“安全問題是國家乃至全球的大事，針對(duì)自動(dòng)化領(lǐng)域，最常見的安全問題就是工業(yè)控制系統(tǒng)的信息安全。”

　　在日前的“2014工業(yè)控制系統(tǒng)信息安全年”大型主題系列活動(dòng)——北京站活動(dòng)中，中國自動(dòng)化學(xué)會(huì)副理事長、清華大學(xué)自動(dòng)化系主任周東華教授如是強(qiáng)調(diào)說。

　　事實(shí)上，我國目前也在遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾。據(jù)中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心副主任范科峰博士的調(diào)研來看，從2003年到現(xiàn)在，我國每年都有工業(yè)控制系統(tǒng)的信息安全事件發(fā)生，形勢(shì)非常嚴(yán)峻。

　　在這場(chǎng)由中國自動(dòng)化學(xué)會(huì)專家咨詢工作委員會(huì)主辦、工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟（ICSISIA）協(xié)辦、主題為“環(huán)保與安全”的活動(dòng)中，有來自全國30個(gè)省市自治區(qū)的百余名代表出席，他們從各自的專業(yè)領(lǐng)域，為我國工控系統(tǒng)的信息安全發(fā)展紛紛支招。

　　信息安全危機(jī)四伏

　　據(jù)報(bào)道，權(quán)威工業(yè)安全事件信息庫RISI的統(tǒng)計(jì)顯示，截至2011年10月，全球已發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件。而2001年后，通用開發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用，使得針對(duì)工業(yè)控制系統(tǒng)(ICS)的病毒、木馬等攻擊行為大幅度增長，結(jié)果導(dǎo)致整體控制系統(tǒng)的故障，甚至惡性安全事故，對(duì)人員、設(shè)備和環(huán)境造成嚴(yán)重的后果。比如伊朗核電站的震網(wǎng)病毒等事件，給全球工業(yè)界控制系統(tǒng)的信息安全問題都敲響了警鐘。

　　“目前我國工控系統(tǒng)的信息安全形勢(shì)非常嚴(yán)峻，而近年來的工控安全事件也逐漸增加，嚴(yán)重影響了國家尤其是基礎(chǔ)設(shè)施領(lǐng)域的信息安全。”在中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心副主任范科峰博士看來，我國當(dāng)前工控系統(tǒng)的信息安全形勢(shì)不容樂觀，工控領(lǐng)域的安全可靠性問題比較突出。

　　他介紹說，美國、歐洲已經(jīng)把工控安全和國家的基礎(chǔ)設(shè)施安全統(tǒng)一列為國家的安全戰(zhàn)略。而美國政府更是高度重視工控安全，采取很多措施來保證基礎(chǔ)設(shè)施的工控信息安全，同時(shí)在國家工控系統(tǒng)相關(guān)的法規(guī)戰(zhàn)略、縱深防御戰(zhàn)略、以及評(píng)估等方面都做了很多工作。

　　而國內(nèi)的狀況是，工控系統(tǒng)的核心基礎(chǔ)設(shè)備依賴國外產(chǎn)品，嵌入式軟件、總線協(xié)議、工控軟件等核心技術(shù)都受制于國外，由于我國的工控產(chǎn)業(yè)綜合競(jìng)爭(zhēng)力不強(qiáng)，工控系統(tǒng)面臨的威脅比較多，而且漏洞頻發(fā)。

　　“我們通過調(diào)研了解到，工控系統(tǒng)很多都缺乏比較完善的、安全的架構(gòu)、設(shè)計(jì)，包括風(fēng)險(xiǎn)評(píng)估和基本的安全保證能力都比較缺乏，工控系統(tǒng)的信息安全還缺乏正式發(fā)布的、完善的標(biāo)準(zhǔn)等。”范科峰表示。

