国家工业安全中心刘迎：工控系统网络安全需各方合力保障

网络安全不仅影响人们的日常生活，也给工业生产带来考验。

9月17日－20日，2017年网络安全博览会暨网络安全成就展在上海举行。活动期间，国家工业信息安全研究中心（以下简称“国家工业安全中心”）网络与信息安全研究部主任刘迎就工业控制系统的安全问题接受澎湃新闻（www.thepaper.cn）采访。

刘迎表示，近年来，国家对工业控制系统（以下简称工控系统）网络安全的重视程度正不断加大。随着工业4.0时代到来，工控系统网络安全保障不仅需要在政府层面做好顶层设计和战略统筹，也需要科研机构、高校、网络安全企业及社会各界形成合力，健全安全保障工作机制。

什么是工控系统？简单来说，就是指用计算机技术、微电子技术、电气手段，使工厂的生产和制造过程更加自动化、效率化、精确化，并具有可控性及可视性。

由于牵涉面大、影响范围广，工控系统一旦遭到网络攻击，损失不可估量。例如2010年伊朗核电站遭“震网”病毒袭击，2015年乌克兰供电系统被黑客攻击，这些工控系统安全性事件均在全球范围引起关注。

刘迎告诉澎湃新闻，当前我国工控系统面临的风险主要包括以下几个方面：

首先，工控系统安全漏洞层出不穷。由于工控软硬件产品在设计之初就很少考虑安全问题，导致安全漏洞不断涌现。今年以来，国家工业安全中心发现国内工控系统安全漏洞数百个，广泛分布于装备制造、交通、能源、智能楼宇等重要工业领域。

其次，攻击难度逐步降低。由于黑客大会、开源社区、白帽社区的出现，大量工控系统软硬件设备的漏洞及利用方式可通过公开或半公开的渠道获得。在github等开源社区，很多关于工控设备的弱口令信息及工控系统的扫描、探测、渗透方法被公布。

第三，工控系统很容易成为国家之间网络对抗及黑客定向攻击的目标。如2017年上半年在全球范围爆发的“勒索病毒”攻击事件，已对能源、交通等领域的工控系统造成影响。

此期间，网上还出现一款专门攻击电力领域工控系统的新型恶意软件。它能够通过入侵系统引发大规模停电，同时造成设备损坏和级联故障。

此外，刘迎还表示，随着工业控制系统从封闭走向开放互联，工业互联趋势下的安全风险将持续升级。大规模的互联互通为攻击者提供了更多攻击路径，新一代信息技术如工业互联网、工业云、工业大数据等应用将带来新的安全风险。

面对风险，有关部门也在想方设法增强工控系统的防御能力。

据刘迎介绍，针对工控系统安全防护，我国是世界少数几个专门发布“体系化”安全防护指导性文件的国家。

特别是2016年，工信部曾印发《工业控制系统信息安全防护指南》（以下简称指南），文件从11个方面提出30项防护措施，涉及工业主机、网络、设备和数据等层次的安全防护技术

“实施这些防护措施，可有效抵御绝大部分风险威胁。”刘迎坦言，从今年的检查评估工作来看，上述指南在我国工业企业的落实程度有待加强。目前各行业防护水平参差不齐，未来需要进一步保证优秀解决方案在工业企业的推广落地。

同时，刘迎认为，保障工业4.0时代的网络安全， 需要有关部门出台相关安全保障战略政策、健全完善相应的标准规范，同时建立面向工业企业安全评估常态化工作机制。

她还表示，接下来应建设工业4.0安全风险信息共享与应急联动工作体系，组织、协调行业监管部门、研究机构、制造企业、安全厂商共同合作。依托国家工业信息安全产业发展联盟，推动工控安全防护形成产、学、研、用生态体系。

据了解，国家工业信息安全发展研究中心（工业和信息化部电子第一研究所），前身为成立于1959年的电子科学技术情报研究所，为工业和信息化部直属事业单位，是支撑我国工业领域信息安全的国家级研究与推进机构。