2014工業控製係統信息安全年大型主題係列活動首站暨第三屆工業控製係統信息安全峰會日前在上海落幕。中國自動化學會副理事長王飛躍、工業控製係統信息安全產業聯盟副理事長胡傳平等出席會議並致辭。

　　本次活動由工業控製係統信息安全產業聯盟主辦，中國自動化學會發電自動化專業委員會、中國自動化學會綜合智能交通控製專業委員會協辦。活動開幕式上舉行了聯盟授牌儀式。中國自動化學會副理事長王飛躍
、工業控製係統信息安全產業聯盟秘書長石紅芳為中國儀器儀表行業協會、公安部第三研究所、中國科學院沈陽自動化研究所、和利時集團等頒發了聯盟成員單位牌匾。

　　會議期間，與會專家就工業控製係統三層網絡的信息安全檢測與認證
、工業控製係統信息安全測試與防護技術趨勢
、工業控製係統信息安全業務發展思路
、工控係統信息安全定量分析方法與案例分析進行了研討。

　　現將部分專家發言主要觀點整理如下：

   沈清泓：國家高度重視工控信息安全

　　在公安部第三研究所助理研究員沈清泓博士看來，近年來，我國高度重視工業與控製係統信息安全，工信部、發改委等都對此發布了相關政策文件。

　　工信部於2011年發布了《關於加強工業控製係統信息安全管理的通知》
，強調切實加強工業控製係統信息安全管理，以保障工業生產運行安全
、國(guo)家(jia)經(jing)濟(ji)安(an)全(quan)和(he)人(ren)民(min)生(sheng)命(ming)財(cai)產(chan)安(an)全(quan)，點(dian)明(ming)了(le)我(wo)國(guo)工(gong)業(ye)控(kong)製(zhi)領(ling)域(yu)信(xin)息(xi)安(an)全(quan)工(gong)作(zuo)的(de)問(wen)題(ti)和(he)不(bu)足(zu)，明(ming)確(que)重(zhong)點(dian)領(ling)域(yu)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)信(xin)息(xi)安(an)全(quan)管(guan)理(li)要(yao)求(qiu)以(yi)及(ji)建(jian)立(li)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)安(an)全(quan)測(ce)評(ping)檢(jian)查(zha)和(he)漏(lou)洞(dong)發(fa)布(bu)製(zhi)度(du)。

　　而國家發改委也在去年發布了《關於組織實施2013年國家信息安全專項有關事項的通知》
，其中提到麵向現場設備環境的邊界安全專用網關產品、麵向集散控製係統（DCS）的異常監測產品以及麵向工業控製信息安全領域的可控試點示範。

　　朱毅明：工控信息安全應麵向應用

　　和利時集團技術總監朱毅明認為，我國工控係統信息安全產業的現狀不容樂觀。商業模式不成熟
，生態環境不完整；行業尚未出現強製性法規、規範和標準等問題困擾行業發展。而在役工控係統信息安全改造升級和新建工控係統信息安全采用的策略不盡相同；工控行業產品利潤空間較小，信息安全產品價格要合理；工控信息安全市場尚處於培育階段，長期的盈利模式不夠清晰；僅僅依靠政策是很難保證工控係統信息安全市場的健康持續成長。

　　congyonghujiaodueryan，eyigongjidezuizhongmubiaoshishijidegongyesheshihuogongyizhuangbei，yinggaimianxiangjutidegongyeyingyongkaizhanxinxianquanfengxianpingguheanquanfenji
，erbushimianxianggongyekongzhixitongshebeibenshen。youyuhuagong、石油

、火電
、核電、冶金等行業連續過程工藝的特點
，一旦中斷運行
，經濟損失大，甚至可能造成嚴重環境汙染和人員傷亡，危險性大，信息安全危害較大；而交通、電網、市政設施、水利設施

