據CNNVD監測，2012年1～5月，我國新增安全漏洞2619個，其中危急和高危漏洞1071個，占到漏洞總量的41%

　　工業控製係統(以下簡稱“工控係統”)的安全關係到國民經濟重大行業和關鍵領域的安全，也關係到國家安全。2010年伊朗爆發的“震網”病毒事件和2011年“震網”病bing毒du再zai次ci發fa作zuo向xiang普pu通tong大da眾zhong展zhan現xian了le工gong控kong係xi統tong的de安an全quan性xing問wen題ti的de嚴yan重zhong性xing。那na麼me，我wo國guo工gong控kong係xi統tong的de安an全quan防fang禦yu現xian狀zhuang如ru何he

？這zhe些xie病bing毒du對dui我wo國guo工gong控kong係xi統tong危wei害hai多duo大da？采cai取qu何he種zhong措cuo施shi應ying對dui？和he利li時shi係xi統tong工gong程cheng有you限xian公gong司si技ji術shu總zong監jian朱zhu毅yi明ming告gao訴su《中國電子報》記ji者zhe，大da部bu分fen在zai役yi和he在zai售shou的de工gong控kong係xi統tong多duo是shi從cong相xiang對dui封feng閉bi的de專zhuan用yong計ji算suan機ji和he網wang絡luo體ti係xi發fa展zhan而er來lai，在zai體ti係xi架jia構gou上shang偏pian重zhong效xiao率lv，抵di禦yu病bing毒du攻gong擊ji的de能neng力li較jiao差cha。因yin此ci，對dui於yu在zai役yi和he在zai售shou的de工gong控kong係xi統tong，適shi宜yi增zeng加jia外wai置zhi的de加jia解jie密mi設she備bei解jie決jue安an全quan隱yin患huan，對dui於yu正zheng在zai開kai發fa的de係xi統tong，應ying在zai設she備bei本ben體ti內nei解jie決jue。

　　“震網”及類似病毒肆虐全球

　　“震網”等病毒帶來的威脅已經遠遠超出了以往任意一款計算機病毒給行業
、社會
、乃至國家帶來的威脅。

　　近年來，針對工業控製係統的病毒“震網”、“Duqu”
、“火焰”等不斷湧現
，為各國的基礎設施安全運行帶來了巨大隱患，引起了各國的高度重視。

　　據賽迪智庫信息安全所馮偉博士介紹，“震網”是第一款針對工控係統的病毒，具有極強的隱蔽性和破壞力，其主要為攻擊伊朗核設施而專門研製的。2011年底又發現了“震網”病毒的新變種Duqu病毒，其攻擊目標通常是工業控製領域的元器件製造商。現在，又出現了迄今為止威力最強大的電腦病毒“火焰”(Flame)，在中東地區大範圍傳播。

　　朱毅明表示
，“震網”病毒初始設計針對的某國際著名廠家的工控係統
，已在我國能源、電力、通信
、交jiao通tong等deng多duo個ge重zhong要yao行xing業ye和he領ling域yu都dou有you應ying用yong。這zhe些xie病bing毒du的de可ke怕pa之zhi處chu是shi通tong過guo工gong控kong係xi統tong作zuo為wei橋qiao梁liang

，將jiang數shu字zi虛xu擬ni世shi界jie的de威wei脅xie引yin入ru到dao真zhen實shi物wu理li世shi界jie，造zao成cheng工gong業ye基ji礎chu設she施shi損sun壞huai
、嚴重社會恐慌，而大部分在役和在售的工控係統在設計之初並未考慮信息安全問題，抵禦病毒攻擊的能力較差，總體風險非常高。

　　“震網”等病毒帶來的威脅已經遠遠超出了以往任意一款計算機病毒給行業
、社(she)會(hui)乃(nai)至(zhi)國(guo)家(jia)帶(dai)來(lai)的(de)威(wei)脅(xie)。例(li)如(ru)電(dian)廠(chang)，四(si)方(fang)繼(ji)保(bao)自(zi)動(dong)化(hua)股(gu)份(fen)有(you)限(xian)公(gong)司(si)技(ji)術(shu)研(yan)究(jiu)中(zhong)心(xin)主(zhu)任(ren)焦(jiao)邵(shao)華(hua)博(bo)士(shi)介(jie)紹(shao)
，針(zhen)對(dui)工(gong)業(ye)控(kong)製(zhi)網(wang)絡(luo)的(de)攻(gong)擊(ji)可(ke)能(neng)破(po)壞(huai)反(fan)應(ying)器(qi)的(de)正(zheng)常(chang)溫(wen)度(du)和(he)壓(ya)力(li)測(ce)控(kong)，導(dao)致(zhi)反(fan)應(ying)器(qi)超(chao)溫(wen)或(huo)超(chao)壓(ya)，最(zui)終(zhong)就(jiu)會(hui)導(dao)致(zhi)衝(chong)料(liao)、起火甚至爆炸等災難性事故，還可能造成次生災害和人道主義災難。

