工控系統安全何時告別“裸奔”時代？

　　工業控制系統對于大多數人而言是一個陌生的名詞，更是一個不容易接觸到的領域。但是，工業控制系統卻與我們的日常工作及生活息息相關。當前，工業控制系統廣泛地應用在工業制造、石油石化以及軌道交通、水電煤等各個行業之中，是國家關鍵基礎設施重要的組成部分，可以說，工業控制系統的信息安全已經影響到人們的生命財產安全，一旦遭受攻擊，將面臨巨大風險。

　　近年來，工業控制系統安全形勢愈發嚴峻。例如大家所熟悉的在2011年攻擊伊朗核設施的“震網”病毒、火焰等等，都對重要的工業控制系統產生了巨大的威脅。當前，針對工業控制系統的攻擊正呈現逐年上升的趨勢，但這些被暴露的安全漏洞可以說只是冰山一角。與此同時，還有大量的漏洞沒有對外公開，而在這些漏洞中，有80%以上可以被黑客遠程利用發起攻擊。

　　對于我國而言，工業控制系統安全所面臨的形勢則更為嚴峻。這首先便涉及到自主可控的問題。如果自主水平很低，在不可控的情況下，所面臨的風險也會更大。而據相關調查統計結果顯示，全國5000多個重要的工業控制系統中，95%以上的工控系統操作系統均是采用是國外產品。

　　另外從安全防護方面來看，當前對于工業控制系統安全防護水平要遠遠低于傳統的信息系統安全防護。據調查，在工業控制系統中，對于各類安全防護措施的部署和安裝均不超過30%。

　　而在過去很長一段時間內，由于工業控制系統沒有聯網，必須要控制現場工程師站，才能夠入侵控制系統。而現在，隨著工業專用網絡逐步開始與互聯網進行互聯互通，導致大部分的系統已經直接或間接地與其他公網或開放的互聯網相聯。這使得黑客可以使用各種工具實施對工控系統的攻擊。更危險的是，目前到底有多少工控系統暴露在互聯網中，它們到底有面臨怎樣的安全風險，我們均不得而知。而這種情況則加大了工業控制系統整體的安全風險。

　　那么，對于工業控制系統的安全，應該如何防護?目前看來，在這方面，國外在工業控制系統在線監測方面的工作進行的比較早，或許能夠為我們提供一些借鑒之處。

　　國外對在線工業控制系統的監測一般分為兩類。一類是通過Googl搜索，對聯接工業互聯網的設備進行查找。但這種方式因為其專業性較低，查找的方式較為原始，效果也很一般。

　　第二種方式則是利用是專業的工具，即采用工業控制系統指紋匹配的方式來進行查找，查找的工業控制設備比較準確。據悉，美國便是利用了“ShodanComputerSearchEngine”這樣一款專業工具。Shodan是一個與google類似的搜索引擎，可以搜索服務器、路由器、負載均衡設備和其他網絡設備。通過Shodan，可以搜索到包括傳統的SCADA和ICS設備，以及目前流行醫療設備、交通管理系統等新的工業控制設備。根據所查詢到的情況，有關部門可以對其進行相關的報告和處置。

　　而在這方面，目前我國基本還處于空白階段。如此看來，當前我國的工業控制系統安全無異于處于“裸奔”的狀態。

　　如上所述，一方面，我國的工控系統目前所面臨的安全風險要甚于國外;而另一方面，在地工控系統安全的在線監測方面，我國的水平也遠遜于國外。

　　記者認為，建立一套針對工控系統的國家安全檢測的平臺，加強我國在工控系統安全檢測方面的能力已成為迫在眉睫之勢。這樣一個平臺的建立，對于掌握工業信息化和互聯網化的發展態勢、提高工業控制系統的可發現能力、幫助關鍵基礎設施的運營單位提高控制系統的安全性等諸多方面都有著十分重要的意義。

　　工控系統的國家安全檢測的平臺的建立，不僅需要行業主管部門的牽頭及指導，更需要工業控制系統運營單位的積極參與和努力。除此之外，對于工控系統的安全自查、以及對安全風險消除和跟蹤方面的相關研究也是亟需深入和跟進的。

　　總而言之，要讓工控系統安全早日告別“裸奔”時代，雖然路漫漫其修遠兮，但卻也仍需不斷上下而求索之。