當你拿出手機，安裝一個輸入法，也許，你就打開了一道“惡魔之門”。網(wǎng)絡威脅沿著你的手機，潛入到企業(yè)的工控網(wǎng)絡，斷電、DOWN機、泄密、停產(chǎn)，紛紛隨之而來。這不是危言聳聽，也不是科幻故事，智能制造時代，這樣的案例隨時可能發(fā)生。隨著信息技術與工業(yè)控制系統(tǒng)深度融合，工控系統(tǒng)網(wǎng)絡安全問題也變得日益嚴峻。當原本孤立、封閉的工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)聯(lián)通后，漏洞、病毒、APT（高級持續(xù)性威脅）等網(wǎng)絡威脅也如影隨形而至。

記者上周采訪了解到，工業(yè)控制系統(tǒng)的網(wǎng)絡安全威脅和隱患早已潛伏在我們身邊，但在石化行業(yè)中真正對這一問題有清醒認識和高度重視的企業(yè)并不多，已經(jīng)采取有效防御措施的更是寥寥無幾。

什么讓我們感到不安

隨著兩化融合的深入，一些石化企業(yè)實現(xiàn)了管控一體化，提升了企業(yè)的運營效率，降低了生產(chǎn)成本，增強了市場競爭力。信息化帶來的技術進步顯而易見。與此同時，石化企業(yè)生產(chǎn)網(wǎng)絡和信息網(wǎng)絡的邊界越來越模糊，生產(chǎn)自動化控制系統(tǒng)正在從孤立的、封閉的空間走向一個更加開放的互聯(lián)網(wǎng)的新天地，企業(yè)生產(chǎn)中的工業(yè)控制系統(tǒng)的網(wǎng)絡安全問題也越來越多，呈現(xiàn)出爆發(fā)式的增長。

在5月24～25日舉辦的2016中國石油石化企業(yè)信息技術交流大會上，北京神州綠盟信息安全科技股份有限公司副總裁李晨告訴中國化工報記者，在網(wǎng)絡互聯(lián)的大背景下，工業(yè)控制系統(tǒng)的互聯(lián)是大勢所趨，通過網(wǎng)絡互聯(lián)一方面可以提高生產(chǎn)力和創(chuàng)新能力，減少工業(yè)能源及資源消耗，助力產(chǎn)業(yè)模式轉(zhuǎn)型升級；另一方面也會因為網(wǎng)絡互聯(lián)而誘發(fā)一系列網(wǎng)絡安全問題。工業(yè)控制系統(tǒng)設計之初是為了完成各種實時控制功能，并沒有考慮到安全防護的問題，通過網(wǎng)絡互聯(lián)將他們暴露在互聯(lián)網(wǎng)上，無疑將給他們所控制的關鍵基礎設施、重要系統(tǒng)等帶來巨大的安全風險和隱患。

“近年來，在伊朗核電站、烏克蘭電網(wǎng)、德國鋼廠等獨立IT系統(tǒng)頻繁遭遇外界入侵攻擊惡意事件的背后，是網(wǎng)絡信息安全問題變得異常嚴峻的事實，而由于自身開放性大等原因，移動端已成為攻防雙方爭奪的新焦點。工業(yè)控制平臺和控制手段都開始向移動設備、無線網(wǎng)絡等方向發(fā)展。工業(yè)設備和個人通訊設備應用融合，讓安全邊界更加模糊，石化行業(yè)特別需要注重移動工控安全。”梆梆安全高級副總裁席曼麗說。

“事實上，我國的工控網(wǎng)絡安全形勢已經(jīng)十分嚴峻，存在大量嚴重、緊迫、高風險的網(wǎng)絡安全問題，特別是涉及能源和危化品的石化行業(yè)更是需要重點防控的領域。但目前，石化行業(yè)工控系統(tǒng)網(wǎng)絡信息安全問題并未得到充分認識和重視，工藝設計人員和控制系統(tǒng)設計人員幾乎沒有任何網(wǎng)絡安全意識。而與工控網(wǎng)絡安全技術手段缺乏、水平不高相比，感知能力缺失、防范意識不足更加令人擔憂。”北京匡恩網(wǎng)絡科技有限責任公司總裁孫一桉向記者強調(diào)。