　　安全意識(shí)亟待提高

　　在會(huì)議上，北京力控華康科技有限公司副總經(jīng)理龔亮華做了《工控信息安全形勢(shì)分析與風(fēng)險(xiǎn)評(píng)估》的報(bào)告，他認(rèn)為，很多的信息安全問題都是由于管理不善造成的，技術(shù)只是亡羊補(bǔ)牢的手段，因此，“企業(yè)最應(yīng)該做的就是提高安全意識(shí)，采用更加完善的管理手段。”

　　他表示，構(gòu)建滿足工業(yè)控制系統(tǒng)的全廠級(jí)風(fēng)險(xiǎn)識(shí)別模型，除了需要細(xì)化工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)因素，還需要建立基于工業(yè)控制系統(tǒng)的安全管理域，實(shí)施分等級(jí)的基線建設(shè)，兼顧包括終端與鏈路、威脅與異常、安全與可用性等綜合因素的功能考慮。

　　而帶來《Havex病毒的“X”分析——新一代的工控網(wǎng)絡(luò)APT對(duì)抗》報(bào)告的匡恩網(wǎng)絡(luò)科技總裁兼首席執(zhí)行官孫一桉，也認(rèn)為，要真正解決信息安全對(duì)抗體系，必須要有前沿的技術(shù)和體系的創(chuàng)新，而我國現(xiàn)今的工業(yè)控制信息安全產(chǎn)業(yè)鏈?zhǔn)欠浅２煌暾?，因此我們更要提倡整體的解決方案。

　　范科峰的建議是，制定工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)，要從技術(shù)線、管理線出發(fā)，以管理標(biāo)準(zhǔn)帶動(dòng)技術(shù)標(biāo)準(zhǔn)制定，統(tǒng)籌工控安全產(chǎn)業(yè)發(fā)展，建立標(biāo)準(zhǔn)體系。針對(duì)我國工控系統(tǒng)信息安全檢查制度、測(cè)評(píng)體系建立的需求對(duì)工控系統(tǒng)安全相關(guān)概念、參考模型、安全管理要求進(jìn)行規(guī)范，為工控安全分級(jí)、測(cè)評(píng)和檢查工作提供支撐和依據(jù)。

　　“目前已向世界提出了全新的網(wǎng)絡(luò)安全理念，而這些理念也被世界認(rèn)同接受，創(chuàng)建全新未來網(wǎng)絡(luò)安全體系刻不容緩。”原工信部科技司網(wǎng)絡(luò)標(biāo)準(zhǔn)工作組秘書長劉亞東透露說，他在會(huì)上做了《網(wǎng)絡(luò)安全存在的問題與未來網(wǎng)絡(luò)安全的要求》的報(bào)告。

　　會(huì)上，作為國家工控機(jī)及系統(tǒng)工程研究中心、北京康拓科技有限公司的代表，王迎春結(jié)合安全計(jì)算機(jī)研制與生產(chǎn)銷售的情況，介紹了當(dāng)前安全計(jì)算機(jī)的若干問題。他表示，安全計(jì)算機(jī)是在工業(yè)控制計(jì)算機(jī)的基礎(chǔ)上，結(jié)合國際安全規(guī)范，進(jìn)行了系統(tǒng)化、工程化的軟、硬件設(shè)計(jì)。近年來，隨著國家戰(zhàn)略需求與行業(yè)應(yīng)用需求的不斷增多，安全計(jì)算機(jī)逐漸成為了熱點(diǎn)話題。

　　“工業(yè)4.0標(biāo)志著工業(yè)生產(chǎn)進(jìn)入了互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)物理生產(chǎn)系統(tǒng)將成為第四次工業(yè)革命的基礎(chǔ)。”菲尼克斯電氣（南京）研發(fā)工程中心有限公司副總裁杜品圣博士在活動(dòng)上做了題為《互聯(lián)自動(dòng)化，實(shí)現(xiàn)工業(yè)4.0的關(guān)鍵》的報(bào)告，他表示，工業(yè)4.0是生產(chǎn)制造模式的變革，生產(chǎn)力推動(dòng)了社會(huì)的發(fā)展，生產(chǎn)制造方法的改革提高了生產(chǎn)力。生產(chǎn)制造系統(tǒng)采用聯(lián)網(wǎng)的嵌入式系統(tǒng)，以及物聯(lián)網(wǎng)和基于WEB的服務(wù)，將帶我們走上第四次工業(yè)革命的道路。“而要進(jìn)行工業(yè)4.0的變革，首先要完成工業(yè)3.0，IT行業(yè)專家與自動(dòng)化專家必須合作，要有長期的規(guī)劃，跨行業(yè)，跨專業(yè)整合協(xié)調(diào)作戰(zhàn)。”

