導讀：目前我國的工業控製係統安全防護能力還處在初級階段，極易受到黑客的攻擊。正如此次暴發的WannaCry，萬wan一yi其qi變bian種zhong傳chuan播bo到dao工gong業ye係xi統tong主zhu機ji，最zui糟zao糕gao的de後hou果guo就jiu是shi工gong控kong主zhu機ji係xi統tong癱tan瘓huan，導dao致zhi生sheng產chan係xi統tong無wu法fa正zheng常chang運yun行xing，也ye可ke能neng會hui導dao致zhi爆bao炸zha等deng事shi故gu。在zai兩liang化hua融rong合he加jia劇ju的de情qing況kuang下xia，我wo國guo脆cui弱ruo的de工gong業ye控kong製zhi係xi統tong急ji需xu受shou到dao保bao護hu。

5月12日20時左右，新型“蠕蟲式”勒索軟件“WannaCry”在全球爆發，波及範圍多達上百個國家，涉及能源、電力、交通、醫療

、教育等多個重點行業領域。

但(dan)據(ju)記(ji)者(zhe)了(le)解(jie)，工(gong)業(ye)係(xi)統(tong)在(zai)此(ci)次(ci)危(wei)機(ji)中(zhong)卻(que)有(you)驚(jing)無(wu)險(xian)。可(ke)業(ye)內(nei)人(ren)士(shi)表(biao)示(shi)

，事(shi)實(shi)上(shang)，目(mu)前(qian)我(wo)國(guo)的(de)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)安(an)全(quan)防(fang)護(hu)能(neng)力(li)還(hai)處(chu)在(zai)初(chu)級(ji)階(jie)段(duan)，極(ji)易(yi)受(shou)到(dao)黑(hei)客(ke)的(de)攻(gong)擊(ji)。

正如此次暴發的WannaCry
，萬一其變種傳播到工業係統主機，最糟糕的後果就是工控主機係統癱瘓，導致生產係統無法正常運行
，也可能會導致爆炸等事故。

在兩化融合加劇的情況下，我國脆弱的工業控製係統急需受到保護。

安全隱患需警示

預警在前防範在先。在WannaCry爆發的第二天，國家工業信息安全發展研究中心就緊急發布《惡意勒索軟件WannaCry肆虐對我工業經信安全造成嚴重威脅》的預警通知，提到如果不加以防範和控製
，勢必對我國工業領域信息安全造成極大威脅。

通知中提到，工業主機存在被攻擊的安全隱患。我國工業領域的工業主機（如操作站、工程師站、曆史服務器等）廣泛使用了Windows通用型操作係統，尤其是大量應用了默認開放445端口的Windows 2000和Windows XP係統

，極有可能被WannaCry利li用yong漏lou洞dong進jin行xing入ru侵qin攻gong擊ji，並bing迅xun速su蔓man延yan至zhi工gong業ye企qi業ye內nei網wang甚shen至zhi工gong業ye控kong製zhi網wang絡luo，導dao致zhi工gong業ye主zhu機ji被bei加jia密mi鎖suo定ding以yi至zhi於yu無wu法fa正zheng常chang運yun行xing
，甚shen至zhi造zao成cheng整zheng個ge工gong業ye企qi業ye內nei網wang的de癱tan瘓huan。

其次，工業企業相關敏感數據存在被鎖定、篡改和銷毀的風險。一旦中招，該勒索軟件可以對目標係統和設備中的數十種類型的文件加密，涉及文檔、數據庫、視頻
、音頻、圖像、製圖、壓縮包等幾乎所有文件類型，可能導致工業企業生產運行等敏感數據無法正常采集和讀取，對工業生產造成嚴重經濟損失。

目前，多個國家的電力、石油
、通信、交通運輸等領域受到嚴重影響，例如，西班牙電力公司Iberdrola
、天然氣公司Gas Natural以及電信巨頭Telefonica等均遭受到勒索軟件的攻擊。通知中提到：“鑒於該惡意軟件傳播速度極快
、影響範圍極廣，我國重點工業領域已然受到波及，如若不加防範和控製，大範圍中招隻是時間問題。”

事實上

，由於“兩網”融合，傳統信息網絡所麵臨的病毒
、木馬、入侵攻擊、拒(ju)絕(jue)服(fu)務(wu)等(deng)安(an)全(quan)威(wei)脅(xie)正(zheng)在(zai)向(xiang)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)擴(kuo)散(san)。北(bei)京(jing)和(he)利(li)時(shi)係(xi)統(tong)工(gong)程(cheng)有(you)限(xian)公(gong)司(si)信(xin)息(xi)安(an)全(quan)係(xi)統(tong)架(jia)構(gou)師(shi)劉(liu)盈(ying)介(jie)紹(shao)道(dao)，工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)的(de)網(wang)絡(luo)威(wei)脅(xie)源(yuan)包(bao)括(kuo)網(wang)絡(luo)病(bing)毒(du)木(mu)馬(ma)攻(gong)擊(ji)
、控製權限截獲、數據監聽及竊取
、數據篡改、通信健壯性攻擊等。