北京威努特技術有限公司總經(jīng)理龍國東也表示，當前，數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)自動化控制系統(tǒng)普遍應用于工業(yè)領域以及相關行業(yè)，這些系統(tǒng)在有效提升生產(chǎn)運營效率的同時，也面臨著眾多工業(yè)信息安全威脅。隨著工業(yè)4.0以及兩化融合日漸加快，工控系統(tǒng)和網(wǎng)絡將更加開放，必將帶來更為嚴峻的工控安全威脅及挑戰(zhàn)。

威脅無時無處不在

談到工控系統(tǒng)網(wǎng)絡風險的危害性，匡恩網(wǎng)絡總裁孫一桉對記者表示，其危害性絕不僅僅是對一個企業(yè)、一個行業(yè)的，工控網(wǎng)絡安全已經(jīng)成為各國政府所面臨的最嚴重的國家安全挑戰(zhàn)之一。工控網(wǎng)絡安全正在成為網(wǎng)絡空間對抗的主戰(zhàn)場和反恐的新戰(zhàn)場，恐怖主義的威脅已經(jīng)滲透到了工業(yè)控制系統(tǒng)，關鍵基礎設施成為主要的攻擊對象。

近年來，走進公眾視線的工業(yè)控制網(wǎng)絡安全問題越來越多。美國工業(yè)控制系統(tǒng)網(wǎng)絡應急響應小組（ICS-CERT）發(fā)布的2014年關鍵基礎設施安全報告顯示，在2014年共收集167個工控漏洞報告，涉及的設備分布在能源、制造業(yè)等多個領域；2015年被ICS-CERT收錄的攻擊事件達到了295件，其中97個安全事件是關于關鍵制造業(yè)的，占到全部事件的33%，關鍵制造業(yè)成為本年度受攻擊最多的行業(yè)。

孫一桉介紹，匡恩網(wǎng)絡在一份工控安全報告中總結了我國工控網(wǎng)絡安全行業(yè)當前面臨著三大主要問題。一是重要工業(yè)制造業(yè)領域大量使用國外工控設備，這些設備普遍存在未知的漏洞以及可能的后門，嚴重漏洞難以及時處理是我國國家安全的重大隱患。

二是工業(yè)制造業(yè)企業(yè)對工控網(wǎng)絡威脅感知不足。在我國，對于工控網(wǎng)絡安全的認識還處于初級階段，無論是政府層面還是企業(yè)層面，對潛在的工控網(wǎng)絡安全威脅認識不到位，對國家關鍵工業(yè)生產(chǎn)安全重視不夠，由此造成了眾多工業(yè)生產(chǎn)系統(tǒng)沒有及時部署針對工控系統(tǒng)漏洞和網(wǎng)絡攻擊的有效防護系統(tǒng)，在網(wǎng)絡攻擊來臨時無法察覺，在遭受攻擊后無法追蹤。

三是針對工控網(wǎng)絡威脅的持續(xù)防護能力缺失。工控網(wǎng)絡安全是一個全新的領域，它不是傳統(tǒng)信息安全行業(yè)的延伸，而是基于兩化融合框架下的跨界領域。針對工控網(wǎng)絡的高級持續(xù)威脅是一種嚴密的組織化行為，因此防護能力建設也必須大力投入、持續(xù)投入、深度開發(fā)。目前我國工業(yè)和基礎設施智能化發(fā)展很快，針對工控網(wǎng)絡安全的防護能力建設嚴重滯后，不足以保障兩化融合戰(zhàn)略的穩(wěn)步推進。

面對如此嚴峻的挑戰(zhàn)，我們的應對能力又是怎樣的呢？北京神舟綠盟信息安全科技股份有限公司首席技術官趙糧給出了一組時間數(shù)字：一次網(wǎng)絡攻擊大概幾分鐘就完成了，盜竊數(shù)據(jù)快的可以在幾小時內(nèi)完成，而系統(tǒng)的檢測時間卻要以周或月來計。攻防雙方的實力完全不在一個數(shù)量級上，工控網(wǎng)絡的脆弱性以及潛在風險由此可見一斑。

