitongyuwaibuwangluodegelichengdu——“透明度”的提高使得工控係統在麵對具有針對性、不斷升級的攻擊時顯得愈發脆弱，工業信息安全岌岌可危。

　　與此同時，工業控製係統中原本存在的安全隱患也在這種情況下變得越發突出——毋庸置疑，工控係統的任何環節受到攻擊
，都有可能導致整個工業係統的癱瘓。

　　百度搜索相關案例，出現的結果觸目驚心：2000年3月澳大利亞Maroochy Shire Sewage的SCADA（即“Supervisory Control And Data Acquisition”，監視控製與數據采集）軟件遭攻擊破壞；2003年，美國Davis-Basse第一發電站遭網絡攻擊；2008年，波蘭公共電車係統遭遇黑客遠程攻擊
，黑客通過電視遙控器改變了軌道扳道器，導致4節車廂脫軌
；2010年
，伊朗核電廠遭遇震網（Stuxnet）攻擊，震網病毒嚴重威脅到了伊朗布什爾核電站核反應堆的安全運營；2011年
，黑客通過入侵數據采集與監控係統SCADA，破壞了美國伊利諾伊州城市供水係統的供水泵。

　　於是
，一個問題呼之欲出：這些工控領域的信息安全事故，究竟是如何造成的
？

　　顧此失彼來自設備的安全性難題

　　事實上，上述這些事件的成因大多是過多地重視“透明度”帶來的效率和實時性
，而“安全性”則因此被置於了次要地位。

　　由you於yu工gong控kong網wang絡luo存cun在zai著zhe特te殊shu性xing，許xu多duo通tong用yong的de信xin息xi安an全quan技ji術shu無wu法fa在zai工gong控kong係xi統tong中zhong完wan全quan適shi用yong
，解jie決jue工gong業ye控kong製zhi係xi統tong安an全quan需xu要yao有you針zhen對dui性xing地di實shi施shi特te殊shu措cuo施shi。一yi般ban情qing況kuang下xia，工gong控kong係xi統tong所suo執zhi行xing的de控kong製zhi過guo程cheng
，通tong常chang是shi由youHMI
、控製回路和遠程診斷與維護工具三部分組件共同完成。其中
，HMI（即“Human Machine Interface”
，人機交互界麵）zhixingxinxijiaohu
，kongzhihuiluyongyikongzhiluojiyunsuan，yuanchengzhenduanyuweihugongjuquebaogongyekongzhixitongnenggouwendingchixuyunxing。zhesanbufenshebeizhijiandejianrongxingduigongkongxitongdeyunxingjiweizhongyao，zhizaoqiyeweilebaozhengsanzhezhijiandejianrongxing，xishengbufendeanquanxingyeduoshichuyuwunai。

　　以yi現xian場chang總zong線xian為wei例li，在zai一yi個ge正zheng常chang運yun轉zhuan的de工gong控kong係xi統tong中zhong，這zhe三san部bu分fen設she備bei間jian會hui密mi集ji地di進jin行xing信xin息xi交jiao互hu，而er作zuo為wei傳chuan統tong的de數shu據ju通tong訊xun方fang式shi，現xian場chang總zong線xian技ji術shu被bei廣guang泛fan地di應ying用yong在zai了le工gong業ye控kong製zhi中zhong。經jing過guo多duo年nian的de發fa展zhan和he演yan變bian
，2003年4月，IEC61158 Ed.3現場總線標準第3版正式成為國際標準，規定10種類型的現場總線。因此
，工控係統中應用的各類總線各具特點、不可互相替代。但顯而易見的是，多種現場總線的協議與標準的共存，使各總線之間的相互通訊
、相互操作和相互兼容變得困難非常。

　　為wei了le應ying對dui難nan題ti，製zhi造zao業ye企qi業ye在zai設she計ji工gong控kong係xi統tong時shi，係xi統tong的de高gao可ke用yong性xing和he業ye務wu的de連lian續xu性xing，就jiu成cheng為wei了le係xi統tong的de關guan鍵jian設she計ji理li念nian。在zai這zhe種zhong情qing況kuang下xia，工gong控kong係xi統tong就jiu更geng加jia難nan以yi形xing成cheng有you效xiao的de工gong業ye安an全quan防fang禦yu和he數shu據ju通tong信xin保bao密mi措cuo施shi了le。