具體而言，網絡病毒木馬攻擊包括惡意代碼、APT攻擊病毒、漏洞攻擊、後門服務等攻擊類型
，通過已知的操作係統漏洞和後門
、電子郵件攻擊和零日漏洞等方式對工控係統構成威脅；控製權限截獲則可通過操作係統或軟件漏洞獲取操作權限或更高級的權限、竊取或窮舉攻擊等手段暴力破解口令。

lingwai，liuyinghaibiaoshi，gongkongxitongdabufencaiyongmingwenchuanshudefangshi，duiyushujujiantingquefafanghunengli
，mingwencunchudeshujuxinxifengxianjiaoda。bujinruci
，kongzhixitongtongxinjianzhuangxingboruo，mianduiwangluogongjiyizaochengtongxinlianluzhongduan，shenzhimianlinxitongzhongqidefengxian。

防禦由被動轉向主動

當前，智能工廠和數字化車間成為智能製造的標配

，也將新一代信息技術貫穿於設計、生產、管理
、服務等製造活動的各個環節，信息深度自感知、智慧優化自決策
、精準控製自執行等也成為智能製造的基本功能。

但需要強調的是，“智能製造的主要安全目標就是
，保證係統功能不會失效和失控。”機械工業儀器綜合技術經濟研究所副所長梅恪強調說。

工業控製係統通常包括傳感器、轉換器、發射器、控製器、執(zhi)行(xing)器(qi)等(deng)儀(yi)器(qi)儀(yi)表(biao)，工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)就(jiu)像(xiang)是(shi)這(zhe)些(xie)工(gong)業(ye)裝(zhuang)備(bei)的(de)大(da)腦(nao)
，在(zai)它(ta)的(de)指(zhi)揮(hui)下(xia)，大(da)量(liang)儀(yi)器(qi)儀(yi)表(biao)以(yi)子(zi)係(xi)統(tong)的(de)形(xing)式(shi)進(jin)行(xing)組(zu)合(he)
，完(wan)成(cheng)各(ge)種(zhong)複(fu)雜(za)的(de)控(kong)製(zhi)任(ren)務(wu)。

近年來，工業控製係統安全事故層出不窮。去年卡巴斯基安全實驗室就揭露了針對工控行業的“食屍鬼”網絡攻擊活動，攻擊通過偽裝阿聯酋國家銀行電郵
，使用魚叉式釣魚郵件
，對中東和其它國家的工控組織發起了定向網絡入侵。

此次WannaCry來(lai)襲(xi)，再(zai)次(ci)為(wei)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)的(de)安(an)全(quan)防(fang)控(kong)敲(qiao)響(xiang)警(jing)鍾(zhong)。如(ru)何(he)構(gou)建(jian)安(an)全(quan)的(de)防(fang)護(hu)體(ti)係(xi)
，如(ru)何(he)正(zheng)確(que)應(ying)對(dui)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)網(wang)絡(luo)安(an)全(quan)問(wen)題(ti)，備(bei)受(shou)工(gong)業(ye)企(qi)業(ye)的(de)關(guan)注(zhu)。

“過去傳統的網絡安全模型是封、堵、查
、殺的被動防禦，而當前應該借鑒傳統防禦方式建立主動防禦體係。”劉盈說。

工gong業ye控kong製zhi係xi統tong信xin息xi安an全quan領ling域yu資zi深shen專zhuan家jia李li鴻hong培pei也ye表biao示shi，從cong攻gong防fang對dui抗kang的de角jiao度du

，係xi統tong總zong會hui被bei攻gong破po，也ye就jiu是shi說shuo
，僅jin部bu署shu傳chuan統tong的de安an全quan防fang護hu機ji製zhi是shi不bu夠gou的de。

“針對係統缺陷的攻防，攻方占盡先機。”李鴻培說，“防(fang)禦(yu)成(cheng)功(gong)的(de)關(guan)鍵(jian)在(zai)於(yu)如(ru)何(he)及(ji)時(shi)洞(dong)察(cha)係(xi)統(tong)中(zhong)的(de)安(an)全(quan)缺(que)陷(xian)，並(bing)盡(jin)早(zao)主(zhu)動(dong)彌(mi)補(bu)。另(ling)外(wai)，如(ru)何(he)盡(jin)早(zao)發(fa)現(xian)攻(gong)擊(ji)行(xing)為(wei)並(bing)及(ji)時(shi)處(chu)置(zhi)，縮(suo)小(xiao)係(xi)統(tong)被(bei)自(zi)由(you)攻(gong)擊(ji)的(de)時(shi)間(jian)窗(chuang)口(kou)。”

