【導讀】傳統工業已經邁向智能工業，以數字化和信息化為核心的工業自動化系統日益成熟。伴隨互聯互通趨勢的發展，工業控制系統背后隱藏的網絡安全問題也逐漸顯現并引起廣泛關注。工控系統網絡安全現狀如何？又將如何有效擰緊工控系統的網絡“安全閥”......

一個正在高速運轉的生產中心，突然計算機網絡系統宕機，幾十億的設備同時陷入癱瘓，數家工廠陷入混亂，帶來極具嚴重的運營挑戰與數額巨大的經濟損失……

這或許已不是一個駭人聽聞的生產事故，這正是全球的工業控制系統都在恐懼的網絡攻擊。

伴隨如火如荼的數字化轉型浪潮的發展，這個被稱為“關鍵生產設施和基礎設施運行的‘神經中樞’的工業控制系統”也迎來前所未來的網絡安全挑戰。一些國家級組織或個人開始通過對工業設施和工業系統進行網絡攻擊，以謀求達成政治訴求或經濟目的。

全球工控系統安全形式嚴峻  多數攻擊帶有軍事戰爭目的

據新華社經參研究院和360安全大腦共同發布的《關鍵企業保障網絡安全的形勢與挑戰》報告中顯示，在針對企業的攻擊中，攻擊者重點關注的領域依次是：通信網絡、電子電器、海洋與港口、能源化工、交通運輸、航空航天和網絡安全，疑似攻擊目標的企業以網絡運維、工程建設和制造業企業居多。在針對政府機構和事業單位的攻擊中，攻擊者重點關注的領域依次是：涉外機構、海洋、教育、國土與地質、農業、水利和通信網絡。

這些領域正是涉及國計民生的重要行業，一旦遭受攻擊，不僅帶來經濟上的重創，它還會帶來更為廣泛的社會問題、政治問題。

國家信息技術安全研究中心曹岳也曾公開表示，和互聯網攻擊相比，從攻擊目標來看，針對工控系統的攻擊具有明顯的軍事和政治目的，尤其涉及國計民生的電力、鐵路、民航等關鍵基礎設施，以及那些在遭受攻擊后能造成較大社會影響的系統往往成為主要攻擊目標。

而今年3月份委內瑞拉電力系統遭到全國大面積的斷網事件正是對以上結論最真實的寫照。從3月7日開始，委內瑞拉遭到多達5輪的網絡攻擊，全國23個州中的18個州停電，社會一度陷入混亂不堪的局勢中。委內瑞拉總統馬杜羅直接發聲明，指責這次停電是美國針對委內瑞拉導演的一場“軍事戰爭”。

如何守護關鍵命脈  保證工控系統安全

工業控制系統的網絡安全問題，涉及經濟、政治、軍事、社會穩定等諸多關系國家安全命脈的方面。尤其當下工控系統的網路攻擊還呈現出定向攻擊精準性提升迅速、技術手段復雜化專業化、攻擊行為組織化等諸多顯著特征。如何守護好它，變得至關重要，也成為一重要課題。本文整理了一些安全建議，助力保護工控系統安全。

即使已經逐步意識到工控系統遭遇網絡攻擊的破壞力之大，但仍有很多企業依賴于過時的安全理念：他們認為工控自動化系統沒有和互聯網連接，所以足夠安全；認為工控網絡安裝了防火墻，就能夠抵抗外界威脅；還認為黑客無法理解SCADA/DCS/PLC；最后，更有一些企業存在僥幸心理，認為他們的設備不會成為黑客攻擊的目標。

人是網絡安全的核心，所以，守護關鍵命脈安全的第一道防線，就應從人以及人的思維觀念中著手，走出既往的網絡安全誤區，建立頂層設計，將工控系統的網絡安全上升到最高級。

多數工業系統在設計之初是封閉的“單機系統”，沒有考慮聯網需求，而隨著“互聯網+工業”的推進，以及IoT技術的下沉與演進，那些原本就沒有防護軟件保護的工控系統和設備在物聯網的沖擊下，極易受到漏洞輕而易舉的襲擊。據報道，82%的工業固件漏洞為中高危風險。

因此，應建立漏洞管理全流程監督處罰制度，制定覆蓋網絡安全漏洞的發現、審核、披露、通報、修復、追責等全流程管理細則，強制要求漏洞必須及時修復，并對漏洞修復時間以及違規處罰措施予以明確規定。

此外，還應建立監督檢查機制，及時發現未及時修復漏洞的行為，追究相關單位和責任人的責任。

在這里，智庫建議分三步走：

第一，構建網絡邊界防護，實現邏輯隔離。

第二，構建工業級和通用級結合的綜合安全防護體系。這里包括構建工業防火墻和工業級協議的數據審計和異常監測系統，加強對危及系統網絡安全因素做出智能預警分析的能力，為工業網絡信息安全故障及時排查、分析并提供可靠的依據。

第三，基于可信計算構建移動存儲介質的管控體系。

諸多工控系統是關系國計民生的重要命脈，同時工控攻擊也越來越走向組織化、國家化。所以，加強國家政府與網絡安全企業的合作，建立協同聯動的防護系統，重點保證關鍵基礎設施的安全也變得尤為重要。

來源： 國際安全智庫