“一旦工业控制系统遭到信息攻击或破坏，其影

    导读： 随着信息化与自动化的融合，工业控制系统及产品越来越多的与企业管理网、互联网等公共网络连接，其系统本身的漏洞也在频繁曝光，“信息安全问题越来越突出”。但目前急迫需要解决的问题之一是，增强工业用户对信息安全问题的重视程度。本文采访了工业控制信息安全领域内部专家，听听他们对该行业直观的感受和迫切的要求。

    嘉宾：

    薛一波 清华大学信息技术研究院研究员
    胡昌振 北京理工大学两化融合发展研究院副院长、软件学院副院长
    王文海 浙江大学信息学院控制系研究员
    刘娜 北京石油化工学院系主任

　　“目前来看工业用户对信息安全问题的重视程度并不高。企业领导只重视生产和效率，而忽视安全，特别对信息安全，认为是“既麻烦，又白花钱”。”清华大学信息技术研究院研究员薛一波日前对中国工业报记者强调说。

　　“一旦工业控制系统遭到信息攻击或破坏，其影响不仅是控制系统性能下降，而且将造成人员伤亡、环境灾难，甚至会危及公众生活和国家安全。”

　　随着信息化与自动化的融合，工业控制系统及产品越来越多的与企业管理网、互联网等公共网络连接，其系统本身的漏洞也在频繁曝光，“信息安全问题越来越突出”。那么，面对如此严峻的形势我国目前在该领域主要面临哪些挑战，未来的发展方向在哪？

　　近日，记者采访了工业控制信息安全领域内部专家，让我们来听听他们对该行业直观的感受和迫切的要求。

　　国内工控安全形势严峻

　　从1986年前苏联的天然气管道事件到2010年震惊全球的伊朗核电站“震网”病毒事件，近年来黑客、不法组织纷纷把工业控制系统作为信息攻击的目标。

　　截至2010年10月，全球已发生200余起针对工业控制系统的攻击事件，尤其是2011年后，针对工业控制系统的攻击事件更是呈大幅度增长态势。相关数据显示，2011年国家信息安全漏洞共享平台就收录了100余个对我国影响广泛的工业控制系统软件安全漏洞，较2010年大幅增长近10倍。

　　面对如此严峻的形势，未来工控安全情形是否会好转？清华大学信息技术研究院研究员薛一波对本报记者说，“未来工控系统安全漏洞和威胁还会继续大幅增长，现阶段越来越多的安全人员和黑客开始关注这一领域并开始寻找新的攻击方法。”

　　对此，北京理工大学两化融合发展研究院副院长、中国兵器工业信息安全与对抗技术研究中心主任，胡昌振也持同样观点。“工业控制系统的安全应该引起全社会的高度关注。”他表示，随着我国工业与信息化融合的推进，工业控制系统规模已经扩展到国家关键基础设施行业，涉及水电、交通、油气、国防等。“一旦工业控制系统遭到信息攻击或破坏，其影响不仅是控制系统性能下降、控制能力丧失，而且将造成人员伤亡、环境灾难，甚至会危及公众生活和国家安全，导致国家的战略被动、受制于人。”胡昌振强调说。

　　传统技术面临挑战

　　工业控制系统信息安全关乎经济发展、社会稳定、国家安全、公众利益。业内专家纷纷表示，一旦工控系统遭到攻击将对我国整个工业系统和社会产生巨大破坏力。

　　面对如此紧迫的形势，这对承担设备传感与检测、运算与控制、执行与驱动任务的工业控制系统提出了更多新的要求。然而，随着控制装备性能的提高、功能的丰富、尤其是基于广域网络的智能制造与智慧工厂，传统的工控技术已不能够支撑智能制造装备、数字化生产线、数字化工厂、智慧工厂的快速发展。

