專門針對工業(yè)控制系統(tǒng)的“震網(wǎng)”病毒感染了全球超過45000個網(wǎng)絡(luò)，它被稱為有史以來最復(fù)雜的網(wǎng)絡(luò)武器，因為它悄然襲擊伊朗核設(shè)施的手法極其陰險。這給全球工業(yè)控制系統(tǒng)的安全敲響了警鐘。

“目前我國工業(yè)控制系統(tǒng)尤其是高端系統(tǒng)還處于無設(shè)防的狀態(tài)，一旦遇到信息安全事故后果不堪設(shè)想！”工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實(shí)驗室主任宋黎定在接受記者采訪時說。

12月1日，我國工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實(shí)驗室（以下簡稱實(shí)驗室）在北京正式揭牌宣告成立，這標(biāo)志著國家對工控系統(tǒng)信息安全的重視程度上升到新的高度，“可發(fā)現(xiàn)、可防范、可替代”將成為我國工控系統(tǒng)建設(shè)目標(biāo)。

我國工控安全形勢嚴(yán)峻

工控系統(tǒng)逐漸采用通用的通信協(xié)議、硬軟件系統(tǒng)，不設(shè)防地暴露于互聯(lián)網(wǎng)上。

隨著物聯(lián)網(wǎng)等信息技術(shù)高速發(fā)展，以往相對封閉的工業(yè)控制系統(tǒng)逐漸采用通用的通信協(xié)議、硬軟件系統(tǒng)，部分工業(yè)控制系統(tǒng)也能夠以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)上，越來越多的工業(yè)控制系統(tǒng)暴露于互聯(lián)網(wǎng)上。

由于工業(yè)控制系統(tǒng)廣泛采用通用軟硬件和網(wǎng)絡(luò)設(shè)施，以及與企業(yè)管理信息系統(tǒng)的集成，導(dǎo)致工業(yè)控制系統(tǒng)越來越開放，并且與企業(yè)內(nèi)網(wǎng)，甚至是與互聯(lián)網(wǎng)產(chǎn)生了數(shù)據(jù)交換。傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、木馬、入侵攻擊、拒絕服務(wù)等安全威脅也正在向工控系統(tǒng)擴(kuò)散。

根據(jù)美國國土安全部的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT）的統(tǒng)計，從2012年10月~2013年5月，該組織響應(yīng)的針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊報告超過200起，已超過2012年全年，其中能源領(lǐng)域111起，占53%，關(guān)鍵制造業(yè)32起，占17%。

我國工控安全形勢更為嚴(yán)峻，原因有三個方面：首先，現(xiàn)有系統(tǒng)未建立安全防線。傳統(tǒng)工業(yè)控制系統(tǒng)封閉運(yùn)行，產(chǎn)品設(shè)計安全意識薄弱，基本未考慮安全防護(hù)，也沒有形成針對工業(yè)控制的安全產(chǎn)品和技術(shù)。隨著工業(yè)控制系統(tǒng)越來越多地采用公開協(xié)議、接入互聯(lián)網(wǎng)，通用信息系統(tǒng)安全問題蔓延到工業(yè)控制系統(tǒng)，而現(xiàn)有工業(yè)控制系統(tǒng)基本處于沒有任何信息安全防護(hù)措施的局面。

其次，產(chǎn)品和服務(wù)對外依存度高，“帶病上崗”普遍。據(jù)統(tǒng)計，我國22個行業(yè)900套工業(yè)控制系統(tǒng)主要由國外廠商提供產(chǎn)品，相關(guān)系統(tǒng)運(yùn)維也由國外廠商直接接管，存在漏洞的國外工業(yè)控制產(chǎn)品大量應(yīng)用于我國重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)，在數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）中國外產(chǎn)品分別占據(jù)了55.12%、53.78%及76.79%的份額，在大型可編程控制器（PLC）中則占據(jù)了94.34%的份額。

最后，缺少工控系統(tǒng)信息安全仿真驗證環(huán)境。工業(yè)控制系統(tǒng)多為實(shí)時在線系統(tǒng)且影響重大，不易進(jìn)行安全故障分析排查、產(chǎn)品檢測和替換、解決方案驗證等工作的開展。

可以說實(shí)驗室的成立的目的就是對這些短板逐漸補(bǔ)齊。“成立實(shí)驗室首先要做三件事：制定標(biāo)準(zhǔn)，這是基礎(chǔ)；成立系統(tǒng)檢測、漏洞掃描的專業(yè)機(jī)構(gòu)；加快國產(chǎn)化步伐。”宋黎定表示。

