多方協作共保工控系統網絡安全

　　近年來，傳統工業已經邁向智能工業，以數字化和信息化為核心的工業自動化系統日益成熟。但是伴隨著產業的發展，工控系統背后隱藏的安全問題逐漸顯現。

　　近日，2017年網絡安全博覽會暨網絡安全成就展在上海舉行。國家工業安全中心網絡與信息安全研究部主任劉迎在接受媒體采訪時表示，近年來國家隊工控系統網絡安全越來越重視。伴隨著工業4.0的到來，工控系統網絡安全不僅僅需要政府層面做好頂層設計和戰略統籌，還需要各科研機構、高校、企業以及社會各界通力合作，完善安全保障工作機制。

　　劉迎表示，當前我國工控系統面臨的風險主要在以下幾個方面：

　　1、工控系統安全漏洞百出。由于工控軟硬件產品在設計之初就很少考慮安全問題，導致安全漏洞不斷涌現。今年以來，國家工業安全中心發現國內工控系統安全漏洞數百個，分布在裝備制造、交通、能源、智能樓宇等重要工業領域。

　　2、攻擊難度正在降低。由于黑客大會、白帽社區、開源社區的出現，大量工控系統軟硬件設備的漏洞及利用方式都可以在網絡上以各種渠道獲得。尤其是在github等開源社區，很多關于工控設備的弱口令信息及工控系統的掃描、探測、滲透方法被公布。

　　3、工控系統很容易成為國家之間網絡對抗及黑客定向攻擊的目標。如2017年上半年在全球范圍爆發的“勒索病毒”攻擊事件，已對能源、交通等領域的工控系統造成一定影響。近期網上還出現一款專門攻擊電力領域工控系統的新型惡意軟件。它能夠通過入侵系統引發大規模停電，同時造成設備損壞和級聯故障。

　　并且隨著工業控制系統從封閉走向開放，大規模的互聯互通為攻擊者提供了更多攻擊路徑，因此新工業技術如工業互聯網、工業云、工業大數據等應用將帶來新的安全風險。

　　面對風險，國家一直在想方設法增強工控系統的防御能力。針對工控系統安全防護，我國是世界少數幾個專門發布“體系化”安全防護指導性文件的國家。

　　此外，劉迎還表示，保障工控系統網絡安全，除了需要有關部門出臺相關政策保障安全、完善相應的標準規范以外，還應該建立面向工業企業安全評估常態化工作機制。通過建設工業4.0安全風險信息共享與應急聯動工作體系，組織、協調行業監管部門、研究機構、制造企業、安全廠商攜手合作。依托國家工業信息安全產業發展聯盟，推動工控安全防護形成產、學、研、用生態體系。