　　“传统的安全技术正面临新的挑战。”浙江大学信息学院控制系研究员王文海坦言，以防火墙、入侵检测和病毒防护为主的传统的控制系统信息安全技术仅从外部对企图共享信息资源的用户和越权访问进行封堵。对于来自于内部的安全威胁，常规的信息安全技术很难发挥其功效，无法防止内部信息的泄密、窃取、篡改和破坏。

　　在王文海看来，保证工业控制系统的可靠性、安全性（功能安全和信息安全）、实时性、可用性、可维护性，以及提供一个可信赖的安全可靠的工业测控系统已成为当前十分迫切的需求。

　　据了解，工业控制系统面临的威胁可分为两种：系统威胁（工业控制系统作为一个信息系统所面临的威胁）和过程威胁（工业控制作为一个过程所面临的威胁）。

　　胡昌振告诉记者，传统的信息安全要求实现保密性、完整性和可用性三大目标，工业控制系统信息安全则需要在协调实现这三大目标的基础上，突出系统的可用性。在他看来，“系统威胁的防御可借鉴传统的信息安全成熟解决方案，过程威胁的防御则要强调系统可用性的保证，即在工业控制系统遭受攻击时，对控制过程的影响不干扰控制任务的执行。”

　　公民意识尚浅薄弱

　　业内专家认为，对于工业控制系统信息安全防御系统，未来在安全防御机制以及体系构建上还需不断探索新的技术途径。

　　但目前急迫需要解决的问题之一是，增强工业用户对信息安全问题的重视程度。薛一波坦言，对于工业企业用户来说，国内用户对工业网络安全普遍缺乏专业知识、认识不足、培训欠缺。公司领导对计算机和网络的了解也不足，特别是对信息安全的危害性认识还不够。

　　“企业与政府监督也存在问题。”薛一波表示，此前政府本身也没有意识到信息安全的重要性；安全企业也没有开发出、实用、已用的拳头产品；科研机构也没有及时跟进这一领域，提出好的解决方案。

　　“目前在工业控制领域懂工业控制系统又懂信息安全的技术人员还比较缺乏”。

　　北京石油化工学院系主任刘娜对记者说，在工业控制系统领域，由于企业都是分部门管理，严重存在负责信息安全的人员了解信息安全相关知识，但不了解工业控制系统；而负责操作和维护工业控制系统的人员对信息安全的了解又很有限。“如果按照现行管理方式，由信息安全部门负责工业控制系统的信息安全防护，很可能出现害怕承担影响生产的责任而使得工业控制系统信息安全防护策略流于形式。”

　　开发拳头产品势在必行

　　采访中记者了解道，由于工业控制领域核心信息系统投资规模大，很多企业基础网络平台、服务系统平台、安全支撑平台、控制和智能化系统都被国外产品垄断。这些非自主产品具有封闭性强、操作复杂、技术资料短缺、持续升级维护能力差等特点，国内用户很难组织二次开发或者自主生产。

　　因此，对于这部分进口软硬件核心部件，国内用户很难发现设备中是否存在“后门”、“陷阱”、“漏洞”、“软件炸弹”、“隐蔽指令”等安全威胁。薛一波坦言，“一旦这些漏洞被用来对工业控制网络实施攻击，其后果将不堪设想。”

　　“近年来国内很多信息安全事件均与此类漏洞有关。”薛一波表示，提高我国工控系统自主可控能力，已成为信息化建设的战略需要，并且在一定程度上能够起到堵塞信息安全漏洞、防患于未然的效果。

　　对此刘娜对记者表示，传统的信息安全解决方案已不适用于工业控制系统。加强具有自主知识产权产品的研究与开发，是解决我国软硬件依赖进口的重要方法与途径。

　　在控制系统硬件平台与软件平台中，掌握核心技术与自主知识产权，包括分布式网络操作系统、控制编程语言与实时运行环境、分布式实时数据库、可信计算、安全隔离网关等方面。

　　据记者了解，目前国家正在出台一系列的政策、专项资金来鼓励国内企业加大研发，突破技术，掌握知识产权，推出自己的工业控制领域的信息安全产品。