　　此外，在此次會(huì)議上，施耐德電氣工業(yè)事業(yè)部工業(yè)信息安全首席專家王斌，國核柏斯頓新能源科技（北京）有限公司副總工程師羅凱，淮南聯(lián)合大學(xué)洪濱，清華大學(xué)教授蕭德云，中國自動(dòng)化學(xué)會(huì)專家咨詢工作委員會(huì)主任委員孫柏林等都帶來了精彩的報(bào)告。

　　在高速發(fā)展30多年后，中國已成為世界第二大經(jīng)濟(jì)體，但在GDP增長的同時(shí)，巨額的“生態(tài)赤字”已經(jīng)出現(xiàn)，大范圍曠日持久的霧霾天氣、嚴(yán)重的水污染等都在威脅著人們的安全。實(shí)現(xiàn)中國夢(mèng)、建設(shè)美麗中國，必須更加重視轉(zhuǎn)變發(fā)展方式，提高發(fā)展質(zhì)量。這對(duì)自動(dòng)化產(chǎn)業(yè)來說，既是動(dòng)力，亦是壓力。未來，隨著“兩化融合”的持續(xù)深入，信息技術(shù)與自動(dòng)化技術(shù)必將大有可為。

　　相關(guān)鏈接

　　我國工控系統(tǒng)安全非常脆弱

　　“現(xiàn)在無線、網(wǎng)絡(luò)系統(tǒng)提高了工控效率，但開放的體系使得信息安全問題暴露無疑，目前工控最大隱患是很多行業(yè)和企業(yè)還沒有意識(shí)到工控安全非常脆弱。很多重點(diǎn)行業(yè)企業(yè)應(yīng)該要考慮如果明天一旦出現(xiàn)世界級(jí)的安全危險(xiǎn)，目前的工控系統(tǒng)是否能夠引導(dǎo)工廠正常安全地生產(chǎn)。”工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所（工業(yè)和信息化部電子第一研究所）副所長李新社在中國工業(yè)信息化及信息安全發(fā)展論壇上發(fā)出的警示。

　　記者了解到，我國工業(yè)控制系統(tǒng)信息安全管理工作中仍存在不少問題，主要是對(duì)工業(yè)控制系統(tǒng)信息安全問題重視不夠，管理制度不健全，相關(guān)標(biāo)準(zhǔn)規(guī)范缺失，技術(shù)防護(hù)措施不到位，安全防護(hù)能力和應(yīng)急處置能力不高等，威脅著工業(yè)生產(chǎn)安全和社會(huì)正常運(yùn)轉(zhuǎn)。

　　李新社表示，原先工控系統(tǒng)是封閉的，但信息化帶來的是體系的開放互聯(lián)，病毒等威脅無處不在，形勢(shì)非常嚴(yán)峻。近幾年以來，政府、企業(yè)等各方都在積極參與工控系統(tǒng)安全建設(shè)，很多企業(yè)都帶來自主研發(fā)的自主知識(shí)產(chǎn)權(quán)的工控產(chǎn)品。但國內(nèi)工控安全水平、發(fā)展速度與歐美發(fā)達(dá)國家相比差距仍非常大。

　　工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運(yùn)行、國家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全。李新社表示，國家對(duì)工業(yè)控制安全高度重視，2011年底發(fā)布的《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》已經(jīng)成為了推動(dòng)國內(nèi)工控安全的指導(dǎo)性文件。他認(rèn)為“自主可控，安全可靠”應(yīng)該是國內(nèi)工控信息安全發(fā)展的技術(shù)指導(dǎo)思想。