　　工控係統病毒的可怕之處還在於其呈現出的高級可持續的特點。馮偉表示
，這些病毒可能會持續幾周、幾個月，甚至更長時間。據專家判斷
，2011年11月發生的伊朗導彈爆炸造成重要人員傷亡事件，是因為導彈電腦控製係統遭病毒感染
，自動下令彈頭爆炸引起的。事件發生距2010年震網病毒爆發一年以上
，足見此攻擊的持續性。而且，對“震網”、“Duqu”、“火焰”病bing毒du源yuan代dai碼ma的de分fen析xi結jie果guo表biao明ming，這zhe三san種zhong病bing毒du一yi脈mai相xiang承cheng，其qi不bu以yi獲huo取qu用yong戶hu數shu據ju或huo經jing濟ji利li益yi為wei目mu的de
，而er是shi特te定ding國guo家jia的de關guan鍵jian基ji礎chu設she施shi或huo者zhe特te定ding行xing業ye的de工gong控kong係xi統tong，攻gong擊ji旨zhi在zai獲huo取qu係xi統tong中zhong的de敏min感gan信xin息xi
，或huo者zhe摧cui毀hui關guan鍵jian基ji礎chu設she施shi運yun行xing。

　　多數工控係統存有漏洞

　　國外產品已占領大部分市場，如PLC國內產品市場占有率不到1%，衛星導航係統芯片95%依賴進口。

　　我wo國guo的de工gong控kong市shi場chang過guo度du開kai放fang，使shi得de國guo外wai係xi統tong大da麵mian積ji使shi用yong在zai我wo國guo的de基ji礎chu項xiang目mu中zhong。四si方fang繼ji保bao是shi我wo國guo電dian廠chang自zi動dong化hua係xi統tong的de主zhu要yao供gong應ying商shang
，所suo研yan發fa產chan品pin已yi在zai市shi場chang投tou入ru20年，具有完整的設備、係統軟件研發能力
，完整的產品線，並具有深厚的係統集成經驗，然而
，焦邵華認為
，在現有的電廠自動化係統中
，國外產品、尤其是核心的自動化控製係統仍然占很大比例。

　　據了解

，在西氣東輸項目的400公裏中，其中僅有180公gong裏li克ke倫lun管guan線xian采cai用yong了le某mou國guo內nei工gong控kong企qi業ye的de監jian控kong係xi統tong，其qi他ta無wu一yi例li外wai全quan是shi進jin口kou的de控kong製zhi係xi統tong和he設she備bei。該gai企qi業ye老lao總zong表biao示shi
，作zuo為wei這zhe一yi項xiang目mu僅jin有you的de一yi家jia國guo內nei企qi業ye，可ke以yi說shuo他ta們men創chuang造zao了le奇qi跡ji。但dan是shi如ru果guo換huan位wei思si考kao，假jia如ru這zhe是shi美mei國guo的de西xi氣qi東dong輸shu項xiang目mu，他ta們men絕jue對dui不bu會hui用yong我wo國guo輸shu出chu的de工gong控kong係xi統tong，就jiu像xiang華hua為wei的de服fu務wu器qi賣mai不bu進jin美mei國guo一yi樣yang。

　　國外產品已經占領了大部分市場，如PLC國內產品的市場占有率不到1%
，衛星導航係統的芯片95%依賴進口，其中80%來自美國。以某數控設備有限公司為例，在硬件方麵，目前他們所生產的產品90%以上的元器件都使用國外品牌，其中最多的是X86芯(xin)片(pian)，這(zhe)些(xie)係(xi)統(tong)有(you)一(yi)部(bu)分(fen)已(yi)經(jing)被(bei)銷(xiao)售(shou)到(dao)重(zhong)要(yao)領(ling)域(yu)，廠(chang)商(shang)對(dui)此(ci)深(shen)表(biao)憂(you)慮(lv)。沒(mei)有(you)自(zi)主(zhu)硬(ying)件(jian)和(he)係(xi)統(tong)軟(ruan)件(jian)的(de)平(ping)台(tai)，很(hen)難(nan)實(shi)現(xian)工(gong)控(kong)行(xing)業(ye)的(de)自(zi)立(li)，工(gong)業(ye)信(xin)息(xi)係(xi)統(tong)的(de)安(an)全(quan)可(ke)控(kong)更(geng)無(wu)從(cong)實(shi)現(xian)。