　　ciwai，gongkongxitongxinxijishucengmiandegaibiantongyangburongxiaoqu。xiangjiaozhiqian，gongkongxitongdekongzhiqinenggouzhichigengduodeyitaiwanggongneng，xingnengyezaibiandeyuelaiyueqiang
，weileduigongyeshengchanguochengjinxingshishideyuanchengjiankong，bingjiangshoujiqilaidexiangguanshujuyuERP係統和用戶需求結合起來，有些工控係統的控製器已經集成了Web服(fu)務(wu)器(qi)，可(ke)以(yi)允(yun)許(xu)來(lai)自(zi)信(xin)息(xi)層(ceng)的(de)用(yong)戶(hu)和(he)來(lai)自(zi)控(kong)製(zhi)層(ceng)的(de)用(yong)戶(hu)一(yi)道(dao)，直(zhi)接(jie)獲(huo)取(qu)控(kong)製(zhi)器(qi)中(zhong)的(de)當(dang)前(qian)狀(zhuang)態(tai)值(zhi)而(er)並(bing)不(bu)需(xu)要(yao)通(tong)過(guo)嚴(yan)密(mi)的(de)安(an)全(quan)認(ren)證(zheng)。也(ye)正(zheng)是(shi)如(ru)此(ci)，采(cai)用(yong)了(le)以(yi)太(tai)網(wang)架(jia)構(gou)和(he)開(kai)放(fang)軟(ruan)件(jian)係(xi)統(tong)的(de)製(zhi)造(zao)企(qi)業(ye)，也(ye)被(bei)許(xu)多(duo)業(ye)內(nei)人(ren)士(shi)戲(xi)稱(cheng)為(wei)“透明工廠”，這給工廠帶來的安全隱患不言而喻。

　　卓有成效的縱深防禦體係

　　多年以來，工控領域的相關企業從未停止在工控信息安全方麵的努力，致力於在保證“透明度”的同時，提升工控係統的信息安全係數。以施耐德電氣為例，2013年，施耐德電氣在國家電力監管委員會的指導和安排下
，配合國家大型電力集團開展了五家火電廠的工控係統信息安全部署工作。

　　在整改的過程中，施耐德電氣發現中國行業客戶普遍存在三大安全困境：人員缺失、zhiduxingshihuaheshengchanyuanquandemaodunchongtu。zhongguoxingyekehuzaishishixinxianquanfangyucelveshixuyaogengjiazhongshijiejuefangandeshiyongxingheyouxiaoxing。suoyi，shinaidedianqirenwei
，zhongguogongyekehubimianxinxianquanweixiezuiyouxiaofangfajiushicaiyongshebeijifanghufangan
，tongshijianguxitongjiheguanlijifanghufangan。

　　“‘自下而上’的部署縱深防禦安全策略，可為企業打造完善的防護體係。”施耐德電氣工業事業部工業信息安全首席專家王斌對縱深防禦體係充滿了信心，“tongguojiaqiangshebeijifanghunenglikeyiranggongyekehujianshaotouzi
，duanqineixunsutishengqiyegongyexitongxinxianquanfanghunengli，bingweizhubushishiwanzhengdezongshenfangyuanquancelvediandingjichu。”

　　事實上，施耐德電氣正是從2013年開始正式向中國工業客戶正式推出“設備級、係統級和管理級”desanjizongshenfangyutixi。qizhong，shebeijifanghuzhengshisanjizongshenfangyutixidejichuhehexin。henkuai，zhenggaigongzuoqidaoleshifanzuoyong

，suizhekekaohewanshandejiejuefanganzaidaxingdianliqiyezhongdechenggongyingyong，shinaidedianqidegongkongxitongxinxianquanjiejuefanganbeiguojianengyuanjutuiguangdaolezhenggedianlixingye。

　　“由於我們在部署前進行了充分的論證和方案準備，在部署過程中沒有對企業安全生產產生任何影響。”王斌表示，“最終，部署工作順利完成
，部署的成果也得到了行業主管部門和電力集團的肯定。”

　　2014年4月，施耐德電氣加入了“工業控製係統信息安全產業聯盟”。作為迄今為止唯一的一家外資企業，施耐德電氣擁有非常豐富的應用“三級縱深防禦體係”的經驗和成功案例。談及此，王斌的自豪溢於言表，“我們可以將其帶到中國的客戶群體中
，幫助他們更好地提升工控係統信息安全防護等級。”

　　julejie
，shinaidedianqizhengzaishebeijicengmianchixujiaqiangzishenchanpindeanquanfanghutexing，bingbangzhuyonghujiaqiangshebeijidefanghushuiping。zaiweilai，xiangxinwomenjianghuikandaoshinaidedianqideanquanjiejuefangan，jiangchuxianzaigengduoduigongkongxitonganquanyoupoqiexuqiudeshichang。

　　多舉措避免“禍起蕭牆”