、礦山等行業的工業監控係統由於地理分布廣泛，大部分設備采用“無人值守、自動運行”模式
，大量采用公網或無線傳輸

，更容易遭到攻擊，且直接影響社會安定，信息安全風險更大。

　　萬 明：安全防護鎖定三目標

　　中科院網絡與控製係統重點實驗室博士
、副研究員萬明認為
，工業控製係統的脆弱性正日益顯現。

　　從國外來看
，2011年，黑客入侵數據采集與監控係統，使美國伊利諾伊州城市供水係統的供水泵遭到破壞；微軟也在當年警告稱最新發現的“Duqu”病毒可從工業控製係統製造商收集情報數據；2012年
，兩座美國電廠遭USB病毒攻擊
，感染了每個工廠的工控係統，可被竊取數據
；2012年，發現攻擊多個中東國家的惡意程序Flame火焰病毒，它能收集各行業的敏感信息。

　　從國內來看，我國同樣遭受著工業控製係統信息安全漏洞的困擾，比如2010年齊魯石化、2011年大慶石化煉油廠，其裝置控製係統分別感染Conficker病毒，都造成控製係統服務器與控製器通訊不同程度的中斷。

　　萬明認為
，為保證工業控製係統安全穩定運行，工業控製係統的安全防護必須達到三個目標：一是通信可控。能夠直觀觀察、監控、管(guan)理(li)通(tong)信(xin)中(zhong)數(shu)據(ju)。僅(jin)保(bao)證(zheng)工(gong)業(ye)控(kong)製(zhi)專(zhuan)有(you)協(xie)議(yi)數(shu)據(ju)通(tong)過(guo)即(ji)可(ke)，其(qi)他(ta)通(tong)信(xin)一(yi)律(lv)禁(jin)止(zhi)。二(er)是(shi)區(qu)域(yu)隔(ge)離(li)。為(wei)防(fang)止(zhi)局(ju)部(bu)控(kong)製(zhi)網(wang)絡(luo)問(wen)題(ti)擴(kuo)散(san)導(dao)致(zhi)全(quan)局(ju)癱(tan)瘓(huan)，在(zai)關(guan)鍵(jian)數(shu)據(ju)通(tong)道(dao)上(shang)部(bu)署(shu)網(wang)絡(luo)隔(ge)離(li)。三(san)是(shi)報(bao)警(jing)追(zhui)蹤(zong)。及(ji)時(shi)發(fa)現(xian)網(wang)絡(luo)中(zhong)感(gan)染(ran)或(huo)其(qi)他(ta)問(wen)題(ti)，準(zhun)確(que)找(zhao)出(chu)故(gu)障(zhang)點(dian)。通(tong)過(guo)對(dui)報(bao)警(jing)事(shi)件(jian)進(jin)行(xing)記(ji)錄(lu)，為(wei)故(gu)障(zhang)分(fen)析(xi)提(ti)供(gong)依(yi)據(ju)。

　　張 曄：工控係統安全更是管理問題

　　beijingwangyuxingyunxinxijishuyouxiangongsizongjianzhangyerenwei

，gongyekongzhixitongjishushangcunzaijidadecuiruoxing。gongkongxitongcongxiangduidulidehuanjingzhongfazhanerlai，zaishejiguochengzhongzhuyaokaolvxitongkeyongxing，shishixingwenti。duigongkongxitongdeanquanxingkaolvbuzu
；工控係統通信協議缺乏授權和加密
、缺乏對用戶身份的鑒別和認證等安全機製。

　　考慮到兼容性和連續性生產的問題，工控係統無法及時安裝係統補丁

，無法有效使用殺毒軟件。工控係統的安全防護落後於IT係統，但IT係統的安全問題卻延伸到工控係統
，並得以放大。因此

，先天的不足，後天的無奈，導致工控係統相當脆弱。

　　而工控係統管理上也體現了脆弱性。工業控製係統安全不僅是一個技術問題，更是一個管理問題，需要完善的工業控製係統安全政策、標準、製度和安全意識來支撐。工控係統的安全管理，與IT安全管理有許多不同，易用性是工控係統安全管理考慮的第一要素。相對信息係統用戶來說
，工控係統用戶安全意識更加薄弱。