全球近年來發生多起重大工業信息安全事件。一些組織或個人通過對工業設施和工業系統進行網絡攻擊，謀求達成政治訴求或經濟訴求。目前，我國絕大多數工業控制系統在沒有防護措施的情況下暴露于互聯網，且含有系統漏洞，能夠輕易被遠程操控，面臨巨大安全風險。

　　本文引用地址: http://www.21ic.com/news/control/201804/758796.htm

　　95%工業控制系統含漏洞易受控

　　記者從國家工業信息安全發展研究中心了解到，目前該中心監測到的我國3000余個暴露在互聯網上的工業控制系統，95%以上有漏洞，可以輕易被遠程控制，約20%的重要工控系統可被遠程入侵并完全接管。

　　過去，我國絕大多數工業系統是封閉系統，也稱單機系統，不用考慮聯網情況，現在隨著工業“互聯網+”的推進，IT和OT(操作技術)實現互聯，必然導致一批系統和設施暴露。

　　“很多系統和設備沒有防護軟件，也不能安裝殺毒系統，一旦上了網就處于‘裸奔’狀態。”一位業內人士告訴記者，通信、能源、水利、電力等關鍵基礎設施存在安全風險，而入侵和控制工控系統也已成為商業上打壓競爭對手的不法手段。

　　在蘇浙就有消費品加工廠被國外競爭廠家入侵網絡，破壞設備運行，造成生產斷檔。

　　從全球發展趨勢來看，工業控制系統日益成為黑客攻擊和網絡戰的重點目標。

　　近年全球重大工業信息安全事件頻發：2010年伊朗核設施遭受“震網病毒”攻擊;2016年美國東海岸大面積斷網;2017年“Wanna Cry”勒索病毒肆虐全球……全球工業網絡安全總體風險持續攀升，呈現高危態勢。

　　定向攻擊精準性提升迅速。大量工控系統漏洞、攻擊方法可以通過互聯網等多種公開、半公開渠道獲取，許多技術分析報告給出了網絡攻擊步驟、攻擊代碼甚至攻擊工具等詳細信息，極易被黑客等不法分子利用。

　　技術手段復雜化、專業化。針對工控系統的攻擊已從原來一個代碼攻擊一兩種漏洞，進化成一個代碼嵌入數十種底層系統漏洞，絕非一個業余愛好者能夠實現。

　　美國網絡武器庫遭泄埋下重大隱患。維基解密、影子經紀人等黑客組織公開披露了大批網絡攻擊工具和安全漏洞，可被用于入侵感染工控系統，引發高頻次、大規模的網絡攻擊。

　　例如震驚全球的“Wanna Cry”勒索病毒就利用了影子經紀人披露的美國國安局“永恒之藍”漏洞進行傳播。在一次網絡攻擊中，中石油等眾多中國工業企業中招。

　　意識薄弱、技術不足、人才匱乏加劇風險

　　目前，我國在工業信息安全方面存在安全防護意識薄弱、技術水平偏低、人才匱乏等問題，形勢較為嚴峻。

　　多地區、部門、工業企業對工控系統信息安全重視不夠，重發展輕安全，漏洞不重視、修復不及時現象普遍存在。

　　據360補天漏洞響應平臺統計，所有工控信息系統漏洞中，25.6%的漏洞未進行修復，一些行業漏洞平均修復時間長達數月之久。

　　我國對工業信息領域安全的認識還處在初級階段。2017年5月“Wanna Cry”勒索病毒事件爆發，微軟在當年3月就發布了相應安全漏洞補丁，但我國很多單位一直沒有打補丁，導致近30萬臺主機和電腦被感染。

　　直到目前，360公司還能監測到每天有近千臺電腦感染此勒索病毒。

　　在企業中，因私人行為暴露并感染病毒的情況也較為多見，例如個人通過工控設備違規上網，或是廠商的維護人員電腦感染后造成設備系統全網感染病毒等。

　　部分工控系統依賴進口，核心產品自主可控度低。

　　國家工業信息安全產業發展聯盟發布的《2017年工業信息安全態勢白皮書》顯示，國產數據庫僅占據7%的低端市場，數千個工控系統由外國廠商提供運行維護，大量企業不具備自主維護能力，同時缺乏對外國產品和服務的監管。

　　記者了解到，設備廠商的維保人員對工控系統控制權非常大，在部分企業，工控系統控制室的門禁卡甚至都掌握在外方手中。

　　防護技術較為落后，人才匱乏，難以與網絡攻擊相抗衡。國家工業信息安全發展研究中心通過安全監測發現，工業企業信息安全應急備災手段不足，約70%的被調查工業企業缺少完善應災備災體系。

　　公共信息安全人才是自動化和網絡安全人才的復合型人才，缺口巨大，在高校中沒有工業控制領域的碩士、博士培養方向，工業信息安全從業人員幾乎都是在實戰中學習。

　　如何擰緊工業網絡“安全閥”

　　針對工業安全領域復雜多變的挑戰，須從政策制度、技術產品研發、人才培養等方面著力，進一步開展工業互聯網安全建設，構建安全保障體系。

　　強化網絡安全漏洞管理，降低被攻擊風險。

　　360集團董事長兼CEO周鴻祎認為，應建立漏洞管理全流程監督處罰制度，制定覆蓋網絡安全漏洞的發現、審核、披露、通報、修復、追責等全流程管理細則，強制要求漏洞必須及時修復，對漏洞修復時間以及違規處罰措施予以明確規定。

　　此外，應建立監督檢查機制和力量，及時發現未及時修復漏洞的行為，追究相關單位和責任人責任。

　　研究制定新一代信息技術在工業領域應用的安全架構，盡快突破一批工業信息安全關鍵核心技術，重點發展一批高端產品，形成具有市場競爭力的產品體系。

　　我國現有工業信息安全產業(包括產品、技術、服務等)占整個IT行業的比重不足2%，遠低于歐美發達國家近10%的水平。只有做強自主可控的工控系統相關行業，才能夠在安全問題上有話語權。

　　支持相關教育培訓機構，開展網絡安全學科聯合建設，將網絡安全納入職業技能鑒定體系，培養一支門類齊全、技術精湛的專業人才隊伍。

　　網絡安全的本質在攻防兩端能力的較量。在我國巨大的網絡安全人才缺口中，90%以上是防御型人才。

　　與進攻型、研究型人才不同，防御型人才可以通過職業培訓形式大批量培養，依靠社會力量開展職業教育，可以在短期內彌補網絡安全人才缺口。