congdaiyouchuantongsecaidegerendiannaoheyidongdianhua
，daojintianchongchizhekejiqiweidezhinengshouhuanhegugeyanjing
，jihuwuchubuzaidezhinengyingjianshebei，rangcongqianxunideshujubiandejuxianghua。raner，zhexieyingjianhejishugeiwomendeshenghuodailailejudadeyingxianghegaibiandetongshi，也對我們個人的信息安全產生了威脅——這樣的情況在工業領域同樣存在：越來越多開放式信息技術的應用和推廣，在保證工業數據通暢傳輸
、降低信息化集成成本等方麵居功至偉，但信息技術的普及對工業網絡的安全防護也提出了更為嚴格的要求。　

　　難以兩全的“透明”和“安全”

　　談及工業信息安全，首當其衝的便是工業控製係統
，即ICS（Industrial Control Systems），通常被用於控製關鍵生產設備的運行，廣泛地應用於石油石化、冶金、勘探、電力、ranqiyijishizhengdenglingyu。weilefangbianshujucaijiyujiankongxitonggenghaodishoujishuju，bingtongshiquebaogezujianzhijiantongxindeshunchang，gongyekongzhixitongzaibuduandigengxinhuandaizhongzhengzaibiandeyuelaiyuekaifang。raner，zhezhongkaifangzaiweigongyeyonghutigongfangbiandetongshi，yejiangdilegongyekongzhixitongyuwaibuwangluodegelichengdu——“透明度”的提高使得工控係統在麵對具有針對性

、不斷升級的攻擊時顯得愈發脆弱，工業信息安全岌岌可危。

　　與此同時


，工業控製係統中原本存在的安全隱患也在這種情況下變得越發突出——毋庸置疑
，工控係統的任何環節受到攻擊，都有可能導致整個工業係統的癱瘓。

　　百度搜索相關案例，出現的結果觸目驚心：2000年3月澳大利亞Maroochy Shire Sewage的SCADA（即“Supervisory Control And Data Acquisition”
，監視控製與數據采集）軟件遭攻擊破壞
；2003年，美國Davis-Basse第一發電站遭網絡攻擊；2008年，波蘭公共電車係統遭遇黑客遠程攻擊，黑客通過電視遙控器改變了軌道扳道器，導致4節車廂脫軌；2010年
，伊朗核電廠遭遇震網（Stuxnet）攻擊
，震網病毒嚴重威脅到了伊朗布什爾核電站核反應堆的安全運營；2011年，黑客通過入侵數據采集與監控係統SCADA，破壞了美國伊利諾伊州城市供水係統的供水泵。

　　於是，一個問題呼之欲出：這些工控領域的信息安全事故，究竟是如何造成的

？

　　顧此失彼來自設備的安全性難題

　　事實上，上述這些事件的成因大多是過多地重視“透明度”帶來的效率和實時性，而“安全性”則因此被置於了次要地位。

　　由you於yu工gong控kong網wang絡luo存cun在zai著zhe特te殊shu性xing
，許xu多duo通tong用yong的de信xin息xi安an全quan技ji術shu無wu法fa在zai工gong控kong係xi統tong中zhong完wan全quan適shi用yong，解jie決jue工gong業ye控kong製zhi係xi統tong安an全quan需xu要yao有you針zhen對dui性xing地di實shi施shi特te殊shu措cuo施shi。一yi般ban情qing況kuang下xia，工gong控kong係xi統tong所suo執zhi行xing的de控kong製zhi過guo程cheng，通tong常chang是shi由youHMI
、控製回路和遠程診斷與維護工具三部分組件共同完成。其中，HMI（即“Human Machine Interface”

，人機交互界麵）執(zhi)行(xing)信(xin)息(xi)交(jiao)互(hu)，控(kong)製(zhi)回(hui)路(lu)用(yong)以(yi)控(kong)製(zhi)邏(luo)輯(ji)運(yun)算(suan)
，遠(yuan)程(cheng)診(zhen)斷(duan)與(yu)維(wei)護(hu)工(gong)具(ju)確(que)保(bao)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)能(neng)夠(gou)穩(wen)定(ding)持(chi)續(xu)運(yun)行(xing)。這(zhe)三(san)部(bu)分(fen)設(she)備(bei)之(zhi)間(jian)的(de)兼(jian)容(rong)性(xing)對(dui)工(gong)控(kong)係(xi)統(tong)的(de)運(yun)行(xing)極(ji)為(wei)重(zhong)要(yao)，製(zhi)造(zao)企(qi)業(ye)為(wei)了(le)保(bao)證(zheng)三(san)者(zhe)之(zhi)間(jian)的(de)兼(jian)容(rong)性(xing)，犧(xi)牲(sheng)部(bu)分(fen)的(de)安(an)全(quan)性(xing)也(ye)多(duo)是(shi)出(chu)於(yu)無(wu)奈(nai)。

