我國工業(yè)控制系統安全存在多個(gè)薄弱環(huán)節，工控系統國產(chǎn)化程度不高，尤其是在高端市場(chǎng)基本被國外壟斷，核心的技術(shù)和元件均掌握在國外廠(chǎng)商手中，工業(yè)控制系統高度依賴(lài)國外，安全形勢嚴竣。

                        

    今年7月，“蜻蜓”團伙采用郵件和釣魚(yú)等方式攻擊電網(wǎng)等工控系統，再次將工業(yè)控制系統（以下稱(chēng)工控系統）信息安全引入公眾視野。

    面對工控系統信息安全的嚴峻形勢，由中國電子技術(shù)標準化研究院信息安全研究中心和其他23家單位共同發(fā)起成立了“工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟”。該產(chǎn)業(yè)聯(lián)盟成立的宗旨是搭建政府、用戶(hù)、企業(yè)、科研院所之間的交流平臺，發(fā)揮紐帶與橋梁作用，共同推進(jìn)我國工業(yè)控制系統信息安全產(chǎn)業(yè)發(fā)展，保障關(guān)鍵基礎設施安全穩定運行，支撐中國工業(yè)健康可持續發(fā)展。

    聯(lián)盟致力于為我國工業(yè)控制系統信息安全在體系建設、風(fēng)險評估、標準制定、產(chǎn)品開(kāi)發(fā)和評測等方面迅速有效地取得積極成效而搭建一個(gè)交流平臺。

    形勢嚴峻

    我國正處于工業(yè)轉型升級的關(guān)鍵期，信息化與工業(yè)化深度融合的智能化生產(chǎn)成為發(fā)展趨勢。在工業(yè)信息化過(guò)程中，現有工控系統的軟硬件、通信協(xié)議，以及管理環(huán)節往往都存在信息安全隱患風(fēng)險。工控系統信息安全事件在近年來(lái)逐年增加，嚴重影響國 家和地區的重要基礎設施安全，造成的損失和危害越來(lái)越嚴重，安全形勢刻不容緩。

    美歐等國已將關(guān)鍵基礎設施與工控安全列為國家戰略。美國高度重視工控系統安全，采取了一系列的措施 來(lái)保障關(guān)鍵基礎設施和工控系統的信息安全，通過(guò)發(fā)布國家法規戰略、制 定工業(yè)控制系統安全路線(xiàn)圖、制定工控信息安全深度防御策略和標準、開(kāi) 展工控系統信息安全檢查和評估來(lái)保 障工控系統的安全。

    反觀(guān)現階段我國的工控系統信息安全，就會(huì )發(fā)現我國工控系統信息安全產(chǎn)業(yè)的規模與國外相比還有很大差距， 相關(guān)工控系統信息安全國家標準還不夠完善。我國工控系統信息安全工作起步晚，總體上技術(shù)研究尚屬起步階段， 管理制度不健全，相關(guān)標準體系不完善，安全防護能力和應急處理測評能力不高。因此，應盡快制定相關(guān)政策及標準，將工控系統安全納入到工業(yè)和信息化行業(yè)，并上升到國家網(wǎng)絡(luò )安全戰略高度予以部署推進(jìn)。

    我國工控系統安全存在多個(gè)薄弱環(huán)節，工控系統國產(chǎn)化程度不高，尤其是在高端市場(chǎng)基本被國外壟斷，核心的技術(shù)和元件均掌握在國外廠(chǎng)商手中，工控系統高度依賴(lài)國外，安全形勢嚴峻。

    首先，國外工控系統在產(chǎn)品設 計、配置等方面不可避免地存在漏洞，這些漏洞一旦被敵對勢力、恐怖組織、商業(yè)間諜、黑客組織等利用，將帶來(lái)關(guān)鍵數據和信息被竊取、被篡改破壞等問(wèn)題，還可能使涉及國計民生的工業(yè)、能源、交通等關(guān)鍵基礎設施遭到破壞。

