近日，一個自稱黑暗麵（DarkSide）的團體因攻擊美國科洛尼爾管道運輸公司（Colonial Pipeline），導致美國能源基礎設施遭遇了有史以來最具破壞性的網絡攻擊。美東多州宣布進入緊急狀態，在國內掀起了囤油熱潮。最終

，Colonial Pipeline公司不得不向黑客支付了440萬美元贖金。

此後不久
，日本科技巨頭東芝的一家子公司公開承認受到“DarkSide”勒索軟件襲擊
，超過740GB的數據被竊取，包括護照掃描和其他個人信息。

另據最新消息，美國最大的保險公司之一（CNA Financial Corp.）也因遭遇勒索軟件攻擊，被迫支付了4000萬美元贖金
，以重新獲得對其網絡的控製權。該公司已確認這起攻擊的實施者是一個名為Phoenix的組織。

自2010年伊朗“震網”事件爆發以來
，世界範圍內針對工業信息係統的網絡攻擊事件愈演愈烈。關係到國家關鍵基礎設施建設
、國防安全和經濟安全的工控係統已成為網絡攻擊重點目標。麵對數字時代新形勢，應該如何築牢工控係統的安全堤壩
？在近日召開的2021第四屆工業安全大會上
，來自各行各業的專家對此進行了深入探討。

可信計算提高工控安全“免疫力”

一直以來，國家工控係統網絡安全都是一場沒有硝煙的戰爭。“考慮到工控係統的脆弱性和工業應用場景的特殊性，傳統網絡安全防護手段已經難以滿足工業控製係統安全需求。”寧波和利時信息安全研究院有限公司方案總監穆雷霆指出。

中國工程院院士沈昌祥介紹稱，由於人們對IT的認知邏輯的局限性，不能窮盡所有組合
，隻能局限於完成計算任務去設計IT係統，必然存在邏輯不全的缺陷，從而難以應對人為利用缺陷進行的攻擊。因此，為了安全必須從邏輯正確驗證

、jisuantixijiegouhejisuanmoshidengfangmianjinxingkexuejisuanchuangxin，yijiejueluojiquexianbeigongjizhesuoliyongdewenti
，xingchenggongfangmaodundetongyiti。quebaoweiwanchengjisuanrenwudeluojizuhebubeicuangaihepohuai，shixianzhengquejisuan

，zhejiushizhudongmianyifangyu。kexinjisuanweigoujianzhudongmianyifangyujiagoutigonglejishuzhicheng。

可ke信xin計ji算suan是shi指zhi計ji算suan運yun算suan的de同tong時shi進jin行xing安an全quan防fang護hu
，全quan程cheng可ke測ce可ke控kong，不bu被bei幹gan擾rao
，是shi一yi種zhong運yun算suan和he防fang護hu並bing存cun的de主zhu動dong免mian疫yi的de新xin計ji算suan模mo式shi
，以yi密mi碼ma為wei基ji因yin，實shi施shi身shen份fen識shi別bie
、狀態度量、保密存儲等功能。它可以及時識別“自己”和“非己”成分，從而破壞與排斥進入機體的有害物質，相當於為計算機信息係統培育了免疫能力。

穆雷霆稱：“工業網絡安全應基於可信計算等主動防禦技術，通過控製係統內嵌可信計算防護體係
，可實現主動識別
、主動度量和主動保護功能
，增強自身防護能力。”

“網絡空間已經成為繼陸、海、空、天之後的第五大主權領域空間。沒有網絡安全就沒有國家安全
，安全是發展的前提。”沈昌祥指出，“網(wang)絡(luo)空(kong)間(jian)安(an)全(quan)是(shi)計(ji)算(suan)科(ke)學(xue)問(wen)題(ti)，是(shi)體(ti)係(xi)結(jie)構(gou)問(wen)題(ti)
，也(ye)是(shi)計(ji)算(suan)模(mo)式(shi)問(wen)題(ti)。經(jing)過(guo)長(chang)期(qi)攻(gong)關(guan)應(ying)用(yong)
，我(wo)國(guo)形(xing)成(cheng)了(le)自(zi)主(zhu)創(chuang)新(xin)安(an)全(quan)可(ke)信(xin)體(ti)係(xi)
，完(wan)備(bei)的(de)可(ke)信(xin)計(ji)算(suan)3.0產品鏈，將形成巨大的新型產業空間。”

風險評估是安全狀態的試金石

根據工控典型風險評估案例分析，工控係統目前麵臨十大主要安全風險，涉及網絡架構、工控協議、安全基線、安全漏洞、威脅感知、人員機構
、安全管理
、接入管理、物理環境、運維記錄等多個方麵。工控係統安全不僅需要核心技術支撐，還需進一步加強安全防護能力建設，風險評估首當其衝。

國家信息技術安全研究中心牽頭、參與了核電網絡安全大檢查
、某大型樞紐網絡安全驗收、工業互聯網分類分級試點
、車聯網網絡安全檢測評估、數控機床網絡安全檢查等幾十項專項任務。通過對核電領域DCS係統
、油氣管道SCADA係統、智能製造DNC係xi統tong的de對dui比bi分fen析xi發fa現xian，各ge類lei係xi統tong基ji本ben都dou會hui存cun在zai服fu務wu器qi機ji房fang或huo控kong製zhi器qi節jie點dian位wei置zhi等deng物wu理li環huan節jie風feng險xian。部bu分fen安an全quan防fang護hu意yi識shi較jiao差cha的de機ji構gou

