工控系统安全隐患猛于虎

当前，我国正处于工业转型升级的历史时期，信息化与工业化深度融合的智能化生产成为发展趋势。在工业信息化过程中，现有工业控制系统(以下简称工控系统)的软硬件、通信协议，以及管理环节往往都存在信息安全隐患风险。

工控系统安全隐患普遍存在

以“保密性-完整性-可用性”为设计要求的信息安全解决方案和标准很难满足工控行业对信息安全的需求。

工控系统信息安全事件在近年来逐年增加，严重影响国家和地区的重要基础设施安全，造成的损失和危害越来越严重，安全形势刻不容缓。美欧将关键基础设施与工控安全列为国家战略。美国高度重视工控系统安全，采取了一系列的措施来保障关键基础设施和工控系统的信息安全，通过发布国家法规战略、制定工业控制系统安全路线图、制定工控信息安全深度防御策略和标准、开展工控系统信息安全检查和评估来保障工控系统的安全。

随着我国工业转型升级进程的加快，电子计算机和计算机网络等技术在工业控制中的应用日益广泛，许多工业设备均已配备各种类型的现场总线通讯接口和各种类型的工业以太网通讯接口，具有强大的上行、下行网络通讯能力。然而，工控系统的智能化、网络化的发展在推进工业生产发展的同时，也带来了诸多的安全隐患。例如，企业远端用户通过互联网连接至SCADA系统(数据采集与监视控制系统)，因此该系统面临着远程控制和网络入侵等多种安全威胁。通用通信协议、软硬件及大量的TCP/IP技术在工业控制系统中的应用，使得工业控制系统在与传统企业网络高度一体化的同时，也引入了传统IT领域的信息安全问题。另外，能够提供工业安全技术或服务能力的企业少之又少。据统计，在出席SPS IPC Drivers展览会的1429家参展商中，大多数工控系统供应商专注于工控系统本身的发展，只有寥寥16家展商涉及工控安全。

对工控系统重视程度和投入不足，导致了当前工控系统领域安全隐患普遍存在的现状。长期以来，我国信息安全不是工控系统的首要设计目标，以“保密性-完整性-可用性”为设计要求的信息安全解决方案和标准很难满足工控行业对信息安全的需求，因此存在着适用程度低等问题。

现阶段我国的工控系统信息安全产业的规模与国外相比还有很大差距，相关国家标准大多处于研究阶段，我国工业控制系统信息安全工作起步晚，总体上技术研究尚属起步阶段，管理制度不健全，相关标准体系不完善，安全防护能力和应急处理测评能力不高。因此，应尽快制定相关政策及标准，将工控系统安全纳入到工业和信息化行业，并上升到国家网络安全战略高度予以部署推进。

工控系统高端市场被国外垄断

核心技术和元件均掌握在国外厂商手中，例如在“震网”病毒中中招的西门子SCADA系统在我国应用就相当广泛。

今天，工业控制系统已经成为电力、水利、石油化工、天然气和交通运输等关键设备的基石，工控系统的安全事件会对国家、企业造成巨大的经济损失和社会损失，直接关系到国家的战略安全。2011年7月，从杭州开往福州的D3115次列车与从北京开往福州的D301次列车追尾事故，造成40人死亡、172人受伤，中断行车32小时35分，直接经济损失19371.65万元;2012年4月，深圳遭遇10年来最大范围的停电事故，福田、罗湖、龙岗3个区停电2个小时，经济损失达8个亿;2013年11月，中石化输油储运公司潍坊分公司输油管线破裂，直接经济损失7.5亿元。

这些事件反映出我国工控系统存在多个薄弱环节，国产化程度不高，尤其是高端市场基本被国外垄断，核心技术和元件均掌握在国外厂商手中，安全形势严峻。

首先，国外工业控制系统在产品设计、配置等方面不可避免地存在漏洞，这些漏洞一旦被敌对势力、恐怖组织、商业间谍、黑客组织等利用，不仅会带来关键数据和信息被窃取、被篡改破坏等问题，还可能使涉及国计民生的工业、能源、交通等关键基础设施遭到破坏。例如，2010年爆发的“震网”病毒，专门针对西门子的SCADA系统，可以造成钢铁、电力、能源、化工等重要行业运行异常，商业资料失窃，甚至停工停产。而西门子公司的该套系统在我国的应用相当广泛。

其次，国外厂商会对工业控制系统进行远程维护，关键核心数据可能被窃取并被利用。例如，我国的SCADA系统普遍采用Windows等操作系统，这就给该系统中可能存在的后门程序提供了可乘之机。而我国工控系统的安全保护和安全管理水平又偏低，缺乏有效的管理标准来监管系统安全。

此外，我国目前还缺乏应用于工控系统的安全防护产品，产品门类不全，体系也不够健全。