國家工業安全中心劉迎：工控系統網絡安全需各方合力保障

　　網絡安全不僅影響人們的日常生活，也給工業生產帶來考驗。

　　9月17日－20日，2017年網絡安全博覽會暨網絡安全成就展在上海舉行。活動期間，國家工業信息安全研究中心（以下簡稱“國家工業安全中心”）網絡與信息安全研究部主任劉迎就工業控制系統的安全問題接受澎湃新聞（www.thepaper.cn）采訪。

　　國家工業安全中心網絡與信息安全研究部主任劉迎

　　劉迎表示，近年來，國家對工業控制系統（以下簡稱工控系統）網絡安全的重視程度正不斷加大。隨著工業4.0時代到來，工控系統網絡安全保障不僅需要在政府層面做好頂層設計和戰略統籌，也需要科研機構、高校、網絡安全企業及社會各界形成合力，健全安全保障工作機制。

　　什么是工控系統？簡單來說，就是指用計算機技術、微電子技術、電氣手段，使工廠的生產和制造過程更加自動化、效率化、精確化，并具有可控性及可視性。

　　由于牽涉面大、影響范圍廣，工控系統一旦遭到網絡攻擊，損失不可估量。例如2010年伊朗核電站遭“震網”病毒襲擊，2015年烏克蘭供電系統被黑客攻擊，這些工控系統安全性事件均在全球范圍引起關注。

　　當前我國工控系統面臨的風險主要包括以下幾個方面：

　　首先，工控系統安全漏洞層出不窮。由于工控軟硬件產品在設計之初就很少考慮安全問題，導致安全漏洞不斷涌現。今年以來，國家工業安全中心發現國內工控系統安全漏洞數百個，廣泛分布于裝備制造、交通、能源、智能樓宇等重要工業領域。

　　其次，攻擊難度逐步降低。由于黑客大會、開源社區、白帽社區的出現，大量工控系統軟硬件設備的漏洞及利用方式可通過公開或半公開的渠道獲得。在github等開源社區，很多關于工控設備的弱口令信息及工控系統的掃描、探測、滲透方法被公布。

　　第三，工控系統很容易成為國家之間網絡對抗及黑客定向攻擊的目標。如2017年上半年在全球范圍爆發的“勒索病毒”攻擊事件，已對能源、交通等領域的工控系統造成影響。

　　此期間，網上還出現一款專門攻擊電力領域工控系統的新型惡意軟件。它能夠通過入侵系統引發大規模停電，同時造成設備損壞和級聯故障。

　　此外，劉迎還表示，隨著工業控制系統從封閉走向開放互聯，工業互聯趨勢下的安全風險將持續升級。大規模的互聯互通為攻擊者提供了更多攻擊路徑，新一代信息技術如工業互聯網、工業云、工業大數據等應用將帶來新的安全風險。

　　面對風險，有關部門也在想方設法增強工控系統的防御能力。

　　據劉迎介紹，針對工控系統安全防護，我國是世界少數幾個專門發布“體系化”安全防護指導性文件的國家。

　　特別是2016年，工信部曾印發《工業控制系統信息安全防護指南》（以下簡稱指南），文件從11個方面提出30項防護措施，涉及工業主機、網絡、設備和數據等層次的安全防護技術

　　“實施這些防護措施，可有效抵御絕大部分風險威脅。”劉迎坦言，從今年的檢查評估工作來看，上述指南在我國工業企業的落實程度有待加強。目前各行業防護水平參差不齊，未來需要進一步保證優秀解決方案在工業企業的推廣落地。

　　同時，劉迎認為，保障工業4.0時代的網絡安全， 需要有關部門出臺相關安全保障戰略政策、健全完善相應的標準規范，同時建立面向工業企業安全評估常態化工作機制。

　　她還表示，接下來應建設工業4.0安全風險信息共享與應急聯動工作體系，組織、協調行業監管部門、研究機構、制造企業、安全廠商共同合作。依托國家工業信息安全產業發展聯盟，推動工控安全防護形成產、學、研、用生態體系。

　　據了解，國家工業信息安全發展研究中心（工業和信息化部電子第一研究所），前身為成立于1959年的電子科學技術情報研究所，為工業和信息化部直屬事業單位，是支撐我國工業領域信息安全的國家級研究與推進機構。