，未wei將jiang工gong控kong係xi統tong納na入ru企qi業ye網wang絡luo安an全quan管guan理li體ti係xi或huo網wang絡luo安an全quan防fang護hu規gui劃hua建jian設she中zhong，且qie未wei設she專zhuan門men人ren員yuan負fu責ze工gong控kong網wang絡luo安an全quan。此ci外wai，數shu據ju安an全quan與yu技ji術shu防fang護hu方fang麵mian也ye存cun在zai欠qian缺que。

為此，國家信息技術安全研究中心總工程師王宏指出
，工業控製係統涉及領域廣、業ye務wu場chang景jing豐feng富fu，係xi統tong類lei型xing差cha異yi巨ju大da，因yin此ci，風feng險xian評ping估gu工gong作zuo需xu要yao在zai網wang絡luo安an全quan法fa律lv法fa規gui和he標biao準zhun要yao求qiu下xia，根gen據ju工gong業ye控kong製zhi係xi統tong實shi際ji特te點dian，針zhen對dui性xing開kai展zhan評ping估gu工gong作zuo。同tong時shi，要yao將jiang目mu標biao係xi統tong模mo擬ni仿fang真zhen環huan境jing測ce試shi與yu實shi際ji係xi統tong評ping估gu相xiang結jie合he，將jiang未wei知zhi漏lou洞dong挖wa掘jue與yu已yi知zhi漏lou洞dong對dui標biao兩liang種zhong檢jian測ce途tu徑jing相xiang結jie合he，加jia強qiang評ping測ce環huan境jing選xuan擇ze合he理li性xing。另ling外wai，要yao加jia強qiang技ji術shu手shou段duan選xuan擇ze的de有you效xiao性xing，基ji於yu多duo種zhong手shou段duan開kai展zhan綜zong合he評ping估gu，保bao障zhang評ping估gu的de有you效xiao性xing與yu完wan整zheng性xing。

“wangluoanquanbenzhishangshidongtaidepingheng，meiyoubaifenbaideanquan，yemeiyouyibudaoweidejiejuefangan，tayongyuanzailushang。fengxianpinggushianquanzhuangtaideshijinshi，zhiyoubuduanfaxianmubiaoxitongdeanquanfengxian，cainengcujinxitongwangluoanquanfanghuliangxingxunhuan。”王宏談道。

貫標是工控安全政策標準落地、落實的基礎，旨在為工控安全防護領域提供技術
、標準、人(ren)才(cai)等(deng)方(fang)麵(mian)支(zhi)撐(cheng)。中(zhong)國(guo)電(dian)子(zi)技(ji)術(shu)標(biao)準(zhun)化(hua)研(yan)究(jiu)院(yuan)高(gao)級(ji)工(gong)程(cheng)師(shi)李(li)琳(lin)指(zhi)出(chu)

，要(yao)進(jin)一(yi)步(bu)提(ti)升(sheng)工(gong)業(ye)企(qi)業(ye)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)信(xin)息(xi)安(an)全(quan)防(fang)護(hu)水(shui)平(ping)
，服(fu)務(wu)製(zhi)造(zao)業(ye)高(gao)質(zhi)量(liang)發(fa)展(zhan)，應(ying)該(gai)在(zai)學(xue)習(xi)借(jie)鑒(jian)兩(liang)化(hua)融(rong)合(he)貫(guan)標(biao)
、數據管理能力成熟度評估等先進經驗基礎上，以貫標為抓手
，推動工業企業工業信息安全防護工作的開展。

工業互聯網數據安全亟待加強

進入數字時代，工業互聯網數據日益成為提升製造業生產力、競爭力

、創新力的關健要素。然而
，在互聯開放的環境下，網絡攻擊路徑增多、難度降低
，這導致數據安全風險進一步加劇。與此同時，新一代信息技術的廣泛應用與滲透
，帶來了包括深度偽造

、數據汙染等在內的全新的數據安全風險。從數據采集
、數據傳輸
、數據存儲、數據使用的全生命周期各個環節來看
，工業數據安全風險無處不在。

ruhejiaqianghulianwangshujuanquanfanghu？guojiagongyexinxianquanfazhanyanjiuzhongxinbiaozhunzhiliangchuchuchangchenxuehongrenwei，gongyehulianwangshujujinxingfenleifenjifanghukeburonghuan。yingconggongyehulianwangshujuquanshengmingzhouqigehuanjie，xihuafanghufangweijineirong，conggongyehulianwangshujufenleifenji、通用安全、一級數據安全
、二級數據安全、三級數據安全等方麵的不同防護要求進行治理。

“未來是高度數字化的數字孿生世界，網絡安全風險遍布數字化所有場景。”360政企安全集團助理總裁兼工業安全事業部總經理李航談道，“傳統安全思路還停留在碎片化產品層麵。我們應以工業數據為核心、資產為基礎
，通過‘白+黑’的技術手段，打造工業安全‘三位一體’的縱深安全運營防護體係。”

美國曆史學家克拉克教授曾經說過：“人類曆史上隻發生過一件事情，那就是工業革命。”現如今
，中國已經到了從要素密集型、規模型的重工業，向智能化、信息化、服務化的高端製造
、智能製造轉型的新階段
，工業安全成為一個繞不過去的重要話題。數字時代新形勢下，應該如何築牢工業控製係統“安全堤”？長路雖漫漫，但未來仍可期。