國家工業(yè)安全中心劉迎：工控系統(tǒng)網(wǎng)絡安全需各方合力保障

　　網(wǎng)絡安全不僅影響人們的日常生活，也給工業(yè)生產帶來考驗。

　　9月17日－20日，2017年網(wǎng)絡安全博覽會暨網(wǎng)絡安全成就展在上海舉行。活動期間，國家工業(yè)信息安全研究中心（以下簡稱“國家工業(yè)安全中心”）網(wǎng)絡與信息安全研究部主任劉迎就工業(yè)控制系統(tǒng)的安全問題接受澎湃新聞（www.thepaper.cn）采訪。

　　國家工業(yè)安全中心網(wǎng)絡與信息安全研究部主任劉迎

　　劉迎表示，近年來，國家對工業(yè)控制系統(tǒng)（以下簡稱工控系統(tǒng)）網(wǎng)絡安全的重視程度正不斷加大。隨著工業(yè)4.0時代到來，工控系統(tǒng)網(wǎng)絡安全保障不僅需要在政府層面做好頂層設計和戰(zhàn)略統(tǒng)籌，也需要科研機構、高校、網(wǎng)絡安全企業(yè)及社會各界形成合力，健全安全保障工作機制。

　　什么是工控系統(tǒng)？簡單來說，就是指用計算機技術、微電子技術、電氣手段，使工廠的生產和制造過程更加自動化、效率化、精確化，并具有可控性及可視性。

　　由于牽涉面大、影響范圍廣，工控系統(tǒng)一旦遭到網(wǎng)絡攻擊，損失不可估量。例如2010年伊朗核電站遭“震網(wǎng)”病毒襲擊，2015年烏克蘭供電系統(tǒng)被黑客攻擊，這些工控系統(tǒng)安全性事件均在全球范圍引起關注。

　　當前我國工控系統(tǒng)面臨的風險主要包括以下幾個方面：

　　首先，工控系統(tǒng)安全漏洞層出不窮。由于工控軟硬件產品在設計之初就很少考慮安全問題，導致安全漏洞不斷涌現(xiàn)。今年以來，國家工業(yè)安全中心發(fā)現(xiàn)國內工控系統(tǒng)安全漏洞數(shù)百個，廣泛分布于裝備制造、交通、能源、智能樓宇等重要工業(yè)領域。

　　其次，攻擊難度逐步降低。由于黑客大會、開源社區(qū)、白帽社區(qū)的出現(xiàn)，大量工控系統(tǒng)軟硬件設備的漏洞及利用方式可通過公開或半公開的渠道獲得。在github等開源社區(qū)，很多關于工控設備的弱口令信息及工控系統(tǒng)的掃描、探測、滲透方法被公布。

　　第三，工控系統(tǒng)很容易成為國家之間網(wǎng)絡對抗及黑客定向攻擊的目標。如2017年上半年在全球范圍爆發(fā)的“勒索病毒”攻擊事件，已對能源、交通等領域的工控系統(tǒng)造成影響。

　　此期間，網(wǎng)上還出現(xiàn)一款專門攻擊電力領域工控系統(tǒng)的新型惡意軟件。它能夠通過入侵系統(tǒng)引發(fā)大規(guī)模停電，同時造成設備損壞和級聯(lián)故障。

　　此外，劉迎還表示，隨著工業(yè)控制系統(tǒng)從封閉走向開放互聯(lián)，工業(yè)互聯(lián)趨勢下的安全風險將持續(xù)升級。大規(guī)模的互聯(lián)互通為攻擊者提供了更多攻擊路徑，新一代信息技術如工業(yè)互聯(lián)網(wǎng)、工業(yè)云、工業(yè)大數(shù)據(jù)等應用將帶來新的安全風險。

　　面對風險，有關部門也在想方設法增強工控系統(tǒng)的防御能力。

　　據(jù)劉迎介紹，針對工控系統(tǒng)安全防護，我國是世界少數(shù)幾個專門發(fā)布“體系化”安全防護指導性文件的國家。

　　特別是2016年，工信部曾印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》（以下簡稱指南），文件從11個方面提出30項防護措施，涉及工業(yè)主機、網(wǎng)絡、設備和數(shù)據(jù)等層次的安全防護技術

　　“實施這些防護措施，可有效抵御絕大部分風險威脅。”劉迎坦言，從今年的檢查評估工作來看，上述指南在我國工業(yè)企業(yè)的落實程度有待加強。目前各行業(yè)防護水平參差不齊，未來需要進一步保證優(yōu)秀解決方案在工業(yè)企業(yè)的推廣落地。

　　同時，劉迎認為，保障工業(yè)4.0時代的網(wǎng)絡安全， 需要有關部門出臺相關安全保障戰(zhàn)略政策、健全完善相應的標準規(guī)范，同時建立面向工業(yè)企業(yè)安全評估常態(tài)化工作機制。

　　她還表示，接下來應建設工業(yè)4.0安全風險信息共享與應急聯(lián)動工作體系，組織、協(xié)調行業(yè)監(jiān)管部門、研究機構、制造企業(yè)、安全廠商共同合作。依托國家工業(yè)信息安全產業(yè)發(fā)展聯(lián)盟，推動工控安全防護形成產、學、研、用生態(tài)體系。

　　據(jù)了解，國家工業(yè)信息安全發(fā)展研究中心（工業(yè)和信息化部電子第一研究所），前身為成立于1959年的電子科學技術情報研究所，為工業(yè)和信息化部直屬事業(yè)單位，是支撐我國工業(yè)領域信息安全的國家級研究與推進機構。