　　在zai工gong業ye信xin息xi安an全quan事shi故gu頻pin發fa之zhi前qian
，業ye界jie曾zeng一yi度du認ren為wei由you於yu工gong業ye控kong製zhi係xi統tong網wang絡luo的de相xiang對dui獨du立li性xing，其qi遭zao受shou外wai界jie攻gong擊ji的de概gai率lv很hen低di，直zhi到dao來lai自zi網wang絡luo的de攻gong擊ji導dao致zhi企qi業ye關guan鍵jian性xing保bao密mi數shu據ju丟diu失shi、蒙受巨額的經濟損失、甚至造成嚴重的人員傷亡事故時，慘痛的教訓才提醒人們：信息安全的戰火已經蔓延到了工業基礎設施領域。

　　然(ran)而(er)，造(zao)成(cheng)這(zhe)些(xie)信(xin)息(xi)安(an)全(quan)事(shi)故(gu)的(de)威(wei)脅(xie)卻(que)並(bing)不(bu)全(quan)是(shi)來(lai)自(zi)於(yu)外(wai)部(bu)。相(xiang)關(guan)統(tong)計(ji)數(shu)據(ju)顯(xian)示(shi)，隻(zhi)有(you)部(bu)分(fen)的(de)數(shu)據(ju)破(po)壞(huai)的(de)源(yuan)頭(tou)在(zai)企(qi)業(ye)外(wai)部(bu)，而(er)大(da)多(duo)數(shu)的(de)安(an)全(quan)威(wei)脅(xie)則(ze)是(shi)來(lai)自(zi)企(qi)業(ye)內(nei)部(bu)。來(lai)自(zi)企(qi)業(ye)內(nei)部(bu)的(de)信(xin)息(xi)安(an)全(quan)風(feng)險(xian)包(bao)括(kuo)員(yuan)工(gong)操(cao)作(zuo)失(shi)誤(wu)
、故意破壞和知識欠缺。上文提到的震驚工控領域的伊朗核電站震網病毒事件，也正是由於將被病毒感染的U盤插入了控製係統的USB接口，震網病毒在無人察覺的情況下取得了部分工業用電腦係統的控製權。

　　無獨有偶，2012年的兩座美國電廠同樣是遭遇了USB病bing毒du攻gong擊ji，該gai病bing毒du感gan染ran了le電dian廠chang內nei所suo有you工gong廠chang的de工gong控kong係xi統tong，將jiang所suo有you數shu據ju置zhi於yu被bei竊qie取qu的de風feng險xian之zhi下xia。由you此ci可ke見jian
，流liu程cheng安an全quan及ji監jian管guan有you時shi並bing不bu比bi技ji術shu級ji的de信xin息xi安an全quan防fang護hu重zhong要yao性xing低di。事shi實shi上shang
，基ji礎chu的de設she置zhi門men衛wei

、密碼保護
、caiyongmenjinkabaohuminganquyudengyeshigongyexinxianquandeyibufen。anquanguanlifenanquanliuchengheanquanjianguan，zaigongchangshengchanguochengzhong，ruoyaoquebaomeiyigehuanjiedeanquanxing
，jiuxuyaozhuanmendeshebeihuozherenyuanduiqijinxingjianduguanli。zaihenduoshihou，zheyangdeliuchengjianguankenengbijishuguanxigengzhongyao——一個好的流程和監管體係，是信息安全技術良好應用的前提。

　　然而，國內對信息安全的忽視由來已久：工控係統的安全防護策略和管理製度的製定
、對工作人員安全意識的培養多流於表麵

，長期的“安全”淡薄了相關工作人員的安全意識。

　　見jian招zhao拆chai招zhao
，施shi耐nai德de電dian氣qi針zhen對dui設she備bei級ji的de信xin息xi安an全quan防fang護hu可ke在zai較jiao短duan的de時shi間jian內nei
，高gao效xiao率lv地di提ti升sheng企qi業ye的de信xin息xi安an全quan水shui平ping，還hai可ke有you效xiao地di減jian少shao企qi業ye對dui信xin息xi安an全quan人ren員yuan的de專zhuan業ye能neng力li和he管guan理li製zhi度du的de過guo度du依yi賴lai。“這種以設備級防護為基礎，‘自下而上’逐步推進的安全防護整體解決方案
，可以讓企業逐步擺脫傳統信息安全解決方案中過渡依賴管理政策、製度以及人員能力和操作規範等諸多不可控或不完備的條件限製。”王斌如是說。

　　盡管如此，提高相關人員的信息安全意識，並對關鍵生產和製造流程進行全方位監管仍然是長久之計。“不論采用的是何種信息安全方案，都需要有相應的人才儲備
，對這些係統進行基本的維護。”王斌表達了他對企業中信息安全相關人才缺失的憂慮，“如果企業沒有相應的技術儲備，即便是上馬了這些係統，也無法充分發揮信息安全防護體係的功能。”