　　正如馮偉所說，大部分工控係統核心控製模塊從國外引進，而國外工業控製芯片、工業控製係統產品設計和配置等都可能存在漏洞。這些漏洞給予不法分子利用病毒進行網絡攻擊的機會
，極有可能造成嚴重後果。

　　加密和身份識別可防攻擊

　　隨著信息技術和自動化控製的融合，運行數據采集與監視控製係統(SCADA)已成為黑客重點攻擊的目標。

　　隨著網絡化的發展，越來越多的工控係統連入企業內網和外網，也帶來了更多安全隱患。

　　早先，用於控製生產環節的自動化控製係統都是孤立的係統，隻有在所在企業的控製室裏才可以對閥門、壓ya力li等deng進jin行xing控kong製zhi。隨sui著zhe信xin息xi技ji術shu和he自zi動dong化hua控kong製zhi的de融rong合he，以yi及ji企qi業ye管guan理li的de需xu求qiu，越yue來lai越yue多duo的de控kong製zhi係xi統tong開kai始shi聯lian入ru企qi業ye的de內nei部bu網wang，而er企qi業ye的de內nei網wang又you由you於yu商shang務wu的de需xu求qiu和he互hu聯lian網wang連lian在zai了le一yi起qi
，於yu是shi提ti供gong了le黑hei客ke通tong過guo互hu聯lian網wang入ru侵qin企qi業ye內nei網wang去qu盜dao取qu企qi業ye商shang業ye秘mi密mi的de可ke能neng
，進jin一yi步bu，還hai提ti供gong了le黑hei客ke入ru侵qin控kong製zhi係xi統tong去qu遠yuan程cheng控kong製zhi生sheng產chan的de可ke能neng。因yin為wei在zai工gong控kong係xi統tong智zhi能neng化hua、網絡化的情況下，係統廠商既可以對客戶所用大型設備進行遠程監測與維護，也可以進行遠程幹預，這種運行數據采集與監視控製係統(SCADA)已經成為黑客重點攻擊的目標。

　　朱毅明告訴《中國電子報》記者
，近20年來
，工控係統強調開放性，在係統中大量引入民用的COTS產品，如Windows操作係統、關係數據庫等，並廣泛使用以太網和TCP/IP協議。對於大部分工控係統而言
，簡單的DoS攻擊就可以使係統網絡完全癱瘓，造成工業過程失控或裝置停機。大部分的工業網絡和現場總線協議
，廣泛使用MODBUS/TCP、CAN等(deng)明(ming)碼(ma)傳(chuan)輸(shu)，沒(mei)有(you)嚴(yan)格(ge)的(de)身(shen)份(fen)識(shi)別(bie)，報(bao)文(wen)很(hen)容(rong)易(yi)被(bei)偽(wei)造(zao)。這(zhe)種(zhong)由(you)相(xiang)對(dui)封(feng)閉(bi)的(de)專(zhuan)用(yong)計(ji)算(suan)機(ji)和(he)網(wang)絡(luo)體(ti)係(xi)發(fa)展(zhan)而(er)來(lai)的(de)工(gong)控(kong)係(xi)統(tong)，安(an)全(quan)最(zui)薄(bo)弱(ruo)的(de)環(huan)節(jie)就(jiu)落(luo)在(zai)了(le)工(gong)業(ye)網(wang)絡(luo)數(shu)據(ju)傳(chuan)輸(shu)上(shang)，特(te)別(bie)對(dui)於(yu)大(da)型(xing)SCADA係統，設備分散安裝
，部分采用公網和無線網絡，更容易受到攻擊。

　　朱毅明向《中國電子報》記者分析道，加密和身份識別是解決工業網絡數據傳輸的措施之一
，但由於工控係統大多采用嵌入式設計，CPU能(neng)力(li)弱(ruo)加(jia)密(mi)和(he)身(shen)份(fen)識(shi)別(bie)需(xu)要(yao)耗(hao)費(fei)一(yi)定(ding)的(de)資(zi)源(yuan)。他(ta)建(jian)議(yi)
，對(dui)於(yu)在(zai)售(shou)係(xi)統(tong)和(he)在(zai)役(yi)係(xi)統(tong)改(gai)造(zao)適(shi)宜(yi)增(zeng)加(jia)外(wai)置(zhi)的(de)加(jia)解(jie)密(mi)設(she)備(bei)解(jie)決(jue)，而(er)對(dui)於(yu)正(zheng)在(zai)開(kai)發(fa)的(de)係(xi)統(tong)，應(ying)在(zai)設(she)備(bei)本(ben)體(ti)內(nei)解(jie)決(jue)。