    其次，國外廠(chǎng)商會(huì )對工控系統進(jìn)行遠程維護，關(guān)鍵核心數據可能被竊取并被利用。

    當前我國工控系統的安全保護水平和安全管理偏低，表現在缺乏有效的管理標準來(lái)監管工控系統的安全，未對工控系統采取有效的分層保護措施、未經(jīng)允許控制的遠程訪(fǎng)問(wèn)等。

    此外，我國目前還缺乏應用于工控系統的安全防護產(chǎn)品，工控系統的安全防護產(chǎn)品門(mén)類(lèi)不全、為形成應用于各個(gè)系統層級、各個(gè)應用領(lǐng)域的安全防護產(chǎn)品體系不夠健全。

    未來(lái)重點(diǎn)

    為保障我國工控系統乃至關(guān)鍵基礎設施的安全，在有關(guān)政府主管部門(mén)的組織下，相關(guān)工控企業(yè)、標準研 究機構、測評機構、聯(lián)盟組織應全力合作，從建立工作機制、制定標準、 提高測評能力、培養工控安全人員信息安全意識等方面推進(jìn)工控系統信息安全工作。

    首先，應建立主管部門(mén)和工控系統企業(yè)的聯(lián)動(dòng)工作機制，政府提供政策支 持，企業(yè)自身做好管理和技術(shù)支持，二 者協(xié)調統一。相關(guān)企業(yè)和科研機構應對出現的安全事件的原因分析總結，及時(shí)發(fā)現我國現有工控系統的隱患并給出解決方案。同時(shí)，政府指導推動(dòng)工控行業(yè)和優(yōu)勢企業(yè)，發(fā)展具有自主產(chǎn)權的工控系統的核心軟硬件，改變目前這種嚴重依賴(lài)關(guān)鍵技術(shù)產(chǎn)品進(jìn)口的不利局面，加速提升我國在工控系統方面的核心競爭力，掌握工控產(chǎn)業(yè)發(fā)展的主動(dòng)權。

    其次，應加快制定工控系統信息安全國家標準。依據工業(yè)和信息化部發(fā)布《關(guān)于加強工業(yè)控制系統信息安全管理的通知》（工信部協(xié)[2011]451號文）和《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和 切實(shí)保障信息安全的若干意見(jiàn)》（國 發(fā)〔2012〕23 號）等相關(guān)文件，并結 合ISO/IEC JTC1/SC27、IEC 62443、NIST SP800-82等工控安全相關(guān)國際國外標準，從工控系統的技術(shù)線(xiàn)、管理線(xiàn)出發(fā)，以工控系統安全管理標準帶動(dòng)工控系統技術(shù)標準制定，統籌工控安全產(chǎn)業(yè)發(fā)展，建立標準體系，維護工控系統信息安全。

    再次，應加強工控系統安全評估能力建設。目前，國際上工控系統的物理安全測評認證主要由歐盟、德國、英國主導，工控系統核心安全數據、核心評估工具均被國外企業(yè)和評估機構壟斷。 在工控系統信息安全測評領(lǐng)域，我國也剛剛起步，亟須加強測評技術(shù)研究、測評工具開(kāi)發(fā)、測評環(huán)境建設等能力提升工作，逐步形成我國獨特的工控系統信息安全測評體系和工控系統網(wǎng)絡(luò )安全審查體系。

    最后，應提高工控系統企業(yè)信息安全意識。當前，很多工控安全事件都是由于企業(yè)信息安全管理不當或員工缺乏 信息安全意識的誤操作引起的，因此， 相關(guān)企業(yè)在對系統進(jìn)行管理時(shí)要對管理 人員進(jìn)行信息安全培訓，國家有關(guān)主管部門(mén)可定期對管理和操作人員進(jìn)行考核認證，并建立問(wèn)責機制。此外還可以委托相關(guān)信息安全測評機構建立演練模擬平臺，定期對企業(yè)員工進(jìn)行信息安全事故演練，模擬在面對工控安全突發(fā)事件時(shí)的應急響應。

    （作者系中國電子技術(shù)標準化研究院信息安全研究中心副主任、工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟理事）