全(quan)球(qiu)近(jin)年(nian)來(lai)發(fa)生(sheng)多(duo)起(qi)重(zhong)大(da)工(gong)業(ye)信(xin)息(xi)安(an)全(quan)事(shi)件(jian)。一(yi)些(xie)組(zu)織(zhi)或(huo)個(ge)人(ren)通(tong)過(guo)對(dui)工(gong)業(ye)設(she)施(shi)和(he)工(gong)業(ye)係(xi)統(tong)進(jin)行(xing)網(wang)絡(luo)攻(gong)擊(ji)，謀(mou)求(qiu)達(da)成(cheng)政(zheng)治(zhi)訴(su)求(qiu)或(huo)經(jing)濟(ji)訴(su)求(qiu)。

目mu前qian
，我wo國guo絕jue大da多duo數shu工gong業ye控kong製zhi係xi統tong在zai沒mei有you防fang護hu措cuo施shi的de情qing況kuang下xia暴bao露lu於yu互hu聯lian網wang，且qie含han有you係xi統tong漏lou洞dong，能neng夠gou輕qing易yi被bei遠yuan程cheng操cao控kong，麵mian臨lin巨ju大da安an全quan風feng險xian。

95%工業控製係統含漏洞易受控

記者從國家工業信息安全發展研究中心了解到，目前該中心監測到的我國3000餘個暴露在互聯網上的工業控製係統，95%以上有漏洞，可以輕易被遠程控製，約20%的重要工控係統可被遠程入侵並完全接管。

過去，我國絕大多數工業係統是封閉係統

，也稱單機係統

，不用考慮聯網情況，現在隨著工業“互聯網+”的推進，IT和OT（操作技術）實現互聯，必然導致一批係統和設施暴露。

“很多係統和設備沒有防護軟件，也不能安裝殺毒係統，一旦上了網就處於‘裸奔’狀態。”一位業內人士告訴記者，通信
、能源、水利、電力等關鍵基礎設施存在安全風險
，而入侵和控製工控係統也已成為商業上打壓競爭對手的不法手段。

在蘇浙就有消費品加工廠被國外競爭廠家入侵網絡
，破壞設備運行，造成生產斷檔。

從全球發展趨勢來看
，工業控製係統日益成為黑客攻擊和網絡戰的重點目標。

近年全球重大工業信息安全事件頻發：2010年伊朗核設施遭受“震網病毒”攻擊

；2016年美國東海岸大麵積斷網
；2017年“Wanna Cry”勒索病毒肆虐全球……全球工業網絡安全總體風險持續攀升，呈現高危態勢。

定向攻擊精準性提升迅速。大量工控係統漏洞、攻擊方法可以通過互聯網等多種公開、半公開渠道獲取，許多技術分析報告給出了網絡攻擊步驟
、攻擊代碼甚至攻擊工具等詳細信息
，極易被黑客等不法分子利用。

技術手段複雜化
、專(zhuan)業(ye)化(hua)。針(zhen)對(dui)工(gong)控(kong)係(xi)統(tong)的(de)攻(gong)擊(ji)已(yi)從(cong)原(yuan)來(lai)一(yi)個(ge)代(dai)碼(ma)攻(gong)擊(ji)一(yi)兩(liang)種(zhong)漏(lou)洞(dong)，進(jin)化(hua)成(cheng)一(yi)個(ge)代(dai)碼(ma)嵌(qian)入(ru)數(shu)十(shi)種(zhong)底(di)層(ceng)係(xi)統(tong)漏(lou)洞(dong)，絕(jue)非(fei)一(yi)個(ge)業(ye)餘(yu)愛(ai)好(hao)者(zhe)能(neng)夠(gou)實(shi)現(xian)。

