導讀：截至2014年6月，共有549個與工業控製係統相關的公開安全漏洞，其中128個涉及西門子產品
，46個涉及施耐德電氣產品,37個涉及研華科技產品,31個涉及GE產品

   我國正處在從工業大國向工業強國的關鍵轉型發展期，工業控製係統（簡稱“工控係統”）的安全保障能力是我國打造工業強國的核心競爭力之一，必須提升到戰略高度予以重視。

　　工控係統麵臨的安全形勢日益嚴峻

　　我國工控係統存在嚴重安全隱患。根據綠盟科技結合美國CVE（公共漏洞和暴露）
、ICS－CERT（美國國土安全部工業控製係統和計算機應急響應小組）以及中國國家信息安全漏洞共享平台所發布的數據，截至2014年6月，共有549個與工業控製係統相關的公開安全漏洞，其中128個涉及西門子產品，占28％；46個涉及施耐德電氣產品，占10％；37個涉及研華科技產品，占8％
；31個涉及GE產品，占7％。上(shang)述(shu)廠(chang)商(shang)的(de)產(chan)品(pin)在(zai)我(wo)國(guo)工(gong)控(kong)係(xi)統(tong)中(zhong)有(you)著(zhe)極(ji)為(wei)廣(guang)泛(fan)的(de)應(ying)用(yong)，甚(shen)至(zhi)部(bu)分(fen)產(chan)品(pin)在(zai)某(mou)些(xie)行(xing)業(ye)處(chu)於(yu)市(shi)場(chang)壟(long)斷(duan)地(di)位(wei)，我(wo)國(guo)工(gong)控(kong)係(xi)統(tong)的(de)安(an)全(quan)脆(cui)弱(ruo)性(xing)不(bu)容(rong)忽(hu)視(shi)。

　　我國工控係統安全防護的三大問題

　　nixiangfazhanguochengzhongbiaozhunnanluodi。weiyingduigongkongxitongdeanquanfengxian，jinnianlaiwoguocankaoguowaibiaozhuntixi，zhidingbingbanbuleduoxiangxingyeanquanguanlihejishubiaozhun，duichanyedefazhanqidaolexianzhudeguifanheyindaozuoyong。danguowaibiaozhuntixishizaidaliangyingyongshijianjichushangzongjieerlaide，woguozeshixianyoubiaozhun，zaifazhanmanzushichangxuqiuqiechengbenhelidejiejuefangan

，shiyigenixiangfazhandeguocheng，tuchudetiaozhanzaiyubiaozhunruhenenggouluodi，zheduiyuanquanchangshangdejishunengliheyonghuqiyedeyingyongshuipingdouyoujiaogaoyaoqiu，xuyaodaliangjingyanfengfu
、精通工控和安全技術的研發和應用人才。

　　工gong業ye企qi業ye應ying用yong安an全quan解jie決jue方fang案an過guo程cheng中zhong輕qing視shi安an全quan管guan理li。麵mian對dui工gong控kong係xi統tong的de安an全quan隱yin患huan，用yong戶hu企qi業ye延yan續xu信xin息xi安an全quan防fang護hu的de舊jiu思si路lu
，認ren為wei工gong控kong係xi統tong安an全quan屬shu於yu純chun技ji術shu問wen題ti
，要yao求qiu工gong控kong係xi統tong廠chang商shang提ti供gong整zheng改gai方fang案an
，或huo者zhe轉zhuan向xiang第di三san方fang廠chang商shang購gou買mai安an全quan解jie決jue方fang案an。但dan安an全quan防fang護hu不bu隻zhi是shi技ji術shu問wen題ti
，更geng重zhong要yao的de是shi通tong過guo流liu程cheng製zhi度du對dui安an全quan脆cui弱ruo性xing進jin行xing控kong製zhi，並bing保bao證zheng人ren員yuan對dui流liu程cheng製zhi度du的de堅jian決jue執zhi行xing。很hen多duo情qing況kuang下xia
，安an全quan事shi故gu的de發fa生sheng和he關guan鍵jian信xin息xi的de泄xie露lu，人ren的de因yin素su至zhi關guan重zhong要yao。如ru何he使shi安an全quan管guan理li融rong入ru到dao日ri常chang管guan理li的de流liu程cheng
，並bing強qiang化hua落luo實shi流liu程cheng的de執zhi行xing，加jia強qiang人ren員yuan的de管guan理li
，是shi工gong業ye企qi業ye必bi須xu認ren真zhen思si考kao和he解jie決jue的de問wen題ti。

