隨著兩化融合的深入以及中國製造2025
、工業4.0的提出
，網絡威脅開始蔓延至工業控製領域。然而，工業控製係統作為關鍵基礎設施的“大腦”和“中樞神經”，超過80%的涉及國計民生的關鍵基礎設施及智慧城市業務係統，要依靠它來實現自動化作業，一旦被入侵將直接影響工業安全、國家安全。因此，保障工業控製係統的安全至關重要。

8月16日
，2016中(zhong)國(guo)互(hu)聯(lian)網(wang)安(an)全(quan)大(da)會(hui)工(gong)業(ye)互(hu)聯(lian)網(wang)安(an)全(quan)論(lun)壇(tan)在(zai)北(bei)京(jing)舉(ju)行(xing)。會(hui)上(shang)，工(gong)業(ye)和(he)信(xin)息(xi)化(hua)部(bu)電(dian)子(zi)科(ke)技(ji)技(ji)術(shu)情(qing)報(bao)研(yan)究(jiu)所(suo)總(zong)工(gong)程(cheng)師(shi)尹(yin)麗(li)波(bo)
，中(zhong)國(guo)信(xin)息(xi)安(an)全(quan)測(ce)評(ping)中(zhong)心(xin)隱(yin)患(huan)分(fen)析(xi)處(chu)副(fu)處(chu)長(chang)、研究員謝豐等，針對工業控製係統麵臨的風險和挑戰等一係列關乎工業網絡安全的話題展開分享和討論。

謝豐表示，從2010年“震網”病毒攻擊伊朗科工業控製係統
，到2016年第一款可在PLC之間傳播的“工控蠕蟲”問世，不難看出工控入侵技術在不斷變化，並表現出了新的特點：網絡攻擊已經從影響虛擬資產向破壞物理世界轉變；通用化、軟硬結合
、hulianhutongdejishubianhuazhijiedailaijichusheshigongjimiandezengda，tongguohulianwangshentoudaogongkongyichengweiyizhongzhongyaotujing。chuantongbingduyugongkongbingduxianghujiaozhi，yijisuanjiweitiaobandegongjizaiweilaikenengfazhandaozhijiegongjikongzhixitongshang
；工控入侵很可能從利用未公開漏洞的高難度攻擊方式延伸到常規手段組合式攻擊，甚至繞過工控底層知識的壁壘。

正是由於工控入侵技術的新特點，導致工控係統安全風險加大。尹麗波認為工控係統正麵臨五大風險：一是漏洞劇增。工控軟硬件產品在設計之初就很少考慮安全問題
，因此導致安全漏洞不斷湧現。2000年至2016年間，發現了1552個工業控製軟硬件設備漏洞

，涉及123家工控廠商，其中，33%(516個)沒有被修複，90%的漏洞披露於“震網”事件後
，465個漏洞為易利用的HMI漏洞。二是互聯互通。工業控製係統正從封閉走向開放和互聯，工控係統的網絡安全邊界明顯擴大。三是攻擊趨易。由於黑客大會、開源社區、白bai帽mao社she區qu的de出chu現xian，導dao致zhi獲huo取qu工gong控kong係xi統tong的de攻gong擊ji方fang法fa越yue來lai越yue容rong易yi。四si是shi目mu標biao重zhong要yao。工gong控kong係xi統tong作zuo為wei國guo家jia關guan鍵jian基ji礎chu設she施shi的de重zhong要yao組zu成cheng部bu分fen，已yi經jing成cheng為wei網wang絡luo部bu隊dui、黑客、極端勢力攻擊的重要目標。五是基礎薄弱。由於我國目前存在安全防護嚴重不足
、介入控製仍不嚴格
、外包服務管理嚴重缺失、培訓教育力度不夠、應急能力不強等問題，以至於我國工控安全防控難以有效應對國家級的、有組織的、高強度的網絡攻擊。

除此之外，尹麗波表示工控安全保障正麵臨五大挑戰。一是安全失衡。即重發展、輕網絡
，重功能安全

、輕信息安全。二是態勢失察。即資產底數不清、安全態勢不明、風險預警缺乏。三是診斷失據。即審查評估無標準、安全防護無指南
、測試工具不成熟、zhenduanhuanjingshouxianzhi。sishifanghushixiao。youyugongkongxitongdeteshuxing，daozhidaliangxianyoudexinxianquancuoshiwufazhijieyingyongyugongkonganquanfanghudegongzuozhong。wushililiangshiheng。youyuwoguogongkonganquanyanjiuliliangfensan，rengwuzhuanzhuyugongkonganquandexianjinde

、權威的技術研究與支撐機構

，工控安全保障技術體係還不完善
，以至於目前對工控安全的態勢感知、有效防控、應急恢複、預測分析技術的保障能力還處於初級水平。

要想改變這種態勢，尹麗波認為
，信息化與信息安全就要同規劃
、同建設
、tongyunxing
，jiangxinxianquannarushengchananquanpingjiatixizhong。yaojiansheguojiajigongkonganquantaishiganzhipingtaiheguojiajigongkonganquanfengxiantongbaoyujingpingtai。bingjianlijianquangongkonganquanjianzhapinggubiaozhunhefanghuzhinan，yanfazhuanye
、權威的工控安全測試評估工具。組織開展工控安全專用防護技術與產品攻關，形成工控安全防護產
、學、研
、用生態體係。且要加強頂層設計，明確職責，形成合力，建設專業的工控安全保障技術機構。

謝豐同意尹麗波的觀點。他認為，由於工控安全防護研發不易開展、用(yong)戶(hu)不(bu)敢(gan)嚐(chang)試(shi)和(he)措(cuo)施(shi)難(nan)以(yi)執(zhi)行(xing)等(deng)原(yuan)因(yin)
，導(dao)致(zhi)工(gong)控(kong)係(xi)統(tong)信(xin)息(xi)安(an)全(quan)如(ru)同(tong)瓷(ci)器(qi)店(dian)裏(li)捉(zhuo)老(lao)鼠(shu)。瓷(ci)器(qi)很(hen)脆(cui)弱(ruo)，既(ji)要(yao)抓(zhua)住(zhu)老(lao)鼠(shu)，又(you)不(bu)能(neng)破(po)壞(huai)瓷(ci)器(qi)。在(zai)這(zhe)種(zhong)情(qing)況(kuang)下(xia)，就(jiu)要(yao)堅(jian)持(chi)管(guan)理(li)+技術的信息安全傳統套路，在管理上形成工控信息安全管理體係，在技術上“舊瓶裝新酒”，形成“縱深防禦”的安全防護體係。

總(zong)之(zhi)，工(gong)控(kong)係(xi)統(tong)的(de)價(jia)值(zhi)必(bi)然(ran)會(hui)吸(xi)引(yin)越(yue)來(lai)越(yue)多(duo)的(de)外(wai)在(zai)攻(gong)擊(ji)與(yu)滲(shen)透(tou)。工(gong)控(kong)網(wang)絡(luo)的(de)特(te)點(dian)也(ye)決(jue)定(ding)了(le)工(gong)控(kong)信(xin)息(xi)安(an)全(quan)技(ji)術(shu)必(bi)須(xu)重(zhong)構(gou)。想(xiang)要(yao)建(jian)立(li)工(gong)控(kong)安(an)全(quan)文(wen)化(hua)，形(xing)成(cheng)工(gong)控(kong)安(an)全(quan)生(sheng)態(tai)
，是(shi)一(yi)場(chang)持(chi)久(jiu)戰(zhan)。