隨著兩化融合的深入以及中國製造2025

、工業4.0的提出
，網絡威脅開始蔓延至工業控製領域。然而，工業控製係統作為關鍵基礎設施的“大腦”和“中樞神經”

，超過80%的涉及國計民生的關鍵基礎設施及智慧城市業務係統，要依靠它來實現自動化作業，一旦被入侵將直接影響工業安全、國家安全。因此，保障工業控製係統的安全至關重要。

8月16日
，2016中zhong國guo互hu聯lian網wang安an全quan大da會hui工gong業ye互hu聯lian網wang安an全quan論lun壇tan在zai北bei京jing舉ju行xing。會hui上shang，工gong業ye和he信xin息xi化hua部bu電dian子zi科ke技ji技ji術shu情qing報bao研yan究jiu所suo總zong工gong程cheng師shi尹yin麗li波bo
，中zhong國guo信xin息xi安an全quan測ce評ping中zhong心xin隱yin患huan分fen析xi處chu副fu處chu長chang
、研究員謝豐等，針對工業控製係統麵臨的風險和挑戰等一係列關乎工業網絡安全的話題展開分享和討論。

謝豐表示
，從2010年“震網”病毒攻擊伊朗科工業控製係統
，到2016年第一款可在PLC之間傳播的“工控蠕蟲”問世，不難看出工控入侵技術在不斷變化，並表現出了新的特點：網絡攻擊已經從影響虛擬資產向破壞物理世界轉變
；通用化、軟硬結合、互hu聯lian互hu通tong的de技ji術shu變bian化hua直zhi接jie帶dai來lai基ji礎chu設she施shi攻gong擊ji麵mian的de增zeng大da，通tong過guo互hu聯lian網wang滲shen透tou到dao工gong控kong已yi成cheng為wei一yi種zhong重zhong要yao途tu徑jing。傳chuan統tong病bing毒du與yu工gong控kong病bing毒du相xiang互hu交jiao織zhi，以yi計ji算suan機ji為wei跳tiao板ban的de攻gong擊ji在zai未wei來lai可ke能neng發fa展zhan到dao直zhi接jie攻gong擊ji控kong製zhi係xi統tong上shang
；工控入侵很可能從利用未公開漏洞的高難度攻擊方式延伸到常規手段組合式攻擊，甚至繞過工控底層知識的壁壘。

正是由於工控入侵技術的新特點
，導致工控係統安全風險加大。尹麗波認為工控係統正麵臨五大風險：一是漏洞劇增。工控軟硬件產品在設計之初就很少考慮安全問題
，因此導致安全漏洞不斷湧現。2000年至2016年間，發現了1552個工業控製軟硬件設備漏洞
，涉及123家工控廠商
，其中，33%(516個)沒有被修複
，90%的漏洞披露於“震網”事件後，465個漏洞為易利用的HMI漏洞。二是互聯互通。工業控製係統正從封閉走向開放和互聯，工控係統的網絡安全邊界明顯擴大。三是攻擊趨易。由於黑客大會
、開源社區、baimaoshequdechuxian


，daozhihuoqugongkongxitongdegongjifangfayuelaiyuerongyi。sishimubiaozhongyao。gongkongxitongzuoweiguojiaguanjianjichusheshidezhongyaozuchengbufen，yijingchengweiwangluobudui、黑客、極端勢力攻擊的重要目標。五是基礎薄弱。由於我國目前存在安全防護嚴重不足、介入控製仍不嚴格、外包服務管理嚴重缺失、培訓教育力度不夠

、應急能力不強等問題，以至於我國工控安全防控難以有效應對國家級的
、有組織的、高強度的網絡攻擊。

除此之外

，尹麗波表示工控安全保障正麵臨五大挑戰。一是安全失衡。即重發展
、輕網絡


，重功能安全、輕信息安全。二是態勢失察。即資產底數不清、安全態勢不明、風險預警缺乏。三是診斷失據。即審查評估無標準

、安全防護無指南
、測試工具不成熟、診(zhen)斷(duan)環(huan)境(jing)受(shou)限(xian)製(zhi)。四(si)是(shi)防(fang)護(hu)失(shi)效(xiao)。由(you)於(yu)工(gong)控(kong)係(xi)統(tong)的(de)特(te)殊(shu)性(xing)，導(dao)致(zhi)大(da)量(liang)現(xian)有(you)的(de)信(xin)息(xi)安(an)全(quan)措(cuo)施(shi)無(wu)法(fa)直(zhi)接(jie)應(ying)用(yong)於(yu)工(gong)控(kong)安(an)全(quan)防(fang)護(hu)的(de)工(gong)作(zuo)中(zhong)。五(wu)是(shi)力(li)量(liang)失(shi)衡(heng)。由(you)於(yu)我(wo)國(guo)工(gong)控(kong)安(an)全(quan)研(yan)究(jiu)力(li)量(liang)分(fen)散(san)，仍(reng)無(wu)專(zhuan)注(zhu)於(yu)工(gong)控(kong)安(an)全(quan)的(de)先(xian)進(jin)的(de)、權威的技術研究與支撐機構，工控安全保障技術體係還不完善
，以至於目前對工控安全的態勢感知
、有效防控、應急恢複、預測分析技術的保障能力還處於初級水平。

要想改變這種態勢，尹麗波認為，信息化與信息安全就要同規劃
、同建設
、同(tong)運(yun)行(xing)
，將(jiang)信(xin)息(xi)安(an)全(quan)納(na)入(ru)生(sheng)產(chan)安(an)全(quan)評(ping)價(jia)體(ti)係(xi)中(zhong)。要(yao)建(jian)設(she)國(guo)家(jia)級(ji)工(gong)控(kong)安(an)全(quan)態(tai)勢(shi)感(gan)知(zhi)平(ping)台(tai)和(he)國(guo)家(jia)級(ji)工(gong)控(kong)安(an)全(quan)風(feng)險(xian)通(tong)報(bao)預(yu)警(jing)平(ping)台(tai)。並(bing)建(jian)立(li)健(jian)全(quan)工(gong)控(kong)安(an)全(quan)檢(jian)查(zha)評(ping)估(gu)標(biao)準(zhun)和(he)防(fang)護(hu)指(zhi)南(nan)
，研(yan)發(fa)專(zhuan)業(ye)、權威的工控安全測試評估工具。組織開展工控安全專用防護技術與產品攻關，形成工控安全防護產、學
、研、用生態體係。且要加強頂層設計
，明確職責
，形成合力，建設專業的工控安全保障技術機構。

謝豐同意尹麗波的觀點。他認為，由於工控安全防護研發不易開展、yonghubuganchangshihecuoshinanyizhixingdengyuanyin，daozhigongkongxitongxinxianquanrutongciqidianlizhuolaoshu。ciqihencuiruo，jiyaozhuazhulaoshu
，youbunengpohuaiciqi。zaizhezhongqingkuangxia，jiuyaojianchiguanli+技術的信息安全傳統套路，在管理上形成工控信息安全管理體係
，在技術上“舊瓶裝新酒”

，形成“縱深防禦”的安全防護體係。

zongzhi
，gongkongxitongdejiazhibiranhuixiyinyuelaiyueduodewaizaigongjiyushentou。gongkongwangluodetedianyejuedinglegongkongxinxianquanjishubixuzhonggou。xiangyaojianligongkonganquanwenhua，xingchenggongkonganquanshengtai，shiyichangchijiuzhan。