導讀：截至2014年6月，共有549個與工業控製係統相關的公開安全漏洞，其中128個涉及西門子產品
，46個涉及施耐德電氣產品,37個涉及研華科技產品,31個涉及GE產品

   我國正處在從工業大國向工業強國的關鍵轉型發展期，工業控製係統（簡稱“工控係統”）的安全保障能力是我國打造工業強國的核心競爭力之一
，必須提升到戰略高度予以重視。

　　工控係統麵臨的安全形勢日益嚴峻

　　我國工控係統存在嚴重安全隱患。根據綠盟科技結合美國CVE（公共漏洞和暴露）、ICS－CERT（美國國土安全部工業控製係統和計算機應急響應小組）以及中國國家信息安全漏洞共享平台所發布的數據，截至2014年6月
，共有549個與工業控製係統相關的公開安全漏洞，其中128個涉及西門子產品
，占28％

；46個涉及施耐德電氣產品
，占10％；37個涉及研華科技產品，占8％；31個涉及GE產品
，占7％。上(shang)述(shu)廠(chang)商(shang)的(de)產(chan)品(pin)在(zai)我(wo)國(guo)工(gong)控(kong)係(xi)統(tong)中(zhong)有(you)著(zhe)極(ji)為(wei)廣(guang)泛(fan)的(de)應(ying)用(yong)，甚(shen)至(zhi)部(bu)分(fen)產(chan)品(pin)在(zai)某(mou)些(xie)行(xing)業(ye)處(chu)於(yu)市(shi)場(chang)壟(long)斷(duan)地(di)位(wei)
，我(wo)國(guo)工(gong)控(kong)係(xi)統(tong)的(de)安(an)全(quan)脆(cui)弱(ruo)性(xing)不(bu)容(rong)忽(hu)視(shi)。

　　我國工控係統安全防護的三大問題

　　逆ni向xiang發fa展zhan過guo程cheng中zhong標biao準zhun難nan落luo地di。為wei應ying對dui工gong控kong係xi統tong的de安an全quan風feng險xian，近jin年nian來lai我wo國guo參can考kao國guo外wai標biao準zhun體ti係xi，製zhi定ding並bing頒ban布bu了le多duo項xiang行xing業ye安an全quan管guan理li和he技ji術shu標biao準zhun，對dui產chan業ye的de發fa展zhan起qi到dao了le顯xian著zhu的de規gui範fan和he引yin導dao作zuo用yong。但dan國guo外wai標biao準zhun體ti係xi是shi在zai大da量liang應ying用yong實shi踐jian基ji礎chu上shang總zong結jie而er來lai的de，我wo國guo則ze是shi先xian有you標biao準zhun，再zai發fa展zhan滿man足zu市shi場chang需xu求qiu且qie成cheng本ben合he理li的de解jie決jue方fang案an，是shi一yi個ge逆ni向xiang發fa展zhan的de過guo程cheng，突tu出chu的de挑tiao戰zhan在zai於yu標biao準zhun如ru何he能neng夠gou落luo地di，這zhe對dui於yu安an全quan廠chang商shang的de技ji術shu能neng力li和he用yong戶hu企qi業ye的de應ying用yong水shui平ping都dou有you較jiao高gao要yao求qiu，需xu要yao大da量liang經jing驗yan豐feng富fu、精通工控和安全技術的研發和應用人才。

　　工(gong)業(ye)企(qi)業(ye)應(ying)用(yong)安(an)全(quan)解(jie)決(jue)方(fang)案(an)過(guo)程(cheng)中(zhong)輕(qing)視(shi)安(an)全(quan)管(guan)理(li)。麵(mian)對(dui)工(gong)控(kong)係(xi)統(tong)的(de)安(an)全(quan)隱(yin)患(huan)，用(yong)戶(hu)企(qi)業(ye)延(yan)續(xu)信(xin)息(xi)安(an)全(quan)防(fang)護(hu)的(de)舊(jiu)思(si)路(lu)，認(ren)為(wei)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)屬(shu)於(yu)純(chun)技(ji)術(shu)問(wen)題(ti)，要(yao)求(qiu)工(gong)控(kong)係(xi)統(tong)廠(chang)商(shang)提(ti)供(gong)整(zheng)改(gai)方(fang)案(an)，或(huo)者(zhe)轉(zhuan)向(xiang)第(di)三(san)方(fang)廠(chang)商(shang)購(gou)買(mai)安(an)全(quan)解(jie)決(jue)方(fang)案(an)。但(dan)安(an)全(quan)防(fang)護(hu)不(bu)隻(zhi)是(shi)技(ji)術(shu)問(wen)題(ti)
，更(geng)重(zhong)要(yao)的(de)是(shi)通(tong)過(guo)流(liu)程(cheng)製(zhi)度(du)對(dui)安(an)全(quan)脆(cui)弱(ruo)性(xing)進(jin)行(xing)控(kong)製(zhi)，並(bing)保(bao)證(zheng)人(ren)員(yuan)對(dui)流(liu)程(cheng)製(zhi)度(du)的(de)堅(jian)決(jue)執(zhi)行(xing)。很(hen)多(duo)情(qing)況(kuang)下(xia)
，安(an)全(quan)事(shi)故(gu)的(de)發(fa)生(sheng)和(he)關(guan)鍵(jian)信(xin)息(xi)的(de)泄(xie)露(lu)，人(ren)的(de)因(yin)素(su)至(zhi)關(guan)重(zhong)要(yao)。如(ru)何(he)使(shi)安(an)全(quan)管(guan)理(li)融(rong)入(ru)到(dao)日(ri)常(chang)管(guan)理(li)的(de)流(liu)程(cheng)，並(bing)強(qiang)化(hua)落(luo)實(shi)流(liu)程(cheng)的(de)執(zhi)行(xing)，加(jia)強(qiang)人(ren)員(yuan)的(de)管(guan)理(li)，是(shi)工(gong)業(ye)企(qi)業(ye)必(bi)須(xu)認(ren)真(zhen)思(si)考(kao)和(he)解(jie)決(jue)的(de)問(wen)題(ti)。