　　yixianchangzongxianweili，zaiyigezhengchangyunzhuandegongkongxitongzhong

，zhesanbufenshebeijianhuimijidijinxingxinxijiaohu，erzuoweichuantongdeshujutongxunfangshi，xianchangzongxianjishubeiguangfandiyingyongzailegongyekongzhizhong。jingguoduoniandefazhanheyanbian，2003年4月，IEC61158 Ed.3現場總線標準第3版正式成為國際標準，規定10種類型的現場總線。因此
，工控係統中應用的各類總線各具特點、不可互相替代。但顯而易見的是，多種現場總線的協議與標準的共存，使各總線之間的相互通訊、相互操作和相互兼容變得困難非常。

　　為(wei)了(le)應(ying)對(dui)難(nan)題(ti)，製(zhi)造(zao)業(ye)企(qi)業(ye)在(zai)設(she)計(ji)工(gong)控(kong)係(xi)統(tong)時(shi)
，係(xi)統(tong)的(de)高(gao)可(ke)用(yong)性(xing)和(he)業(ye)務(wu)的(de)連(lian)續(xu)性(xing)，就(jiu)成(cheng)為(wei)了(le)係(xi)統(tong)的(de)關(guan)鍵(jian)設(she)計(ji)理(li)念(nian)。在(zai)這(zhe)種(zhong)情(qing)況(kuang)下(xia)，工(gong)控(kong)係(xi)統(tong)就(jiu)更(geng)加(jia)難(nan)以(yi)形(xing)成(cheng)有(you)效(xiao)的(de)工(gong)業(ye)安(an)全(quan)防(fang)禦(yu)和(he)數(shu)據(ju)通(tong)信(xin)保(bao)密(mi)措(cuo)施(shi)了(le)。

　　此(ci)外(wai)，工(gong)控(kong)係(xi)統(tong)信(xin)息(xi)技(ji)術(shu)層(ceng)麵(mian)的(de)改(gai)變(bian)同(tong)樣(yang)不(bu)容(rong)小(xiao)覷(qu)。相(xiang)較(jiao)之(zhi)前(qian)
，工(gong)控(kong)係(xi)統(tong)的(de)控(kong)製(zhi)器(qi)能(neng)夠(gou)支(zhi)持(chi)更(geng)多(duo)的(de)以(yi)太(tai)網(wang)功(gong)能(neng)，性(xing)能(neng)也(ye)在(zai)變(bian)得(de)越(yue)來(lai)越(yue)強(qiang)，為(wei)了(le)對(dui)工(gong)業(ye)生(sheng)產(chan)過(guo)程(cheng)進(jin)行(xing)實(shi)時(shi)的(de)遠(yuan)程(cheng)監(jian)控(kong)，並(bing)將(jiang)收(shou)集(ji)起(qi)來(lai)的(de)相(xiang)關(guan)數(shu)據(ju)與(yu)ERP係統和用戶需求結合起來
，有些工控係統的控製器已經集成了Web服fu務wu器qi，可ke以yi允yun許xu來lai自zi信xin息xi層ceng的de用yong戶hu和he來lai自zi控kong製zhi層ceng的de用yong戶hu一yi道dao，直zhi接jie獲huo取qu控kong製zhi器qi中zhong的de當dang前qian狀zhuang態tai值zhi而er並bing不bu需xu要yao通tong過guo嚴yan密mi的de安an全quan認ren證zheng。也ye正zheng是shi如ru此ci
，采cai用yong了le以yi太tai網wang架jia構gou和he開kai放fang軟ruan件jian係xi統tong的de製zhi造zao企qi業ye，也ye被bei許xu多duo業ye內nei人ren士shi戲xi稱cheng為wei“透明工廠”
，這給工廠帶來的安全隱患不言而喻。