　　他表示
，與中國相比，歐美發達國家在網絡水平、jisuanjizhishipujidengfangmianqibujiaozao，guojiaheshehuiduiyuxinxianquandezhongshichengduyexiangduijiaogao。yucixiangduiyingdexinxianquanjiejuefangantixiyexiangduiquyuwanshan
，erzhexiezhengshiguoneiqueshaode。

　　產業攜手共建“信息安全標準”

　　zhongsuozhouzhi，xingyebiaozhundequeshishixingyefazhandejudazhangai，ermuqianguoneigongyexinxianquanshichangzhengmianlinzhezheyangdeguanjianxingwenti
，biaozhuntixidequeshiyanzhongzuailezhenggegongyexinxianquanshiyedefazhan。“zaizhefangmian
，shinaidedianqizaiguoyouhenduochenggongdejingyanhexianjindelinian，womenfeichangyuanyiyuguoneiyixiejiancejigouhexiangguanxingyexiehuihezuo
，jiangbiaozhunjinkuaijianlibingwanshan。”談及安全標準的建立，王斌神情嚴肅，“作為這個市場的主要參與者，這是施耐德電氣的義務和責任。”

　　據了解，施耐德電氣在確保自身產品和係統絕對安全的同時
，還積極地參與到了整個標準體係的建立
、檢測、認證等工作中
；bujinruci
，shinaidedianqinenggoujiangqitaguojiazairuhejianliguojiabiaozhunhequanweirenzhengjigoudengfangmiandejingyanyinjinzhongguo，congertuiguanggeiguojiazhengfubumenheqitaxiangguanjigou。yucitongshi
，shinaidedianqiyezhengzaimouhuayudisanfangquanweijigouhezuo，weilaihuojiangzaizhongguojianliyigezhuanyederenzhengpingtaiheshiyanshi。

　　“站(zhan)在(zai)產(chan)業(ye)的(de)角(jiao)度(du)來(lai)看(kan)，無(wu)論(lun)是(shi)建(jian)立(li)信(xin)息(xi)安(an)全(quan)標(biao)準(zhun)

，還(hai)是(shi)為(wei)企(qi)業(ye)建(jian)立(li)完(wan)善(shan)的(de)工(gong)業(ye)信(xin)息(xi)安(an)全(quan)體(ti)係(xi)，都(dou)不(bu)是(shi)某(mou)一(yi)家(jia)企(qi)業(ye)可(ke)以(yi)獨(du)立(li)完(wan)成(cheng)的(de)，這(zhe)需(xu)要(yao)整(zheng)個(ge)產(chan)業(ye)鏈(lian)的(de)通(tong)力(li)合(he)作(zuo)。”談及產業合作
，王斌感慨頗深。他表示，政府
、企業、大專院校
、研究單位和行業協會都需要加入到這個進程中，缺一不可。“從行業整體意識理念的建立到現代規章製度的落地，中國需要一個產、學、研三位一體並緊密結合的有機生態圈，共同推進我國工業控製係統信息安全事業的建設。”

　　新一輪產業變革的核心正是信息網絡技術的應用，以信息網絡


、智能製造、新(xin)能(neng)源(yuan)和(he)新(xin)材(cai)料(liao)為(wei)代(dai)表(biao)的(de)新(xin)一(yi)輪(lun)技(ji)術(shu)創(chuang)新(xin)浪(lang)潮(chao)正(zheng)漸(jian)行(xing)漸(jian)近(jin)，這(zhe)些(xie)新(xin)興(xing)技(ji)術(shu)對(dui)產(chan)業(ye)發(fa)展(zhan)產(chan)生(sheng)了(le)日(ri)益(yi)深(shen)刻(ke)的(de)影(ying)響(xiang)，與(yu)此(ci)同(tong)時(shi)，工(gong)業(ye)信(xin)息(xi)安(an)全(quan)的(de)市(shi)場(chang)潛(qian)力(li)正(zheng)在(zai)這(zhe)樣(yang)的(de)趨(qu)勢(shi)下(xia)快(kuai)速(su)釋(shi)放(fang)。讓(rang)我(wo)們(men)攜(xie)手(shou)在(zai)這(zhe)樣(yang)的(de)信(xin)息(xi)化(hua)浪(lang)潮(chao)中(zhong)構(gou)築(zhu)一(yi)麵(mian)堅(jian)實(shi)的(de)“透明”壁壘，在各種攻擊麵前固若金湯的同時
，讓信息之光在工控係統中暢行無阻地自由穿行——前事不忘
，警鍾長鳴。