當(dāng)然，實(shí)驗室只是產(chǎn)業(yè)協(xié)同發(fā)展的一個平臺部門。“要想切實(shí)保障我國工業(yè)控制系統(tǒng)的信息安全，還需產(chǎn)、學(xué)、研、用以及各方面通力配合。”西安電子科技大學(xué)副校長楊銀堂說。

正在完善安全標(biāo)準(zhǔn)體系

完善工控安全標(biāo)準(zhǔn)體系迫在眉睫，檢測、評估、認(rèn)證服務(wù)領(lǐng)域隱藏巨大商機(jī)。

我國工控領(lǐng)域現(xiàn)有系統(tǒng)在設(shè)計之初，并未考慮工控系統(tǒng)信息安全防護(hù)，而且傳統(tǒng)信息安全技術(shù)不適應(yīng)工控領(lǐng)域的特殊情況，因此，系統(tǒng)的頂層設(shè)計就顯得格外關(guān)鍵。對于頂層設(shè)計而言，標(biāo)準(zhǔn)制定是其主要內(nèi)容，也是基礎(chǔ)。

記者了解到，目前國內(nèi)工控信息安全相關(guān)標(biāo)準(zhǔn)仍在建設(shè)之中，同時缺少自主可控的檢測認(rèn)證技術(shù)與工具，而且安全咨詢評估等相關(guān)服務(wù)體系的建設(shè)仍在探索中，這一系列因素也造成了我國的大多數(shù)工控系統(tǒng)處于不設(shè)防狀態(tài)。

工業(yè)控制系統(tǒng)信息安全技術(shù)檢測認(rèn)證研究室副主任李航告訴記者，一個完善的工控系統(tǒng)信息安全標(biāo)準(zhǔn)體系必須適應(yīng)工控系統(tǒng)所有應(yīng)用領(lǐng)域，比如石油、化工、冶金和電力；不僅要涵蓋現(xiàn)場設(shè)備層，還要涵蓋現(xiàn)場控制層、過程監(jiān)控層，以及MES層；還要貫穿于產(chǎn)品全生命周期，包括產(chǎn)品設(shè)計、制造、使用、維護(hù)和回收。

據(jù)了解，實(shí)驗室在制定標(biāo)準(zhǔn)方面的主要任務(wù)就是積極跟蹤和參與國際相關(guān)標(biāo)準(zhǔn)規(guī)范制定，實(shí)現(xiàn)與國際認(rèn)證機(jī)構(gòu)的互認(rèn)，體現(xiàn)我國工業(yè)安全意志；加快推動我國相關(guān)標(biāo)準(zhǔn)規(guī)范的制定，建立完善的標(biāo)準(zhǔn)體系；加速人才隊伍培養(yǎng)，依據(jù)標(biāo)準(zhǔn)建設(shè)工控信息安全檢測認(rèn)證能力。

制定標(biāo)準(zhǔn)完善標(biāo)準(zhǔn)體系只是第一步，接下來根據(jù)標(biāo)準(zhǔn)衍生出的檢測、評估、認(rèn)證服務(wù)也至關(guān)重要。

“目前，我國工控領(lǐng)域?qū)π畔踩?wù)認(rèn)可度不高，一方面是因為缺少可供參考的標(biāo)準(zhǔn)規(guī)范，另一方面是因為針對工控領(lǐng)域信息安全的檢測、評估、認(rèn)證服務(wù)技術(shù)手段匱乏。”李航坦言。

他建議，為提升工控領(lǐng)域信息安全整體服務(wù)水平，在不斷健全國家相關(guān)標(biāo)準(zhǔn)和發(fā)展自主可控安全技術(shù)體系的基礎(chǔ)上，應(yīng)該建設(shè)工業(yè)控制系統(tǒng)安全試驗仿真平臺服務(wù)支撐環(huán)境，從而為行業(yè)用戶提供定制化的安全評估、安全咨詢、安全防護(hù)等服務(wù)。

在楊銀堂副校長看來，隨著整個工控系統(tǒng)信息安全市場環(huán)境不斷改善和市場規(guī)模不斷擴(kuò)大，檢測認(rèn)證和安全防護(hù)等技術(shù)和服務(wù)將有巨大的市場空間。

更多資訊請關(guān)注PC BASED頻道