　　卓有成效的縱深防禦體係

　　多年以來，工控領域的相關企業從未停止在工控信息安全方麵的努力
，致力於在保證“透明度”的同時，提升工控係統的信息安全係數。以施耐德電氣為例，2013年
，施耐德電氣在國家電力監管委員會的指導和安排下，配合國家大型電力集團開展了五家火電廠的工控係統信息安全部署工作。

　　在整改的過程中，施耐德電氣發現中國行業客戶普遍存在三大安全困境：人員缺失
、製zhi度du形xing式shi化hua和he生sheng產chan與yu安an全quan的de矛mao盾dun衝chong突tu。中zhong國guo行xing業ye客ke戶hu在zai實shi施shi信xin息xi安an全quan防fang禦yu策ce略lve時shi需xu要yao更geng加jia重zhong視shi解jie決jue方fang案an的de實shi用yong性xing和he有you效xiao性xing。所suo以yi，施shi耐nai德de電dian氣qi認ren為wei
，中zhong國guo工gong業ye客ke戶hu避bi免mian信xin息xi安an全quan威wei脅xie最zui有you效xiao方fang法fa就jiu是shi采cai用yong設she備bei級ji防fang護hu方fang案an，同tong時shi兼jian顧gu係xi統tong級ji和he管guan理li級ji防fang護hu方fang案an。

　　“‘自下而上’的部署縱深防禦安全策略，可為企業打造完善的防護體係。”施耐德電氣工業事業部工業信息安全首席專家王斌對縱深防禦體係充滿了信心，“通(tong)過(guo)加(jia)強(qiang)設(she)備(bei)級(ji)防(fang)護(hu)能(neng)力(li)可(ke)以(yi)讓(rang)工(gong)業(ye)客(ke)戶(hu)減(jian)少(shao)投(tou)資(zi)
，短(duan)期(qi)內(nei)迅(xun)速(su)提(ti)升(sheng)企(qi)業(ye)工(gong)業(ye)係(xi)統(tong)信(xin)息(xi)安(an)全(quan)防(fang)護(hu)能(neng)力(li)，並(bing)為(wei)逐(zhu)步(bu)實(shi)施(shi)完(wan)整(zheng)的(de)縱(zong)深(shen)防(fang)禦(yu)安(an)全(quan)策(ce)略(lve)奠(dian)定(ding)基(ji)礎(chu)。”

　　事實上，施耐德電氣正是從2013年開始正式向中國工業客戶正式推出“設備級、係統級和管理級”的(de)三(san)級(ji)縱(zong)深(shen)防(fang)禦(yu)體(ti)係(xi)。其(qi)中(zhong)
，設(she)備(bei)級(ji)防(fang)護(hu)正(zheng)是(shi)三(san)級(ji)縱(zong)深(shen)防(fang)禦(yu)體(ti)係(xi)的(de)基(ji)礎(chu)和(he)核(he)心(xin)。很(hen)快(kuai)，整(zheng)改(gai)工(gong)作(zuo)起(qi)到(dao)了(le)示(shi)範(fan)作(zuo)用(yong)，隨(sui)著(zhe)可(ke)靠(kao)和(he)完(wan)善(shan)的(de)解(jie)決(jue)方(fang)案(an)在(zai)大(da)型(xing)電(dian)力(li)企(qi)業(ye)中(zhong)的(de)成(cheng)功(gong)應(ying)用(yong)
，施(shi)耐(nai)德(de)電(dian)氣(qi)的(de)工(gong)控(kong)係(xi)統(tong)信(xin)息(xi)安(an)全(quan)解(jie)決(jue)方(fang)案(an)被(bei)國(guo)家(jia)能(neng)源(yuan)局(ju)推(tui)廣(guang)到(dao)了(le)整(zheng)個(ge)電(dian)力(li)行(xing)業(ye)。

　　“由於我們在部署前進行了充分的論證和方案準備，在部署過程中沒有對企業安全生產產生任何影響。”王斌表示
，“最終，部署工作順利完成，部署的成果也得到了行業主管部門和電力集團的肯定。”

　　2014年4月

，施耐德電氣加入了“工業控製係統信息安全產業聯盟”。作為迄今為止唯一的一家外資企業，施耐德電氣擁有非常豐富的應用“三級縱深防禦體係”的經驗和成功案例。談及此，王斌的自豪溢於言表

