近期，烏克蘭西部地區的電力系統被具有高度破壞性的惡意軟件攻擊并導致大規模停電。據當地新聞機構TSN報道稱，匿名黑客獲取了機械系統已更新的遠程管理控制權限，可能是通過負責工業過程自動化可編程邏輯控制器（PLC）實施的。這一事件，進一步提高了業界對工業控制系統信息安全重要性的認識。

“和2010年伊朗核設施被震網病毒攻擊一樣，烏克蘭停電事件再一次給我們敲響了警鐘，事件表明僅有物理安全隔離是遠遠不夠的，工控系統還要具備安全機制。”1月15日，工業控制系統信息安全技術國家工程實驗室理事會第二次會議暨聯合創新成果展在京舉辦，國家工程實驗室理事會理事長宋黎定在會上接受《中國電子報》記者采訪時這樣表示。

“十三五”目標是可替代

目前，我國高度重視工控信息安全，近期，工信部發布的《關于貫徹落實〈國務院關于積極推進“互聯網+”行動的指導意見〉的行動計劃（2015~2018年）》就明確指出，要加強工業信息系統安全保障體系建設，開展重點領域工控系統信息安全檢查和風險評估，支持工控系統信息安全核心技術、產品研發和產業化。

據宋黎定介紹，我國工控系統信息安全分三步走，即可發現、可防范、可替代。可發現是指對現有系統的漏洞能及時發現，可防范是指系統對受到的攻擊能及時處理，將損失降到最小。由于目前我國工控系統核心領域技術產品仍然被國外公司壟斷，因此，國產化替代則是第三個目標。

“目前我們已經可以做到可發現、可防范，‘十三五’的目標則是可替代。”宋黎定表示。

不過，即使實現了”可替代“，我國國產工控系統技術和產品從可用到好用還需要進一步攻關。中國航天科技集團第九研究院第772研究所所長趙元富告訴《中國電子報》記者，即使達到可替代，也離應用有一段距離，這需要通過國家意志，通過示范工程應用推廣來實現。畢竟，企業對工業控制產品的穩定性可靠性要求非常高，都不愿意成為首個吃螃蟹的人來應用國產品牌的新品。

記者了解到，國家工程實驗室由國家發改委于2014年1月批復成立，承建單位為中國電子信息產業集團有限公司第六研究所。自掛牌成立一年多時間，實驗室已發布工業控制系統信息安全仿真驗證平臺；完成了國產安全測試機的研發；搭建了集成研發平臺和西門子典型系列PLC評估驗證平臺，以具有安全技術機制的全國產化自主可控PLC產品研發為主攻方向，針對國防領域的具體需求聯合有關單位開展設計，NX系列PLC完成了樣機的研制；開發的安全RTU產品獲得了電子學會科技成果三等獎，并已完成基于安全RTU的工控SCADA系統研發；啟動了基于嵌入式操作系統工控交換機的研發。由于工控信息安全是一項復雜的系統工程，國家工程實驗室將通過“集智攻關、聯合創新”的發展模式，加強產、學、研、用在優勢資源上的協同與集成，促進技術創新與產業孵化。

從“工控的安全”到“安全的工控”

工業病毒只是工控信息安全面臨的一種威脅?？锒骶W絡總裁兼CEO孫一桉告訴《中國電子報》記者，設備存在的漏洞、用于遠程監控的后門以及無線技術的應用都會使得工控系統“大門洞開”。

據介紹，目前，大部分工業控制設備普遍存在高危漏洞，其中有些漏洞是不可改的。在設備制造商和集成商眼中，這些漏洞或許僅是設備內部存在的小缺陷，但從惡意的角度它也可成為整個系統的攻擊介質。對于遠程控制的后門，目前眾多知名廠商的設備普遍存在后門，在正常時期用來遠程監控，在非正常時期也是整個系統的一大安全隱患。另外，越來越多的無線技術的應用，已成為工業發展趨勢之一。對于現代工業，無線技術無疑是把雙刃劍，在機場、地鐵、鐵路等民生基礎設施中，無線技術為企業帶來高速運營和管理；同時，無線技術的規?；瘧茫彩构た叵到y面臨安全隱患。

“信息化與工業化的日漸融合，給國家關鍵生產設施和基礎設施運行的神經中樞——工控系統的安全管理提出更高要求。實現以信息化技術為載體的兩化融合和《中國制造2025》，需加強工業控制領域的網絡安全保障體系建設。而工業控制系統網絡安全，必須逐步地從‘工控的安全’發展到‘安全的工控’，以全方位的技術和防護體系的創新實現工控系統與網絡安全的融合，從而達到工控系統的‘細胞級’安全。”孫一桉表示。

他認為，要實現“細胞級”安全，需要有涵蓋全生命周期的解決方案，這種全生命周期的解決方案要有全方位的、體系性的創新，并非簡單邊界防護，或者把信息安全再包裝，而是涵蓋從檢測工具到保護系統，再到安全服務，最后到安全數據庫，而且還要能夠為工業用戶提供培訓、評估、監測、審計、防護、長期維護等系統服務。