當(dāng)你拿出手機(jī)，安裝一個(gè)輸入法，也許，你就打開了一道“惡魔之門”。網(wǎng)絡(luò)威脅沿著你的手機(jī)，潛入到企業(yè)的工控網(wǎng)絡(luò)，斷電、DOWN機(jī)、泄密、停產(chǎn)，紛紛隨之而來。這不是危言聳聽，也不是科幻故事，智能制造時(shí)代，這樣的案例隨時(shí)可能發(fā)生。隨著信息技術(shù)與工業(yè)控制系統(tǒng)深度融合，工控系統(tǒng)網(wǎng)絡(luò)安全問題也變得日益嚴(yán)峻。當(dāng)原本孤立、封閉的工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)聯(lián)通后，漏洞、病毒、APT（高級(jí)持續(xù)性威脅）等網(wǎng)絡(luò)威脅也如影隨形而至。

記者上周采訪了解到，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全威脅和隱患早已潛伏在我們身邊，但在石化行業(yè)中真正對(duì)這一問題有清醒認(rèn)識(shí)和高度重視的企業(yè)并不多，已經(jīng)采取有效防御措施的更是寥寥無幾。

什么讓我們感到不安

隨著兩化融合的深入，一些石化企業(yè)實(shí)現(xiàn)了管控一體化，提升了企業(yè)的運(yùn)營效率，降低了生產(chǎn)成本，增強(qiáng)了市場競爭力。信息化帶來的技術(shù)進(jìn)步顯而易見。與此同時(shí)，石化企業(yè)生產(chǎn)網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的邊界越來越模糊，生產(chǎn)自動(dòng)化控制系統(tǒng)正在從孤立的、封閉的空間走向一個(gè)更加開放的互聯(lián)網(wǎng)的新天地，企業(yè)生產(chǎn)中的工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題也越來越多，呈現(xiàn)出爆發(fā)式的增長。

在5月24～25日舉辦的2016中國石油石化企業(yè)信息技術(shù)交流大會(huì)上，北京神州綠盟信息安全科技股份有限公司副總裁李晨告訴中國化工報(bào)記者，在網(wǎng)絡(luò)互聯(lián)的大背景下，工業(yè)控制系統(tǒng)的互聯(lián)是大勢所趨，通過網(wǎng)絡(luò)互聯(lián)一方面可以提高生產(chǎn)力和創(chuàng)新能力，減少工業(yè)能源及資源消耗，助力產(chǎn)業(yè)模式轉(zhuǎn)型升級(jí)；另一方面也會(huì)因?yàn)榫W(wǎng)絡(luò)互聯(lián)而誘發(fā)一系列網(wǎng)絡(luò)安全問題。工業(yè)控制系統(tǒng)設(shè)計(jì)之初是為了完成各種實(shí)時(shí)控制功能，并沒有考慮到安全防護(hù)的問題，通過網(wǎng)絡(luò)互聯(lián)將他們暴露在互聯(lián)網(wǎng)上，無疑將給他們所控制的關(guān)鍵基礎(chǔ)設(shè)施、重要系統(tǒng)等帶來巨大的安全風(fēng)險(xiǎn)和隱患。

“近年來，在伊朗核電站、烏克蘭電網(wǎng)、德國鋼廠等獨(dú)立IT系統(tǒng)頻繁遭遇外界入侵攻擊惡意事件的背后，是網(wǎng)絡(luò)信息安全問題變得異常嚴(yán)峻的事實(shí)，而由于自身開放性大等原因，移動(dòng)端已成為攻防雙方爭奪的新焦點(diǎn)。工業(yè)控制平臺(tái)和控制手段都開始向移動(dòng)設(shè)備、無線網(wǎng)絡(luò)等方向發(fā)展。工業(yè)設(shè)備和個(gè)人通訊設(shè)備應(yīng)用融合，讓安全邊界更加模糊，石化行業(yè)特別需要注重移動(dòng)工控安全。”梆梆安全高級(jí)副總裁席曼麗說。

“事實(shí)上，我國的工控網(wǎng)絡(luò)安全形勢已經(jīng)十分嚴(yán)峻，存在大量嚴(yán)重、緊迫、高風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全問題，特別是涉及能源和危化品的石化行業(yè)更是需要重點(diǎn)防控的領(lǐng)域。但目前，石化行業(yè)工控系統(tǒng)網(wǎng)絡(luò)信息安全問題并未得到充分認(rèn)識(shí)和重視，工藝設(shè)計(jì)人員和控制系統(tǒng)設(shè)計(jì)人員幾乎沒有任何網(wǎng)絡(luò)安全意識(shí)。而與工控網(wǎng)絡(luò)安全技術(shù)手段缺乏、水平不高相比，感知能力缺失、防范意識(shí)不足更加令人擔(dān)憂。”北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司總裁孫一桉向記者強(qiáng)調(diào)。

