2014工业控制系统信息安全年大型主题系列活动首站暨第三届工业控制系统信息安全峰会日前在上海落幕。中国自动化学会副理事长王飞跃、工业控制系统信息安全产业联盟副理事长胡传平等出席会议并致辞。

　　本次活动由工业控制系统信息安全产业联盟主办，中国自动化学会发电自动化专业委员会、中国自动化学会综合智能交通控制专业委员会协办。活动开幕式上举行了联盟授牌仪式。中国自动化学会副理事长王飞跃、工业控制系统信息安全产业联盟秘书长石红芳为中国仪器仪表行业协会、部第三研究所、中国科学院沈阳自动化研究所、和利时集团等颁发了联盟成员单位牌匾。

　　会议期间，与会专家就工业控制系统三层网络的信息安全检测与认证、工业控制系统信息安全测试与防护技术趋势、工业控制系统信息安全业务发展思路、工控系统信息安全定量分析方法与案例分析进行了研讨。

　　现将部分专家发言主要观点整理如下：

    沈清泓：国家高度重视工控信息安全

　　在部第三研究所助理研究员沈清泓博士看来，近年来，我国高度重视工业与控制系统信息安全，工信部、发改委等都对此发布了相关政策文件。

　　工信部于2011年发布了《关于加强工业控制系统信息安全管理的通知》，强调切实加强工业控制系统信息安全管理，以保障工业生产运行安全、国家经济安全和人民生命财产安全，点明了我国工业控制领域信息安全工作的问题和不足，明确重点领域工业控制系统信息安全管理要求以及建立工业控制系统安全测评检查和漏洞发布制度。

　　而国家发改委也在去年发布了《关于组织实施2013年国家信息安全专项有关事项的通知》，其中提到面向现场设备环境的边界安全专用网关产品、面向集散控制系统（DCS）的异常监测产品以及面向工业控制信息安全领域的可控试点示范。

　　朱毅明：工控信息安全应面向应用

　　和利时集团技术总监朱毅明认为，我国工控系统信息安全产业的现状不容乐观。商业模式不成熟，生态环境不完整；行业尚未出现强制性法规、规范和标准等问题困扰行业发展。而在役工控系统信息安全改造升级和新建工控系统信息安全采用的策略不尽相同；工控行业产品利润空间较小，信息安全产品价格要合理；工控信息安全市场尚处于培育阶段，长期的盈利模式不够清晰；仅仅依靠政策是很难保证工控系统信息安全市场的健康持续成长。

　　从用户角度而言，恶意攻击的终目标是实际的工业设施或工艺装备，应该面向具体的工业应用开展信息安全风险评估和安全分级，而不是面向工业控制系统设备本身。由于化工、石油、火电、核电、冶金等行业连续过程工艺的特点，一旦中断运行，经济损失大，甚至可能造成严重环境污染和人员伤亡，危险性大，信息安全危害较大；而交通、电网、市政设施、水利设施、矿山等行业的工业系统由于地理分布广泛，大部分设备采用“无人值守、自动运行”模式，大量采用公网或无线传输，更容易遭到攻击，且直接影响社会安定，信息安全风险更大。

　　万 明：安全防护锁定三目标

　　中科院网络与控制系统重点实验室博士、副研究员万明认为，工业控制系统的脆弱性正日益显现。

　　从国外来看，2011年，黑客入侵数据采集与系统，使美国伊利诺伊州城市供水系统的供水泵遭到破坏；微软也在当年警告称新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据；2012年，两座美国电厂遭USB病毒攻击，感染了每个工厂的工控系统，可被窃取数据；2012年，发现攻击多个中东国家的恶意程序Flame火焰病毒，它能收集各行业的敏感信息。

　　从国内来看，我国同样遭受着工业控制系统信息安全漏洞的困扰，比如2010年齐鲁石化、2011年大庆石化炼油厂，其装置控制系统分别感染Conficker病毒，都造成控制系统服务器与控制器通讯不同程度的中断。

　　万明认为，为保证工业控制系统安全稳定运行，工业控制系统的安全防护必须达到三个目标：一是通信可控。能够直观观察、、管理通信中数据。仅保证工业控制专有协议数据通过即可，其他通信一律禁止。二是区域隔离。为防止局部控制网络问题扩散导致全局瘫痪，在关键数据通道上部署网络隔离。三是报警。及时发现网络中感染或其他问题，准确找出故障点。通过对报警事件进行记录，为故障分析提供依据。

　　张 晔：工控系统安全更是管理问题

　　北京网御星云信息技术有限公司总监张晔认为，工业控制系统技术上存在极大的脆弱性。工控系统从相对独立的环境中发展而来，在设计过程中主要考虑系统可用性，实时性问题。对工控系统的安全性考虑不足；工控系统通信协议缺乏授权和加密、缺乏对用户身份的鉴别和认证等安全机制。

　　考虑到兼容性和连续性生产的问题，工控系统无法及时安装系统补丁，无法有效使用杀毒软件。工控系统的安全防护落后于IT系统，但IT系统的安全问题却延伸到工控系统，并得以放大。因此，先天的不足，后天的无奈，导致工控系统相当脆弱。

　　而工控系统管理上也体现了脆弱性。工业控制系统安全不仅是一个技术问题，更是一个管理问题，需要完善的工业控制系统安全政策、标准、制度和安全意识来支撑。工控系统的安全管理，与IT安全管理有许多不同，易用性是工控系统安全管理考虑的要素。相对信息系统用户来说，工控系统用户安全意识更加薄弱。