保平安要走自己的路

不同于普通的信息系統(tǒng)網(wǎng)絡安全，工業(yè)控制系統(tǒng)的網(wǎng)絡安全顯得更加復雜和困難。過去，石化行業(yè)的工業(yè)控制系統(tǒng)首先要保證系統(tǒng)的可用性，即生產(chǎn)設備可以正常運轉(zhuǎn)；其次是可靠性，就是要長周期穩(wěn)定運行；最后才是安全性。但進入互聯(lián)網(wǎng)時代，安全性卻被提到更高的層面。

“在智能化不斷升級的大背景下，工業(yè)網(wǎng)絡安全是使制造業(yè)實現(xiàn)智能化的基本保障。萬物互聯(lián)時代，一個企業(yè)如果缺乏了安全本能、安全意識以及安全保障能力，智能化也只能是空中樓閣。”孫一桉對記者表示。

多位業(yè)內(nèi)專家認為，互聯(lián)網(wǎng)和工控網(wǎng)兩者之間存在著巨大的差別，石化行業(yè)要做好工控安全工作還要探索一條適合行業(yè)特點的道路。

首先是要依靠我國自主開發(fā)的設備與技術。目前國內(nèi)石化企業(yè)在工業(yè)控制領域大量使用國外設備，存在大量的漏洞和后門，形成了嚴重的安全隱患。“這就像是自家的房門鑰匙拿在別人的手里一樣。”中國航天系統(tǒng)工程有限公司信息中心副主任曾偉兵這樣形容工控網(wǎng)絡安全領域的現(xiàn)狀。

其次要大力開發(fā)與石化行業(yè)高度匹配的專業(yè)性強的安全產(chǎn)品和技術。工業(yè)網(wǎng)絡與互聯(lián)網(wǎng)、辦公網(wǎng)有很大的差異，除了網(wǎng)絡通訊協(xié)議不同、對系統(tǒng)穩(wěn)定性要求不同、系統(tǒng)運行環(huán)境不同外，工業(yè)網(wǎng)絡的系統(tǒng)還具有更新代價高、網(wǎng)絡結構和行為穩(wěn)定性高的特點。而石化行業(yè)又是典型的流程行業(yè)，“安穩(wěn)長滿優(yōu)”是企業(yè)生產(chǎn)的基本保障，在工控安全產(chǎn)品的開發(fā)上一定要充分考慮工控環(huán)境的特殊性，在實時性、故障響應速度以及系統(tǒng)升級上都有較高的要求。北京匡恩網(wǎng)絡科技有限責任公司解決方案總監(jiān)井柯就提出：“從整個系統(tǒng)考慮工業(yè)控制系統(tǒng)安全的時候，找到幾個漏洞并不重要，而發(fā)現(xiàn)這些漏洞有沒有被利用的行為才是最重要的。”

采訪中記者了解到，近兩年來，國內(nèi)陸續(xù)出臺了有關工控系統(tǒng)網(wǎng)絡安全的政策和法規(guī)，引導和鼓勵行業(yè)重視工控網(wǎng)絡安全問題。一批信息安全企業(yè)也將注意力更多地投向了工業(yè)控制領域，加大力度開發(fā)針對石化、化工、能源等行業(yè)的定制化解決方案，以期為行業(yè)的智能化升級保駕護航。

北京力控華康科技有限公司工程師王曉旭告訴記者，目前石化企業(yè)中主動對工控系統(tǒng)采取安全防控措施的還不多，但隨著媒體宣傳力度加大以及國內(nèi)外一些典型工控安全事件的驅(qū)動，越來越多的石化企業(yè)開始重視這項工作，并從信息化項目設計之初就將工控安全一并考慮進去。

青島海天煒業(yè)過程控制技術股份有限公司營銷中心總經(jīng)理辛太表示，針對石化行業(yè)網(wǎng)絡當前的安全隱患，企業(yè)能提供網(wǎng)絡分區(qū)、通訊管控、集中管理、預警分析等解決方案，為石化企業(yè)確保工控安全提供支持。

三大石油公司信息部門的負責人也紛紛表示，“十三五”期間，他們將重點加強工控系統(tǒng)網(wǎng)絡安全平臺建設，根據(jù)企業(yè)自身特點，在原有基礎上進一步完善和提高工控系統(tǒng)安全水平，為企業(yè)智能化發(fā)展提供必要的安全屏障。

更多資訊請關注運動控制頻道