編者按：工業控制系統信息安全是國家網絡和信息安全的重要組成部分，是推動中國制造2025、制造業與互聯網融合發展的基礎保障。2016年11月7日，全國人民代表大會常務委員會發布了《中華人民共和國網絡安全法》，該法案的頒布將會極大推進國內工控安全產業的快速發展。日前，筆者借參加北京國際互聯網科技博覽會暨世界網絡安全大會之機，專訪了北京威努特技術有限公司首席技術官兼研發副總經理黃敏，系統分析和展望了當前中國工控安全的現狀和行業發展趨勢。

嚴峻的工控安全形勢

伊朗“震網”病毒事件的發生，引起了全世界對于工業控制系統信息安全的重視。

2010年7月，美國聯合以色列采用“震網病毒”攻擊了伊朗核設施，導致其濃縮鈾工廠內約1/5的離心機報廢，從而大大延遲了伊朗的核計劃。

據北京威努特技術有限公司首席技術官兼研發副總經理黃敏介紹說，“震網”病毒采取的就是通過移動存儲設備進行傳播的方式。該病毒首先在互聯網上進行傳播，大量感染的主機也就成為潛在的向內部局域網傳播的“橋梁”。病毒利用被感染的主機傳染給在其上面使用過的U盤，如果這個U盤在內部局域網上使用，病毒就會利用漏洞傳播到內部網絡；到達內部局域網后，病毒通過一系列的系統漏洞，實現聯網主機之間的傳播；最后，病毒抵達裝有目標軟件的主機后展開攻擊。這使得在U盤內的“震網”病毒只需要所在U盤插入主機的USB接口，不需要任何操作病毒就會感染主機。

黃敏分析，“震網”病毒的攻擊目標非常精確或者說單一，“震網”病毒并不以刺探情報為目的，而是按照設計者的設想，定向破壞離心機等要害目標。目前，這種病毒已經感染了超過10萬臺個人電腦和“光顧了全球數萬個工業控制系統”，但除了伊朗設施的離心機外卻沒有對其它電腦和工業設備造成任何物理損害。對于那些不屬于破壞目標的電腦和工業控制系統，“震網”病毒會在留下其“電子指紋”后離開，繼續尋找其目標。

“震網”病毒的出現引起了包括中國在內的全世界工業控制行業的關注，2011年中國有關部門針對電力、電網、石油化工、市政、大型工廠和交通等關系到國計民生的領域進行了普查，結果顯示這些領域的工業系統存著相當大的安全隱患，一旦受到類似于“震網”病毒的攻擊后果不堪設想。

于是，2011年工信部發布了《關于加強工業控制系統信息安全管理的通知》（簡稱“451號文件”），拉開了中國重新審視與解決工控安全的新篇章。2016年10月，工業和信息化部再次發布了《工業控制系統信息安全防護指南》，同年11月全國人大正式頒布《中華人民共和國網絡安全法》，其中“關鍵信息基礎設施的運行安全”部分，以法律的形式將工控安全提升到前所未有的重視程度。

目前全社會已經達成共識，工業控制系統信息安全事關經濟發展、社會穩定和國家安全。為提升工業企業工業控制系統信息安全防護水平，保障工業控制系統安全，工業控制系統解決方案供應商將要勇于直面機遇與挑戰，與用戶一起完成擔負起工業系統安全保障的重任。

傳統信息安全思路無法解決工控安全問題

信息安全，現在已經得到了全社會的高度重視，與傳統關于互聯網和辦公系統的信息安全概念不同的是，工控安全特別是指導是指生產自動化控制系統的安全。

在國際標準《工業過程測量、控制和自動化網絡與系統信息安全》（IEC62443）中，針對工控系統信息安全的定義是：A、保護系統所采取的措施；B、由建立和維護保護系統的措施所得到的系統狀態；C、能夠免于對系統資源的非授權訪問和非授權或意外的變更、破壞或者損失。D、基于計算機系統的能力，能夠保證非授權人員和系統既無法修改軟件及其數據也無法訪問系統功能，卻保證授權人員和系統不被阻止；E、防止對工控系統的非法或有害入侵，或者干擾其正確和計劃的操作。

黃敏表示，目前工業控制系統的使用環境基本上都是以內網為主，即內部工控局域網，即以孤島的形式存在。因此，傳統的殺毒軟件或防火墻無法解決工控系統的安全問題。首先，工業網絡是封閉的系統，病毒庫無法定期升級，傳統防火墻同樣不適用。其次，很多應用于工業網絡的工業軟件都具備個性化特征，很多工業軟件都與殺毒軟件有沖突，殺毒軟件在工業環境里誤殺的情況很多。

因此，必須采用全新的理念來解決工控安全問題。

黃敏形象地以“廣場”和“小區”的安保特征為例進行了分析，前者是開放的環境，后者是封閉環境，只有符合要求和規定的人才可以進入到“小區”，而這里的安全原則適用封閉的工業控制系統。

因此，威努特采取了“縱深防御，建立邊界，安全分區”的策略構建了工控安全防護系統。

以應對“震網”病毒為例，威努特的解決方案為工控網絡設置了三道防線：一是安全U盤，這款U盤只要脫離了特定的環境后就只能讀不能寫操作，這樣防止了病毒感染的風險；二是部署工控主機安全軟件，也稱為“應用白名單”軟件；三是如果病毒突破了上面兩道防線，部署在PLC和服務器之間的工業防火墻也會保證整體系統的安全。

工控安全市場將迎來爆發式增長

近年來，我國軍工、石油石化、核電水電等重點行業工業控制系統安全防護問題得到了高度重視。國家陸續出臺了多項促進工控系統信息安全的政策和法規，鼓勵企業開展相關產品研究，并力爭實現產業化發展。國際上已形成相對成熟的工控安全標準化體系，安全廠商技術有了一定積累，但是我國的工控安全體系目前還遠不成熟，產品依賴國外，政策尚不健全。

“歷史欠賬”以及新興需求正在使工控信息安全領域成為很多企業眼中的“香餑餑”。今年以來，就已經有多家企業進入這一領域，這個一度被人們所忽視的角落正在由于廣闊的發展潛力變得金光閃閃。

對于工控安全市場的發展前景，黃敏表示，今年6月1日開始正式實施的《中華人民共和國網絡安全法》將成為觸發工控安全市場快速發展的推動力，在這個法律里邊特別對重要基礎設施的安全提出了責任制度，這樣工控系統用戶將更加主動為其系統建議安全措施，從而拉動工控安全市場的爆發。

黃敏表示，工控安全市場，大有可為。

后記：近年來，隨著信息化和工業化融合的不斷深入，工業控制系統從單機走向互聯，從封閉走向開放，從自動化走向智能化。在生產力顯著提高的同時，工業控制系統面臨著日益嚴峻的信息安全威脅。工控安全事關經濟發展、社會穩定和國家安全，消除工控安全威脅與隱患，已經成為工業控制領域企業責無旁貸的歷史責任。