華東理工大學教授、博士生導師 林家駿

   工業控制系統信息安全事件現狀與趨勢

   據權威工業安全事件信息庫(Repository of Industrial SecurityIncidents, RISI)統計，截至2011年10月，全球已發生200余起針對工業控制系統的攻擊事件。 對這些數據進行分析我們得出以下趨勢：全行業覆蓋的趨勢、日益增多的趨勢及國家經濟越發達安全事件越多的趨勢。

   我國工控系統也面臨著嚴重的安全風險，主要體現在：

    （1）生產工藝設計人員和控制系統設計人員缺乏信息安全意識；

   （2）系統體系架構缺乏基本的安全保障：• 網絡本身“一馬平川”• 缺乏最基本的數據流向控制與管理• 無線信道保護不足• 現場總線協議普遍缺乏基本的安全機制• 遠程現場設備物理安全

   （3）系統外聯缺乏風險評估和必要的信息安全保障措施；

   （4）關鍵與核心設備信息安全保障不足；

   工業控制系統漏洞攻擊現狀與趨勢

  “震網”病毒事件為全球關鍵基礎設施核心要害系統安全問題敲響了警鐘，分析工控系統所遭受的漏洞和攻擊，可以看出工業控制系統漏洞攻擊正向著簡單控制器受攻擊增大、利用網絡協議進行攻擊、專業攻擊人員進行攻擊、利用病毒進行攻擊、工控信息系統漏洞挖掘與發布同時增長的趨勢發展。同時，入侵途徑可以通過辦公網絡、互聯網或者是虛擬的專網、撥號連接、“可信”的第三方連接、無線網絡、公共通信設施等。如果現場設備不介入任何網絡，是一個“孤島”的狀態，仍有可能受到通過可移動存儲和接入設備所傳播的惡意軟件的攻擊。

   我國工控系統中大量存在漏洞和隱患，包括：系統體系結構存在共性安全隱患、工控系統自身存在安全漏洞、工控系統運行所處的系統和環境存在安全漏洞和隱患。隨著信息化建設深入，工控系統開始同生產管理、ERP系統、電子商務系統等相連并逐漸納入到統一的信息系統中，但在此過程中相關分區隔離等信息安全問題并未得到充分認識和重視。隨著工業控制系統技術的發展，多工控系統集成、通過互聯網/內聯網/外聯網進行Web訪問等方式開始逐漸流行，工控系統直接暴露的風險也不斷增加。工控系統中采用的工業協議中存在缺乏加密和認證等信息安全考慮。

   根據國家漏洞庫(CNNVD)顯示，我國各工業領域中所使用的眾多國內外相關工控系統存在漏洞。

   工業控制系統信息安全對策的現狀與趨勢

   當前，美國、歐盟都從國家戰略的層面在開展各方面的工作，積極研究工業控制系統信息安全的應對策略，我國也在政策層面和研究層面在積極開展工作，但我國工業控制系統信息安全工作起步晚，總體上技術研究尚屬起步階段，管理制度不健全，相關標準規范不完善，技術防護措施不到位，安全防護能力和應急處理能力不高，這些問題都威脅著工業生產安全和社會正常運作。我國工控信息安全的當務之急包括：

   （1）有關政府部門發布相關法令法規深入研究我國工業控制系統的行業特點和需求，有針對性地制定相關行業信息安全保障應用行規。

   （2）研究我國工業信息安全標準體系建立標準之后，就可以開展工業控制系統信息安全評估的制定工作，健全工業信息安全評估認證機制，建立有效的工業控制系統信息安全應急系統，形成我國自主的工業控制系統信息安全產業和管理體系。

   （3）對工業控制系統進行專業化的漏洞檢測前提是不可影響控制系統的穩定、可靠與安全運行，否則容易引起不必要的災害事故。

  （4）加快研發工業控制系統安防的技術和產品

  （5）工業控制系統信息安全人才的培養