9月17日－20日，2017年(nian)網(wang)絡(luo)安(an)全(quan)博(bo)覽(lan)會(hui)暨(ji)網(wang)絡(luo)安(an)全(quan)成(cheng)就(jiu)展(zhan)在(zai)上(shang)海(hai)舉(ju)行(xing)。活(huo)動(dong)期(qi)間(jian)，國(guo)家(jia)工(gong)業(ye)信(xin)息(xi)安(an)全(quan)研(yan)究(jiu)中(zhong)心(xin)網(wang)絡(luo)與(yu)信(xin)息(xi)安(an)全(quan)研(yan)究(jiu)部(bu)主(zhu)任(ren)劉(liu)迎(ying)就(jiu)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)的(de)安(an)全(quan)問(wen)題(ti)接(jie)受(shou)采(cai)訪(fang)。

國家工業安全中心網絡與信息安全研究部主任劉迎

劉迎表示，近年來，國家對工業控製係統網絡安全的重視程度正不斷加大。隨著工業4.0時代到來，工控係統網絡安全保障不僅需要在政府層麵做好頂層設計和戰略統籌

，也需要科研機構
、高校、網絡安全企業及社會各界形成合力，健全安全保障工作機製。

什麼是工控係統
？簡單來說，就是指用計算機技術
、微電子技術、電氣手段，使工廠的生產和製造過程更加自動化、效率化、精確化


，並具有可控性及可視性。

由於牽涉麵大、影響範圍廣

，工控係統一旦遭到網絡攻擊，損失不可估量。例如2010年伊朗核電站遭“震網”病毒襲擊，2015年烏克蘭供電係統被黑客攻擊，這些工控係統安全性事件均在全球範圍引起關注。

劉迎說，當前我國工控係統麵臨的風險主要包括以下幾個方麵：

首(shou)先(xian)，工(gong)控(kong)係(xi)統(tong)安(an)全(quan)漏(lou)洞(dong)層(ceng)出(chu)不(bu)窮(qiong)。由(you)於(yu)工(gong)控(kong)軟(ruan)硬(ying)件(jian)產(chan)品(pin)在(zai)設(she)計(ji)之(zhi)初(chu)就(jiu)很(hen)少(shao)考(kao)慮(lv)安(an)全(quan)問(wen)題(ti)，導(dao)致(zhi)安(an)全(quan)漏(lou)洞(dong)不(bu)斷(duan)湧(yong)現(xian)。今(jin)年(nian)以(yi)來(lai)，國(guo)家(jia)工(gong)業(ye)安(an)全(quan)中(zhong)心(xin)發(fa)現(xian)國(guo)內(nei)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)漏(lou)洞(dong)數(shu)百(bai)個(ge)，廣(guang)泛(fan)分(fen)布(bu)於(yu)裝(zhuang)備(bei)製(zhi)造(zao)、交通
、能源
、智能樓宇等重要工業領域。

其次，攻擊難度逐步降低。由於黑客大會、開源社區、白帽社區的出現，大量工控係統軟硬件設備的漏洞及利用方式可通過公開或半公開的渠道獲得。在github等開源社區，很多關於工控設備的弱口令信息及工控係統的掃描、探測、滲透方法被公布。

第三，工控係統很容易成為國家之間網絡對抗及黑客定向攻擊的目標。如2017年上半年在全球範圍爆發的“勒索病毒”攻擊事件

，已對能源、交通等領域的工控係統造成影響。

ciqijian，wangshanghaichuxianyikuanzhuanmengongjidianlilingyugongkongxitongdexinxingeyiruanjian。tanenggoutongguoruqinxitongyinfadaguimotingdian，tongshizaochengshebeisunhuaihejilianguzhang。

此(ci)外(wai)
，劉(liu)迎(ying)還(hai)表(biao)示(shi)
，隨(sui)著(zhe)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)從(cong)封(feng)閉(bi)走(zou)向(xiang)開(kai)放(fang)互(hu)聯(lian)，工(gong)業(ye)互(hu)聯(lian)趨(qu)勢(shi)下(xia)的(de)安(an)全(quan)風(feng)險(xian)將(jiang)持(chi)續(xu)升(sheng)級(ji)。大(da)規(gui)模(mo)的(de)互(hu)聯(lian)互(hu)通(tong)為(wei)攻(gong)擊(ji)者(zhe)提(ti)供(gong)了(le)更(geng)多(duo)攻(gong)擊(ji)路(lu)徑(jing)，新(xin)一(yi)代(dai)信(xin)息(xi)技(ji)術(shu)如(ru)工(gong)業(ye)互(hu)聯(lian)網(wang)、工業雲
、工業大數據等應用將帶來新的安全風險。

麵對風險

，有關部門也在想方設法增強工控係統的防禦能力。

據劉迎介紹，針對工控係統安全防護，我國是世界少數幾個專門發布“體係化”安全防護指導性文件的國家。

特別是2016年
，工信部曾印發《工業控製係統信息安全防護指南》（以下簡稱指南），文件從11個方麵提出30項防護措施
，涉及工業主機、網絡

、設備和數據等層次的安全防護技術

“實施這些防護措施
，可有效抵禦絕大部分風險威脅。”liuyingtanyan，congjinniandejianzhapinggugongzuolaikan


，shangshuzhinanzaiwoguogongyeqiyedeluoshichengduyoudaijiaqiang。muqiangexingyefanghushuipingcanchabuqi
，weilaixuyaojinyibubaozhengyouxiujiejuefanganzaigongyeqiyedetuiguangluodi。

同時
，劉迎認為，保障工業4.0時代的網絡安全， 需要有關部門出台相關安全保障戰略政策、健全完善相應的標準規範，同時建立麵向工業企業安全評估常態化工作機製。

她還表示，接下來應建設工業4.0安全風險信息共享與應急聯動工作體係，組織、協調行業監管部門
、研究機構、製造企業、安全廠商共同合作。依托國家工業信息安全產業發展聯盟，推動工控安全防護形成產、學
、研、用生態體係。

國家工業信息安全發展研究中心（工業和信息化部電子第一研究所），前身為成立於1959年的電子科學技術情報研究所，為工業和信息化部直屬事業單位，是支撐我國工業領域信息安全的國家級研究與推進機構。