北京威努特技術(shù)有限公司總經(jīng)理龍國東也表示，當(dāng)前，數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)自動(dòng)化控制系統(tǒng)普遍應(yīng)用于工業(yè)領(lǐng)域以及相關(guān)行業(yè)，這些系統(tǒng)在有效提升生產(chǎn)運(yùn)營效率的同時(shí)，也面臨著眾多工業(yè)信息安全威脅。隨著工業(yè)4.0以及兩化融合日漸加快，工控系統(tǒng)和網(wǎng)絡(luò)將更加開放，必將帶來更為嚴(yán)峻的工控安全威脅及挑戰(zhàn)。

威脅無時(shí)無處不在

談到工控系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的危害性，匡恩網(wǎng)絡(luò)總裁孫一桉對(duì)記者表示，其危害性絕不僅僅是對(duì)一個(gè)企業(yè)、一個(gè)行業(yè)的，工控網(wǎng)絡(luò)安全已經(jīng)成為各國政府所面臨的最嚴(yán)重的國家安全挑戰(zhàn)之一。工控網(wǎng)絡(luò)安全正在成為網(wǎng)絡(luò)空間對(duì)抗的主戰(zhàn)場和反恐的新戰(zhàn)場，恐怖主義的威脅已經(jīng)滲透到了工業(yè)控制系統(tǒng)，關(guān)鍵基礎(chǔ)設(shè)施成為主要的攻擊對(duì)象。

近年來，走進(jìn)公眾視線的工業(yè)控制網(wǎng)絡(luò)安全問題越來越多。美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT）發(fā)布的2014年關(guān)鍵基礎(chǔ)設(shè)施安全報(bào)告顯示，在2014年共收集167個(gè)工控漏洞報(bào)告，涉及的設(shè)備分布在能源、制造業(yè)等多個(gè)領(lǐng)域；2015年被ICS-CERT收錄的攻擊事件達(dá)到了295件，其中97個(gè)安全事件是關(guān)于關(guān)鍵制造業(yè)的，占到全部事件的33%，關(guān)鍵制造業(yè)成為本年度受攻擊最多的行業(yè)。

孫一桉介紹，匡恩網(wǎng)絡(luò)在一份工控安全報(bào)告中總結(jié)了我國工控網(wǎng)絡(luò)安全行業(yè)當(dāng)前面臨著三大主要問題。一是重要工業(yè)制造業(yè)領(lǐng)域大量使用國外工控設(shè)備，這些設(shè)備普遍存在未知的漏洞以及可能的后門，嚴(yán)重漏洞難以及時(shí)處理是我國國家安全的重大隱患。

二是工業(yè)制造業(yè)企業(yè)對(duì)工控網(wǎng)絡(luò)威脅感知不足。在我國，對(duì)于工控網(wǎng)絡(luò)安全的認(rèn)識(shí)還處于初級(jí)階段，無論是政府層面還是企業(yè)層面，對(duì)潛在的工控網(wǎng)絡(luò)安全威脅認(rèn)識(shí)不到位，對(duì)國家關(guān)鍵工業(yè)生產(chǎn)安全重視不夠，由此造成了眾多工業(yè)生產(chǎn)系統(tǒng)沒有及時(shí)部署針對(duì)工控系統(tǒng)漏洞和網(wǎng)絡(luò)攻擊的有效防護(hù)系統(tǒng)，在網(wǎng)絡(luò)攻擊來臨時(shí)無法察覺，在遭受攻擊后無法追蹤。

三是針對(duì)工控網(wǎng)絡(luò)威脅的持續(xù)防護(hù)能力缺失。工控網(wǎng)絡(luò)安全是一個(gè)全新的領(lǐng)域，它不是傳統(tǒng)信息安全行業(yè)的延伸，而是基于兩化融合框架下的跨界領(lǐng)域。針對(duì)工控網(wǎng)絡(luò)的高級(jí)持續(xù)威脅是一種嚴(yán)密的組織化行為，因此防護(hù)能力建設(shè)也必須大力投入、持續(xù)投入、深度開發(fā)。目前我國工業(yè)和基礎(chǔ)設(shè)施智能化發(fā)展很快，針對(duì)工控網(wǎng)絡(luò)安全的防護(hù)能力建設(shè)嚴(yán)重滯后，不足以保障兩化融合戰(zhàn)略的穩(wěn)步推進(jìn)。

面對(duì)如此嚴(yán)峻的挑戰(zhàn)，我們的應(yīng)對(duì)能力又是怎樣的呢？北京神舟綠盟信息安全科技股份有限公司首席技術(shù)官趙糧給出了一組時(shí)間數(shù)字：一次網(wǎng)絡(luò)攻擊大概幾分鐘就完成了，盜竊數(shù)據(jù)快的可以在幾小時(shí)內(nèi)完成，而系統(tǒng)的檢測時(shí)間卻要以周或月來計(jì)。攻防雙方的實(shí)力完全不在一個(gè)數(shù)量級(jí)上，工控網(wǎng)絡(luò)的脆弱性以及潛在風(fēng)險(xiǎn)由此可見一斑。