對於信息安全防護關鍵技術，劉盈重點介紹了幾種，例如基於數字證書的身份驗證機製，對接入設備進行雙向驗證

；采用對稱算法對係統通信數據進行加解密處理；以及訪問控製技術
、入侵檢測技術、虛擬化隔離技術

、可信啟動技術等。

zhongguonengyuanjianshejituanyouxiangongsigongchengyanjiuyuanfuyuanchangxujigangzeyidianchangweilibiaoshi
，dianchangxinxianquandefangfanzhongdianjiushishezhihaosandaozhongyaofangxian
，diyidaoshidianchangxinxixitongyuwaibuxitongdeanquanfangxian；第二道是電廠控製係統與產品供貨商的安全防線
；第三道是電廠控製係統與電廠信息係統的安全防線。

許繼剛還針對電廠的主要信息係統的信息安全防禦重點指出，廠級監控信息係統（SIS）是shi電dian廠chang的de運yun行xing數shu據ju中zhong心xin
，處chu於yu電dian廠chang所suo有you自zi動dong化hua係xi統tong的de中zhong心xin位wei置zhi，其qi防fang禦yu重zhong點dian就jiu是shi必bi須xu切qie斷duan所suo有you從cong實shi時shi或huo曆li史shi數shu據ju庫ku讀du取qu數shu據ju的de用yong戶hu係xi統tong對duiSIS的入侵。

上述人士普遍認為，當前急需加大在工業控製網絡安全設備的投入
，防止相關企業受到攻擊，避免造成巨大損失。

工控係統產業或迎“金海”

此次WannaCry來襲，許多網絡安全企業都在第一時間做出應急處置方案。總之
，勒索病毒爆發，網絡安全產業再迎催化。

“超過80%的de關guan鍵jian基ji礎chu設she施shi依yi靠kao工gong業ye控kong製zhi係xi統tong實shi現xian自zi動dong化hua作zuo業ye，工gong業ye控kong製zhi係xi統tong己ji廣guang泛fan應ying用yong於yu涉she及ji國guo計ji民min生sheng的de各ge領ling域yu，隨sui著zhe網wang絡luo空kong間jian安an全quan上shang升sheng為wei國guo家jia戰zhan略lve
，工gong控kong網wang絡luo安an全quan行xing業ye蘊yun含han巨ju大da的de機ji遇yu。”北京匡恩網絡科技有限責任公司技術委員會主席兼首席戰略官孫一桉說。

國內網絡安全產業現狀究竟如何
？中國網絡安全產業聯盟理事長沈繼業此前已做了幾點概括：一是產業規模小
，廠商眾多並且背景多樣化，產品眾多，整體水平不高並且同質化嚴重；二是行業競爭激烈，不良物種侵入，產業生態遭到嚴重破壞。但與此同時，這又是一個熱門的行業
，未來前景被各方看好。

事shi實shi上shang
，我wo國guo工gong業ye控kong製zhi係xi統tong規gui模mo巨ju大da且qie嚴yan重zhong依yi賴lai進jin口kou，智zhi能neng化hua改gai造zao使shi得de生sheng產chan網wang絡luo從cong開kai放fang走zou向xiang互hu聯lian，進jin一yi步bu加jia劇ju係xi統tong網wang絡luo安an全quan威wei脅xie，而er且qie大da規gui模mo的de新xin建jian工gong控kong係xi統tong依yi然ran缺que乏fa網wang絡luo安an全quan規gui劃hua和he設she計ji。

可ke喜xi的de是shi，國guo家jia已yi經jing注zhu意yi到dao這zhe一yi情qing況kuang
，高gao度du重zhong視shi並bing開kai始shi部bu署shu一yi係xi列lie旨zhi在zai提ti升sheng我wo國guo工gong控kong係xi統tong網wang絡luo安an全quan的de舉ju措cuo。中zhong央yang網wang絡luo安an全quan和he信xin息xi化hua領ling導dao小xiao組zu的de成cheng立li
，標biao誌zhi著zhe我wo國guo進jin入ru了le全quan麵mian防fang護hu網wang絡luo空kong間jian安an全quan的de戰zhan略lve時shi期qi。《中華人民共和國網絡安全法（草案）》和《中華人民共和國國家安全法》的相繼頒布，也使我國網絡安全立法達到了前所未有的高度。

在業界看來，工業控製係統產業方興未艾，誰先搶占這一片藍海
，收獲的或許將是一片“金海”。