　　安全廠商開發解決方案過程中忽視安全治理體係。在能源、電力等關鍵部門迫切的工控係統安全整改需求推動之下，我國工控係統安全市場快速擴大，吸引了大量傳統ITxinxianquanchangshangdejinru。gongkongxitonganquanfanghushiyigezonghezhilitixi
，jiqiangtiaobaozhanggongkongxitongdegaokeyongxinghegaokekaoxing，haiyaofangfananquanshijiankenengduigongyejichusheshiyijirenyuanshengminganquandailaideweixie。

　　對策建議

　　借(jie)鑒(jian)德(de)國(guo)經(jing)驗(yan)
，將(jiang)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)保(bao)障(zhang)能(neng)力(li)建(jian)設(she)上(shang)升(sheng)為(wei)國(guo)家(jia)戰(zhan)略(lve)。一(yi)是(shi)盡(jin)快(kuai)啟(qi)動(dong)現(xian)有(you)工(gong)控(kong)係(xi)統(tong)的(de)係(xi)統(tong)性(xing)安(an)全(quan)評(ping)估(gu)，落(luo)實(shi)成(cheng)本(ben)經(jing)濟(ji)的(de)安(an)全(quan)解(jie)決(jue)方(fang)案(an)。二(er)是(shi)把(ba)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)保(bao)障(zhang)能(neng)力(li)建(jian)設(she)納(na)入(ru)到(dao)製(zhi)造(zao)業(ye)轉(zhuan)型(xing)升(sheng)級(ji)戰(zhan)略(lve)體(ti)係(xi)當(dang)中(zhong)
，同(tong)步(bu)部(bu)署(shu)，重(zhong)點(dian)推(tui)進(jin)，研(yan)究(jiu)製(zhi)定(ding)相(xiang)關(guan)發(fa)展(zhan)促(cu)進(jin)政(zheng)策(ce)。三(san)是(shi)持(chi)續(xu)推(tui)進(jin)知(zhi)識(shi)產(chan)權(quan)保(bao)護(hu)，加(jia)強(qiang)立(li)法(fa)和(he)執(zhi)法(fa)。

　　以yi標biao準zhun為wei基ji礎chu，以yi市shi場chang為wei導dao向xiang，支zhi持chi工gong控kong係xi統tong安an全quan技ji術shu和he解jie決jue方fang案an的de研yan發fa。一yi是shi積ji極ji跟gen蹤zong並bing參can與yu國guo際ji工gong控kong係xi統tong安an全quan標biao準zhun規gui範fan和he認ren證zheng管guan理li等deng方fang麵mian的de工gong作zuo，加jia深shen對dui工gong控kong係xi統tong安an全quan標biao準zhun體ti係xi和he管guan理li方fang法fa的de理li解jie
，加jia快kuai工gong控kong係xi統tong安an全quan國guo家jia標biao準zhun的de製zhi定ding。二er是shi以yi市shi場chang應ying用yong為wei導dao向xiang，切qie合he實shi際ji需xu求qiu

，支zhi持chi產chan學xue研yan單dan位wei積ji極ji研yan發fa技ji術shu自zi主zhu、成本經濟的工控係統安全解決方案。三是加快培養一批全麵掌握工業控製技術和相關安全技術知識的專業人才。

　　培育工控係統安全生態體係。一是提高工控係統安全的治理水平。二是規範工控係統安全風險和脆弱性評估市場，盡快建立統一、dulideguojiapinggutixi。sanshijiakuaijianlijiyuxingyedegongkongxitonganquanloudong，xingchenggongkongxitonghexinxianquanchangshangdexietongjizhi，jiaqiangduigongkongshijiandejiancehetongbao，shixianloudongxinxidingqigengxin。

　　加強信息安全策略體係建設和流程管理。一是要求工業企業加快製定安全管理製度，明確職責、權quan限xian
，提ti高gao對dui工gong控kong係xi統tong安an全quan的de認ren識shi水shui平ping和he重zhong視shi程cheng度du。二er是shi加jia強qiang安an全quan教jiao育yu和he管guan理li培pei訓xun，督du促cu企qi業ye落luo實shi安an全quan管guan理li製zhi度du，定ding期qi組zu織zhi工gong控kong係xi統tong安an全quan檢jian查zha。