保平安要走自己的路

不同于普通的信息系統(tǒng)網(wǎng)絡(luò)安全，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全顯得更加復(fù)雜和困難。過去，石化行業(yè)的工業(yè)控制系統(tǒng)首先要保證系統(tǒng)的可用性，即生產(chǎn)設(shè)備可以正常運(yùn)轉(zhuǎn)；其次是可靠性，就是要長周期穩(wěn)定運(yùn)行；最后才是安全性。但進(jìn)入互聯(lián)網(wǎng)時(shí)代，安全性卻被提到更高的層面。

“在智能化不斷升級(jí)的大背景下，工業(yè)網(wǎng)絡(luò)安全是使制造業(yè)實(shí)現(xiàn)智能化的基本保障。萬物互聯(lián)時(shí)代，一個(gè)企業(yè)如果缺乏了安全本能、安全意識(shí)以及安全保障能力，智能化也只能是空中樓閣。”孫一桉對(duì)記者表示。

多位業(yè)內(nèi)專家認(rèn)為，互聯(lián)網(wǎng)和工控網(wǎng)兩者之間存在著巨大的差別，石化行業(yè)要做好工控安全工作還要探索一條適合行業(yè)特點(diǎn)的道路。

首先是要依靠我國自主開發(fā)的設(shè)備與技術(shù)。目前國內(nèi)石化企業(yè)在工業(yè)控制領(lǐng)域大量使用國外設(shè)備，存在大量的漏洞和后門，形成了嚴(yán)重的安全隱患。“這就像是自家的房門鑰匙拿在別人的手里一樣。”中國航天系統(tǒng)工程有限公司信息中心副主任曾偉兵這樣形容工控網(wǎng)絡(luò)安全領(lǐng)域的現(xiàn)狀。

其次要大力開發(fā)與石化行業(yè)高度匹配的專業(yè)性強(qiáng)的安全產(chǎn)品和技術(shù)。工業(yè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)、辦公網(wǎng)有很大的差異，除了網(wǎng)絡(luò)通訊協(xié)議不同、對(duì)系統(tǒng)穩(wěn)定性要求不同、系統(tǒng)運(yùn)行環(huán)境不同外，工業(yè)網(wǎng)絡(luò)的系統(tǒng)還具有更新代價(jià)高、網(wǎng)絡(luò)結(jié)構(gòu)和行為穩(wěn)定性高的特點(diǎn)。而石化行業(yè)又是典型的流程行業(yè)，“安穩(wěn)長滿優(yōu)”是企業(yè)生產(chǎn)的基本保障，在工控安全產(chǎn)品的開發(fā)上一定要充分考慮工控環(huán)境的特殊性，在實(shí)時(shí)性、故障響應(yīng)速度以及系統(tǒng)升級(jí)上都有較高的要求。北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司解決方案總監(jiān)井柯就提出：“從整個(gè)系統(tǒng)考慮工業(yè)控制系統(tǒng)安全的時(shí)候，找到幾個(gè)漏洞并不重要，而發(fā)現(xiàn)這些漏洞有沒有被利用的行為才是最重要的。”

采訪中記者了解到，近兩年來，國內(nèi)陸續(xù)出臺(tái)了有關(guān)工控系統(tǒng)網(wǎng)絡(luò)安全的政策和法規(guī)，引導(dǎo)和鼓勵(lì)行業(yè)重視工控網(wǎng)絡(luò)安全問題。一批信息安全企業(yè)也將注意力更多地投向了工業(yè)控制領(lǐng)域，加大力度開發(fā)針對(duì)石化、化工、能源等行業(yè)的定制化解決方案，以期為行業(yè)的智能化升級(jí)保駕護(hù)航。

北京力控華康科技有限公司工程師王曉旭告訴記者，目前石化企業(yè)中主動(dòng)對(duì)工控系統(tǒng)采取安全防控措施的還不多，但隨著媒體宣傳力度加大以及國內(nèi)外一些典型工控安全事件的驅(qū)動(dòng)，越來越多的石化企業(yè)開始重視這項(xiàng)工作，并從信息化項(xiàng)目設(shè)計(jì)之初就將工控安全一并考慮進(jìn)去。

青島海天煒業(yè)過程控制技術(shù)股份有限公司營銷中心總經(jīng)理辛太表示，針對(duì)石化行業(yè)網(wǎng)絡(luò)當(dāng)前的安全隱患，企業(yè)能提供網(wǎng)絡(luò)分區(qū)、通訊管控、集中管理、預(yù)警分析等解決方案，為石化企業(yè)確保工控安全提供支持。

三大石油公司信息部門的負(fù)責(zé)人也紛紛表示，“十三五”期間，他們將重點(diǎn)加強(qiáng)工控系統(tǒng)網(wǎng)絡(luò)安全平臺(tái)建設(shè)，根據(jù)企業(yè)自身特點(diǎn)，在原有基礎(chǔ)上進(jìn)一步完善和提高工控系統(tǒng)安全水平，為企業(yè)智能化發(fā)展提供必要的安全屏障。

更多資訊請(qǐng)關(guān)注運(yùn)動(dòng)控制頻道