，“我們可以將其帶到中國的客戶群體中，幫助他們更好地提升工控係統信息安全防護等級。”

　　據ju了le解jie，施shi耐nai德de電dian氣qi正zheng在zai設she備bei級ji層ceng麵mian持chi續xu加jia強qiang自zi身shen產chan品pin的de安an全quan防fang護hu特te性xing，並bing幫bang助zhu用yong戶hu加jia強qiang設she備bei級ji的de防fang護hu水shui平ping。在zai未wei來lai

，相xiang信xin我wo們men將jiang會hui看kan到dao施shi耐nai德de電dian氣qi的de安an全quan解jie決jue方fang案an，將jiang出chu現xian在zai更geng多duo對dui工gong控kong係xi統tong安an全quan有you迫po切qie需xu求qiu的de市shi場chang。

　　多舉措避免“禍起蕭牆”

　　zaigongyexinxianquanshigupinfazhiqian，yejiezengyidurenweiyouyugongyekongzhixitongwangluodexiangduidulixing，qizaoshouwaijiegongjidegailvhendi

，zhidaolaiziwangluodegongjidaozhiqiyeguanjianxingbaomishujudiushi

、蒙受巨額的經濟損失、甚至造成嚴重的人員傷亡事故時，慘痛的教訓才提醒人們：信息安全的戰火已經蔓延到了工業基礎設施領域。

　　然ran而er，造zao成cheng這zhe些xie信xin息xi安an全quan事shi故gu的de威wei脅xie卻que並bing不bu全quan是shi來lai自zi於yu外wai部bu。相xiang關guan統tong計ji數shu據ju顯xian示shi

，隻zhi有you部bu分fen的de數shu據ju破po壞huai的de源yuan頭tou在zai企qi業ye外wai部bu，而er大da多duo數shu的de安an全quan威wei脅xie則ze是shi來lai自zi企qi業ye內nei部bu。來lai自zi企qi業ye內nei部bu的de信xin息xi安an全quan風feng險xian包bao括kuo員yuan工gong操cao作zuo失shi誤wu
、故意破壞和知識欠缺。上文提到的震驚工控領域的伊朗核電站震網病毒事件，也正是由於將被病毒感染的U盤插入了控製係統的USB接口，震網病毒在無人察覺的情況下取得了部分工業用電腦係統的控製權。

　　無獨有偶
，2012年的兩座美國電廠同樣是遭遇了USBbingdugongji，gaibingduganranledianchangneisuoyougongchangdegongkongxitong，jiangsuoyoushujuzhiyubeiqiequdefengxianzhixia。youcikejian
，liuchenganquanjijianguanyoushibingbubijishujidexinxianquanfanghuzhongyaoxingdi。shishishang，jichudeshezhimenwei
、密碼保護
、caiyongmenjinkabaohuminganquyudengyeshigongyexinxianquandeyibufen。anquanguanlifenanquanliuchengheanquanjianguan，zaigongchangshengchanguochengzhong，ruoyaoquebaomeiyigehuanjiedeanquanxing，jiuxuyaozhuanmendeshebeihuozherenyuanduiqijinxingjianduguanli。zaihenduoshihou，zheyangdeliuchengjianguankenengbijishuguanxigengzhongyao——一個好的流程和監管體係，是信息安全技術良好應用的前提。

　　然而，國內對信息安全的忽視由來已久：工控係統的安全防護策略和管理製度的製定、對工作人員安全意識的培養多流於表麵，長期的“安全”淡薄了相關工作人員的安全意識。

　　jianzhaochaizhao
，shinaidedianqizhenduishebeijidexinxianquanfanghukezaijiaoduandeshijiannei，gaoxiaolvditishengqiyedexinxianquanshuiping，haikeyouxiaodijianshaoqiyeduixinxianquanrenyuandezhuanyenengliheguanlizhidudeguoduyilai。“這種以設備級防護為基礎，‘自下而上’逐步推進的安全防護整體解決方案，可以讓企業逐步擺脫傳統信息安全解決方案中過渡依賴管理政策
、製度以及人員能力和操作規範等諸多不可控或不完備的條件限製。”王斌如是說。