美國網絡武器庫遭泄埋下重大隱患。維基解密
、影子經紀人等黑客組織公開披露了大批網絡攻擊工具和安全漏洞，可被用於入侵感染工控係統，引發高頻次、大規模的網絡攻擊。

例如震驚全球的“Wanna Cry”勒索病毒就利用了影子經紀人披露的美國國安局“永恒之藍”漏洞進行傳播。在一次網絡攻擊中，中石油等眾多中國工業企業中招。

意識薄弱、技術不足
、人才匱乏加劇風險

目前，我國在工業信息安全方麵存在安全防護意識薄弱、技術水平偏低、人才匱乏等問題
，形勢較為嚴峻。

多地區、部門
、工業企業對工控係統信息安全重視不夠，重發展輕安全
，漏洞不重視、修複不及時現象普遍存在。

據360補天漏洞響應平台統計，所有工控信息係統漏洞中
，25.6%的漏洞未進行修複，一些行業漏洞平均修複時間長達數月之久。

我國對工業信息領域安全的認識還處在初級階段。2017年5月“Wanna Cry”勒索病毒事件爆發
，微軟在當年3月就發布了相應安全漏洞補丁，但我國很多單位一直沒有打補丁，導致近30萬台主機和電腦被感染。

直到目前
，360公司還能監測到每天有近千台電腦感染此勒索病毒。

在zai企qi業ye中zhong
，因yin私si人ren行xing為wei暴bao露lu並bing感gan染ran病bing毒du的de情qing況kuang也ye較jiao為wei多duo見jian，例li如ru個ge人ren通tong過guo工gong控kong設she備bei違wei規gui上shang網wang，或huo是shi廠chang商shang的de維wei護hu人ren員yuan電dian腦nao感gan染ran後hou造zao成cheng設she備bei係xi統tong全quan網wang感gan染ran病bing毒du等deng。

部分工控係統依賴進口
，核心產品自主可控度低。

國家工業信息安全產業發展聯盟發布的《2017年工業信息安全態勢白皮書》顯示，國產數據庫僅占據7%的低端市場，數千個工控係統由外國廠商提供運行維護，大量企業不具備自主維護能力，同時缺乏對外國產品和服務的監管。

記者了解到
，設備廠商的維保人員對工控係統控製權非常大
，在部分企業
，工控係統控製室的門禁卡甚至都掌握在外方手中。

fanghujishujiaoweiluohou，rencaikuifa，nanyiyuwangluogongjixiangkangheng。guojiagongyexinxianquanfazhanyanjiuzhongxintongguoanquanjiancefaxian
，gongyeqiyexinxianquanyingjibeizaishouduanbuzu，yue70%的被調查工業企業缺少完善應災備災體係。

公共信息安全人才是自動化和網絡安全人才的複合型人才，缺口巨大
，在高校中沒有工業控製領域的碩士
、博士培養方向
，工業信息安全從業人員幾乎都是在實戰中學習。

如何擰緊工業網絡“安全閥”

針對工業安全領域複雜多變的挑戰，須從政策製度
、技術產品研發、人才培養等方麵著力，進一步開展工業互聯網安全建設
，構建安全保障體係。

強化網絡安全漏洞管理，降低被攻擊風險。

360集團董事長兼CEO周鴻禕認為，應建立漏洞管理全流程監督處罰製度
，製定覆蓋網絡安全漏洞的發現

、審核、披露、通報、修複、追責等全流程管理細則
，強製要求漏洞必須及時修複
，對漏洞修複時間以及違規處罰措施予以明確規定。

此外，應建立監督檢查機製和力量，及時發現未及時修複漏洞的行為
，追究相關單位和責任人責任。

yanjiuzhidingxinyidaixinxijishuzaigongyelingyuyingyongdeanquanjiagou，jinkuaitupoyipigongyexinxianquanguanjianhexinjishu，zhongdianfazhanyipigaoduanchanpin
，xingchengjuyoushichangjingzhenglidechanpintixi。

我國現有工業信息安全產業（包括產品、技術
、服務等）占整個IT行業的比重不足2%，遠低於歐美發達國家近10%的水平。隻有做強自主可控的工控係統相關行業，才能夠在安全問題上有話語權。

支持相關教育培訓機構，開展網絡安全學科聯合建設
，將網絡安全納入職業技能鑒定體係，培養一支門類齊全、技術精湛的專業人才隊伍。

網絡安全的本質在攻防兩端能力的較量。在我國巨大的網絡安全人才缺口中
，90%以上是防禦型人才。

與進攻型、研究型人才不同
，防禦型人才可以通過職業培訓形式大批量培養，依靠社會力量開展職業教育，可以在短期內彌補網絡安全人才缺口。