【導讀】傳統工業(yè)已經(jīng)邁向智能工業(yè)，以數字化和信息化為核心的工業(yè)自動(dòng)化系統日益成熟。伴隨互聯(lián)互通趨勢的發(fā)展，工業(yè)控制系統背后隱藏的網(wǎng)絡(luò )安全問(wèn)題也逐漸顯現并引起廣泛關(guān)注。工控系統網(wǎng)絡(luò )安全現狀如何？又將如何有效擰緊工控系統的網(wǎng)絡(luò )“安全閥”......

一個(gè)正在高速運轉的生產(chǎn)中心，突然計算機網(wǎng)絡(luò )系統宕機，幾十億的設備同時(shí)陷入癱瘓，數家工廠(chǎng)陷入混亂，帶來(lái)極具嚴重的運營(yíng)挑戰與數額巨大的經(jīng)濟損失……

這或許已不是一個(gè)駭人聽(tīng)聞的生產(chǎn)事故，這正是全球的工業(yè)控制系統都在恐懼的網(wǎng)絡(luò )攻擊。

伴隨如火如荼的數字化轉型浪潮的發(fā)展，這個(gè)被稱(chēng)為“關(guān)鍵生產(chǎn)設施和基礎設施運行的‘神經(jīng)中樞’的工業(yè)控制系統”也迎來(lái)前所未來(lái)的網(wǎng)絡(luò )安全挑戰。一些國家級組織或個(gè)人開(kāi)始通過(guò)對工業(yè)設施和工業(yè)系統進(jìn)行網(wǎng)絡(luò )攻擊，以謀求達成政治訴求或經(jīng)濟目的。

全球工控系統安全形式嚴峻  多數攻擊帶有軍事戰爭目的

據新華社經(jīng)參研究院和360安全大腦共同發(fā)布的《關(guān)鍵企業(yè)保障網(wǎng)絡(luò )安全的形勢與挑戰》報告中顯示，在針對企業(yè)的攻擊中，攻擊者重點(diǎn)關(guān)注的領(lǐng)域依次是：通信網(wǎng)絡(luò )、電子電器、海洋與港口、能源化工、交通運輸、航空航天和網(wǎng)絡(luò )安全，疑似攻擊目標的企業(yè)以網(wǎng)絡(luò )運維、工程建設和制造業(yè)企業(yè)居多。在針對政府機構和事業(yè)單位的攻擊中，攻擊者重點(diǎn)關(guān)注的領(lǐng)域依次是：涉外機構、海洋、教育、國土與地質(zhì)、農業(yè)、水利和通信網(wǎng)絡(luò )。

這些領(lǐng)域正是涉及國計民生的重要行業(yè)，一旦遭受攻擊，不僅帶來(lái)經(jīng)濟上的重創(chuàng )，它還會(huì )帶來(lái)更為廣泛的社會(huì )問(wèn)題、政治問(wèn)題。

國家信息技術(shù)安全研究中心曹岳也曾公開(kāi)表示，和互聯(lián)網(wǎng)攻擊相比，從攻擊目標來(lái)看，針對工控系統的攻擊具有明顯的軍事和政治目的，尤其涉及國計民生的電力、鐵路、民航等關(guān)鍵基礎設施，以及那些在遭受攻擊后能造成較大社會(huì )影響的系統往往成為主要攻擊目標。

而今年3月份委內瑞拉電力系統遭到全國大面積的斷網(wǎng)事件正是對以上結論最真實(shí)的寫(xiě)照。從3月7日開(kāi)始，委內瑞拉遭到多達5輪的網(wǎng)絡(luò )攻擊，全國23個(gè)州中的18個(gè)州停電，社會(huì )一度陷入混亂不堪的局勢中。委內瑞拉總統馬杜羅直接發(fā)聲明，指責這次停電是美國針對委內瑞拉導演的一場(chǎng)“軍事戰爭”。

如何守護關(guān)鍵命脈  保證工控系統安全

工業(yè)控制系統的網(wǎng)絡(luò )安全問(wèn)題，涉及經(jīng)濟、政治、軍事、社會(huì )穩定等諸多關(guān)系國家安全命脈的方面。尤其當下工控系統的網(wǎng)路攻擊還呈現出定向攻擊精準性提升迅速、技術(shù)手段復雜化專(zhuān)業(yè)化、攻擊行為組織化等諸多顯著(zhù)特征。如何守護好它，變得至關(guān)重要，也成為一重要課題。本文整理了一些安全建議，助力保護工控系統安全。

即使已經(jīng)逐步意識到工控系統遭遇網(wǎng)絡(luò )攻擊的破壞力之大，但仍有很多企業(yè)依賴(lài)于過(guò)時(shí)的安全理念：他們認為工控自動(dòng)化系統沒(méi)有和互聯(lián)網(wǎng)連接，所以足夠安全；認為工控網(wǎng)絡(luò )安裝了防火墻，就能夠抵抗外界威脅；還認為黑客無(wú)法理解SCADA/DCS/PLC；最后，更有一些企業(yè)存在僥幸心理，認為他們的設備不會(huì )成為黑客攻擊的目標。

人是網(wǎng)絡(luò )安全的核心，所以，守護關(guān)鍵命脈安全的第一道防線(xiàn)，就應從人以及人的思維觀(guān)念中著(zhù)手，走出既往的網(wǎng)絡(luò )安全誤區，建立頂層設計，將工控系統的網(wǎng)絡(luò )安全上升到最高級。

多數工業(yè)系統在設計之初是封閉的“單機系統”，沒(méi)有考慮聯(lián)網(wǎng)需求，而隨著(zhù)“互聯(lián)網(wǎng)+工業(yè)”的推進(jìn)，以及IoT技術(shù)的下沉與演進(jìn)，那些原本就沒(méi)有防護軟件保護的工控系統和設備在物聯(lián)網(wǎng)的沖擊下，極易受到漏洞輕而易舉的襲擊。據報道，82%的工業(yè)固件漏洞為中高危風(fēng)險。

因此，應建立漏洞管理全流程監督處罰制度，制定覆蓋網(wǎng)絡(luò )安全漏洞的發(fā)現、審核、披露、通報、修復、追責等全流程管理細則，強制要求漏洞必須及時(shí)修復，并對漏洞修復時(shí)間以及違規處罰措施予以明確規定。

此外，還應建立監督檢查機制，及時(shí)發(fā)現未及時(shí)修復漏洞的行為，追究相關(guān)單位和責任人的責任。

在這里，智庫建議分三步走：

第一，構建網(wǎng)絡(luò )邊界防護，實(shí)現邏輯隔離。

第二，構建工業(yè)級和通用級結合的綜合安全防護體系。這里包括構建工業(yè)防火墻和工業(yè)級協(xié)議的數據審計和異常監測系統，加強對危及系統網(wǎng)絡(luò )安全因素做出智能預警分析的能力，為工業(yè)網(wǎng)絡(luò )信息安全故障及時(shí)排查、分析并提供可靠的依據。

第三，基于可信計算構建移動(dòng)存儲介質(zhì)的管控體系。

諸多工控系統是關(guān)系國計民生的重要命脈，同時(shí)工控攻擊也越來(lái)越走向組織化、國家化。所以，加強國家政府與網(wǎng)絡(luò )安全企業(yè)的合作，建立協(xié)同聯(lián)動(dòng)的防護系統，重點(diǎn)保證關(guān)鍵基礎設施的安全也變得尤為重要。

來(lái)源： 國際安全智庫