　　盡管如此，提高相關人員的信息安全意識，並對關鍵生產和製造流程進行全方位監管仍然是長久之計。“不論采用的是何種信息安全方案，都需要有相應的人才儲備，對這些係統進行基本的維護。”王斌表達了他對企業中信息安全相關人才缺失的憂慮
，“如果企業沒有相應的技術儲備，即便是上馬了這些係統
，也無法充分發揮信息安全防護體係的功能。”

　　他表示，與中國相比
，歐美發達國家在網絡水平
、計(ji)算(suan)機(ji)知(zhi)識(shi)普(pu)及(ji)等(deng)方(fang)麵(mian)起(qi)步(bu)較(jiao)早(zao)
，國(guo)家(jia)和(he)社(she)會(hui)對(dui)於(yu)信(xin)息(xi)安(an)全(quan)的(de)重(zhong)視(shi)程(cheng)度(du)也(ye)相(xiang)對(dui)較(jiao)高(gao)。與(yu)此(ci)相(xiang)對(dui)應(ying)的(de)信(xin)息(xi)安(an)全(quan)解(jie)決(jue)方(fang)案(an)體(ti)係(xi)也(ye)相(xiang)對(dui)趨(qu)於(yu)完(wan)善(shan)

，而(er)這(zhe)些(xie)正(zheng)是(shi)國(guo)內(nei)缺(que)少(shao)的(de)。

　　產業攜手共建“信息安全標準”

　　眾zhong所suo周zhou知zhi，行xing業ye標biao準zhun的de缺que失shi是shi行xing業ye發fa展zhan的de巨ju大da障zhang礙ai
，而er目mu前qian國guo內nei工gong業ye信xin息xi安an全quan市shi場chang正zheng麵mian臨lin著zhe這zhe樣yang的de關guan鍵jian性xing問wen題ti，標biao準zhun體ti係xi的de缺que失shi嚴yan重zhong阻zu礙ai了le整zheng個ge工gong業ye信xin息xi安an全quan事shi業ye的de發fa展zhan。“zaizhefangmian
，shinaidedianqizaiguoyouhenduochenggongdejingyanhexianjindelinian

，womenfeichangyuanyiyuguoneiyixiejiancejigouhexiangguanxingyexiehuihezuo，jiangbiaozhunjinkuaijianlibingwanshan。”談及安全標準的建立，王斌神情嚴肅，“作為這個市場的主要參與者，這是施耐德電氣的義務和責任。”

　　據了解，施耐德電氣在確保自身產品和係統絕對安全的同時，還積極地參與到了整個標準體係的建立、檢測、認證等工作中
；bujinruci，shinaidedianqinenggoujiangqitaguojiazairuhejianliguojiabiaozhunhequanweirenzhengjigoudengfangmiandejingyanyinjinzhongguo，congertuiguanggeiguojiazhengfubumenheqitaxiangguanjigou。yucitongshi

，shinaidedianqiyezhengzaimouhuayudisanfangquanweijigouhezuo
，weilaihuojiangzaizhongguojianliyigezhuanyederenzhengpingtaiheshiyanshi。

　　“zhanzaichanyedejiaodulaikan，wulunshijianlixinxianquanbiaozhun

，haishiweiqiyejianliwanshandegongyexinxianquantixi
，doubushimouyijiaqiyekeyiduliwanchengde，zhexuyaozhenggechanyeliandetonglihezuo。”談及產業合作，王斌感慨頗深。他表示
，政府
、企業、大專院校、研究單位和行業協會都需要加入到這個進程中，缺一不可。“從行業整體意識理念的建立到現代規章製度的落地，中國需要一個產、學
、研三位一體並緊密結合的有機生態圈，共同推進我國工業控製係統信息安全事業的建設。”

　　新一輪產業變革的核心正是信息網絡技術的應用，以信息網絡、智能製造
、xinnengyuanhexincailiaoweidaibiaodexinyilunjishuchuangxinlangchaozhengjianxingjianjin，zhexiexinxingjishuduichanyefazhanchanshengleriyishenkedeyingxiang
，yucitongshi，gongyexinxianquandeshichangqianlizhengzaizheyangdequshixiakuaisushifang。rangwomenxieshouzaizheyangdexinxihualangchaozhonggouzhuyimianjianshide“透明”壁壘，在各種攻擊麵前固若金湯的同時

，讓信息之光在工控係統中暢行無阻地自由穿行——前事不忘
，警鍾長鳴。