　　安全廠商開發解決方案過程中忽視安全治理體係。在能源、電力等關鍵部門迫切的工控係統安全整改需求推動之下，我國工控係統安全市場快速擴大
，吸引了大量傳統ITxinxianquanchangshangdejinru。gongkongxitonganquanfanghushiyigezonghezhilitixi，jiqiangtiaobaozhanggongkongxitongdegaokeyongxinghegaokekaoxing，haiyaofangfananquanshijiankenengduigongyejichusheshiyijirenyuanshengminganquandailaideweixie。

　　對策建議

　　借jie鑒jian德de國guo經jing驗yan
，將jiang工gong控kong係xi統tong安an全quan保bao障zhang能neng力li建jian設she上shang升sheng為wei國guo家jia戰zhan略lve。一yi是shi盡jin快kuai啟qi動dong現xian有you工gong控kong係xi統tong的de係xi統tong性xing安an全quan評ping估gu
，落luo實shi成cheng本ben經jing濟ji的de安an全quan解jie決jue方fang案an。二er是shi把ba工gong控kong係xi統tong安an全quan保bao障zhang能neng力li建jian設she納na入ru到dao製zhi造zao業ye轉zhuan型xing升sheng級ji戰zhan略lve體ti係xi當dang中zhong
，同tong步bu部bu署shu
，重zhong點dian推tui進jin，研yan究jiu製zhi定ding相xiang關guan發fa展zhan促cu進jin政zheng策ce。三san是shi持chi續xu推tui進jin知zhi識shi產chan權quan保bao護hu，加jia強qiang立li法fa和he執zhi法fa。

　　以(yi)標(biao)準(zhun)為(wei)基(ji)礎(chu)
，以(yi)市(shi)場(chang)為(wei)導(dao)向(xiang)，支(zhi)持(chi)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)技(ji)術(shu)和(he)解(jie)決(jue)方(fang)案(an)的(de)研(yan)發(fa)。一(yi)是(shi)積(ji)極(ji)跟(gen)蹤(zong)並(bing)參(can)與(yu)國(guo)際(ji)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)標(biao)準(zhun)規(gui)範(fan)和(he)認(ren)證(zheng)管(guan)理(li)等(deng)方(fang)麵(mian)的(de)工(gong)作(zuo)
，加(jia)深(shen)對(dui)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)標(biao)準(zhun)體(ti)係(xi)和(he)管(guan)理(li)方(fang)法(fa)的(de)理(li)解(jie)，加(jia)快(kuai)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)國(guo)家(jia)標(biao)準(zhun)的(de)製(zhi)定(ding)。二(er)是(shi)以(yi)市(shi)場(chang)應(ying)用(yong)為(wei)導(dao)向(xiang)
，切(qie)合(he)實(shi)際(ji)需(xu)求(qiu)，支(zhi)持(chi)產(chan)學(xue)研(yan)單(dan)位(wei)積(ji)極(ji)研(yan)發(fa)技(ji)術(shu)自(zi)主(zhu)、成本經濟的工控係統安全解決方案。三是加快培養一批全麵掌握工業控製技術和相關安全技術知識的專業人才。

　　培育工控係統安全生態體係。一是提高工控係統安全的治理水平。二是規範工控係統安全風險和脆弱性評估市場，盡快建立統一、dulideguojiapinggutixi。sanshijiakuaijianlijiyuxingyedegongkongxitonganquanloudong，xingchenggongkongxitonghexinxianquanchangshangdexietongjizhi，jiaqiangduigongkongshijiandejiancehetongbao，shixianloudongxinxidingqigengxin。

　　加強信息安全策略體係建設和流程管理。一是要求工業企業加快製定安全管理製度，明確職責、quanxian，tigaoduigongkongxitonganquanderenshishuipinghezhongshichengdu。ershijiaqianganquanjiaoyuheguanlipeixun
，ducuqiyeluoshianquanguanlizhidu，dingqizuzhigongkongxitonganquanjianzha。