國家工業(yè)安全中心劉迎：工控系統(tǒng)網(wǎng)絡(luò)安全需各方合力保障

　　網(wǎng)絡(luò)安全不僅影響人們的日常生活，也給工業(yè)生產(chǎn)帶來考驗(yàn)。

　　9月17日－20日，2017年網(wǎng)絡(luò)安全博覽會暨網(wǎng)絡(luò)安全成就展在上海舉行。活動期間，國家工業(yè)信息安全研究中心（以下簡稱“國家工業(yè)安全中心”）網(wǎng)絡(luò)與信息安全研究部主任劉迎就工業(yè)控制系統(tǒng)的安全問題接受澎湃新聞（www.thepaper.cn）采訪。

　　國家工業(yè)安全中心網(wǎng)絡(luò)與信息安全研究部主任劉迎

　　劉迎表示，近年來，國家對工業(yè)控制系統(tǒng)（以下簡稱工控系統(tǒng)）網(wǎng)絡(luò)安全的重視程度正不斷加大。隨著工業(yè)4.0時代到來，工控系統(tǒng)網(wǎng)絡(luò)安全保障不僅需要在政府層面做好頂層設(shè)計(jì)和戰(zhàn)略統(tǒng)籌，也需要科研機(jī)構(gòu)、高校、網(wǎng)絡(luò)安全企業(yè)及社會各界形成合力，健全安全保障工作機(jī)制。

　　什么是工控系統(tǒng)？簡單來說，就是指用計(jì)算機(jī)技術(shù)、微電子技術(shù)、電氣手段，使工廠的生產(chǎn)和制造過程更加自動化、效率化、精確化，并具有可控性及可視性。

　　由于牽涉面大、影響范圍廣，工控系統(tǒng)一旦遭到網(wǎng)絡(luò)攻擊，損失不可估量。例如2010年伊朗核電站遭“震網(wǎng)”病毒襲擊，2015年烏克蘭供電系統(tǒng)被黑客攻擊，這些工控系統(tǒng)安全性事件均在全球范圍引起關(guān)注。

　　當(dāng)前我國工控系統(tǒng)面臨的風(fēng)險(xiǎn)主要包括以下幾個方面：

　　首先，工控系統(tǒng)安全漏洞層出不窮。由于工控軟硬件產(chǎn)品在設(shè)計(jì)之初就很少考慮安全問題，導(dǎo)致安全漏洞不斷涌現(xiàn)。今年以來，國家工業(yè)安全中心發(fā)現(xiàn)國內(nèi)工控系統(tǒng)安全漏洞數(shù)百個，廣泛分布于裝備制造、交通、能源、智能樓宇等重要工業(yè)領(lǐng)域。

　　其次，攻擊難度逐步降低。由于黑客大會、開源社區(qū)、白帽社區(qū)的出現(xiàn)，大量工控系統(tǒng)軟硬件設(shè)備的漏洞及利用方式可通過公開或半公開的渠道獲得。在github等開源社區(qū)，很多關(guān)于工控設(shè)備的弱口令信息及工控系統(tǒng)的掃描、探測、滲透方法被公布。

　　第三，工控系統(tǒng)很容易成為國家之間網(wǎng)絡(luò)對抗及黑客定向攻擊的目標(biāo)。如2017年上半年在全球范圍爆發(fā)的“勒索病毒”攻擊事件，已對能源、交通等領(lǐng)域的工控系統(tǒng)造成影響。

　　此期間，網(wǎng)上還出現(xiàn)一款專門攻擊電力領(lǐng)域工控系統(tǒng)的新型惡意軟件。它能夠通過入侵系統(tǒng)引發(fā)大規(guī)模停電，同時造成設(shè)備損壞和級聯(lián)故障。

　　此外，劉迎還表示，隨著工業(yè)控制系統(tǒng)從封閉走向開放互聯(lián)，工業(yè)互聯(lián)趨勢下的安全風(fēng)險(xiǎn)將持續(xù)升級。大規(guī)模的互聯(lián)互通為攻擊者提供了更多攻擊路徑，新一代信息技術(shù)如工業(yè)互聯(lián)網(wǎng)、工業(yè)云、工業(yè)大數(shù)據(jù)等應(yīng)用將帶來新的安全風(fēng)險(xiǎn)。

　　面對風(fēng)險(xiǎn)，有關(guān)部門也在想方設(shè)法增強(qiáng)工控系統(tǒng)的防御能力。

　　據(jù)劉迎介紹，針對工控系統(tǒng)安全防護(hù)，我國是世界少數(shù)幾個專門發(fā)布“體系化”安全防護(hù)指導(dǎo)性文件的國家。

　　特別是2016年，工信部曾印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（以下簡稱指南），文件從11個方面提出30項(xiàng)防護(hù)措施，涉及工業(yè)主機(jī)、網(wǎng)絡(luò)、設(shè)備和數(shù)據(jù)等層次的安全防護(hù)技術(shù)

　　“實(shí)施這些防護(hù)措施，可有效抵御絕大部分風(fēng)險(xiǎn)威脅。”劉迎坦言，從今年的檢查評估工作來看，上述指南在我國工業(yè)企業(yè)的落實(shí)程度有待加強(qiáng)。目前各行業(yè)防護(hù)水平參差不齊，未來需要進(jìn)一步保證優(yōu)秀解決方案在工業(yè)企業(yè)的推廣落地。

　　同時，劉迎認(rèn)為，保障工業(yè)4.0時代的網(wǎng)絡(luò)安全， 需要有關(guān)部門出臺相關(guān)安全保障戰(zhàn)略政策、健全完善相應(yīng)的標(biāo)準(zhǔn)規(guī)范，同時建立面向工業(yè)企業(yè)安全評估常態(tài)化工作機(jī)制。

　　她還表示，接下來應(yīng)建設(shè)工業(yè)4.0安全風(fēng)險(xiǎn)信息共享與應(yīng)急聯(lián)動工作體系，組織、協(xié)調(diào)行業(yè)監(jiān)管部門、研究機(jī)構(gòu)、制造企業(yè)、安全廠商共同合作。依托國家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟，推動工控安全防護(hù)形成產(chǎn)、學(xué)、研、用生態(tài)體系。

　　據(jù)了解，國家工業(yè)信息安全發(fā)展研究中心（工業(yè)和信息化部電子第一研究所），前身為成立于1959年的電子科學(xué)技術(shù)情報(bào)研究所，為工業(yè)和信息化部直屬事業(yè)單位，是支撐我國工業(yè)領(lǐng)域信息安全的國家級研究與推進(jìn)機(jī)構(gòu)。