哈爾濱工程大學國家保密學院 孫建國 印桂生

當前，網絡信息安全防護理念正在發生深刻的演變，以工業控制系統為中樞神經的國家關鍵基礎設施安全和關鍵信息基礎設施安全面臨更為嚴峻的全新挑戰。工業控制系統作為國家基礎設施，已經成為網絡空間資產設備的重中之重。如何在工業化與信息化融合進程中保證其安全性，已經成國內外廣泛關注的重大課題。

國家頻出臺工控安全治理措施

隨著計算機技術網絡技術的發展，特別是互聯網及社會公共網絡平臺的快速發展，在“兩化”融合的行業發展需求下，為了提高生產高效運行、生產管理效率，國內眾多行業大力推進工業控制系統自身的集成化，集中化管理。系統的互聯互通性逐步加強，與辦公網、互聯網也存在千絲萬縷的聯系。但是工業控制系統建設時更多的是考慮各自系統的可用性，并沒有考慮系統之間互聯互通的安全風險和防護建設。使得國際國內針對工業控制系統的攻擊事件層出不窮，“震網”病毒事件為全球工業控制系統安全問題敲響了警鐘，促使國家和社會逐漸重視工業控制系統的信息安全問題。據權威工業安全事件信息庫RISI 統計，截至2013年10月，全球已發生300余起針對工業控制系統的攻擊事件。2001年后，隨著通用開發標準與互聯網技術的廣泛使用，針對工業控制系統（ICS）的病毒、木馬等攻擊行為大幅度增長，直接導致工業控制系統的故障次數明顯增多，對人員、設備和環境造成嚴重后果。

國家非常重視工業控制系統信息安全問題。工業和信息化部2011年9月發布《關于加強工業控制系統信息安全管理的通知》（〔2011〕451 號），通知明確了工業控制系統信息安全管理的組織領導、技術保障、規章制度等方面的要求，并在工業控制系統的連接、組網、配置、設備選擇與升級、數據、應急管理等六個方面提出了明確的具體要求。

2012年，國務院頒布《關于大力推進信息化發展和切實保障信息安全的若干意見（國發〔2012〕23號》，其中明確要求保障工業控制系統安全，重點保障對可能危及生命和公共財產安全的工業控制系統的安全。

國家發改委從2011年開始開展工業控制系統信息安全專項，涉及面向現場設備環境的邊界安全專用網關產品、面向集散控制系統（DCS）的異常監測產品、安全采集遠程終端單元（RTU）產品、工業應用軟件漏洞掃描產品等產業化項目。在電力電網、石油石化、先進制造、軌道交通等領域，支持大型重點骨干企業，按照信息安全等級保護相關要求，開展工業控制系統信息安全建設的試點示范。

當前，工業信息系統正從單機走向互聯，從封閉走向開放，安全漏洞和風險不斷涌現。2017年第一季度，國家信息安全漏洞共享平臺爆出我國新增工控系統行業漏洞30個，其中半數以上是高危漏洞。2017年6月，在工信部的指導下，國家工業信息安全產業發展聯盟正式成立。

創新工控安全核心技術發展

為維護工業控制系統安全，產業界在三大技術和產品方向攻堅克難，取得了一定成果。

一是基于邊界和區域防護的理念，我國已經形成成熟的工業防火墻技術體系。基于MIPS架構，通過對工業控制協議的深度解析，運用“白名單+智能學習”技術建立工控網絡安全通信模型，阻斷一切非法訪問，僅允許可信的流量在網絡上傳輸。為工控網絡與外部網絡互聯、工控網絡內部區域之間的連接提供安全保障。2013年，國內首款電力系統工業級防火墻投入使用。目前，以天融信等產品為代表的工業防火墻，已經廣泛應用在電力、石油、石化、軌交、市政、煙草及先進制造等多領域。系統能夠滿足工控行業的規范要求，防范外部惡意攻擊，杜絕內部安全隱患，對工業協議進行深度分析，理解和建構正常通信行為，并提供精準實時的協議指令級控制。

二是工控網絡態勢感知系統形成。工控網絡態勢感知系統是為政府、監管部門、能源等大中型企事業單位提供綜合安全事件分析與宏觀安全形勢展現等服務的技術平臺，可實現全球工控設備信息和開放常規服務的隱匿探測及全局采集，同時準確定位工控設備。其搜索內容全、范圍廣、效率高，可支撐監管單位完成安全監測、檢查、整改的閉環工作，對于評估工業控制系統的安全性、推動國家關鍵基礎設施的信息安全保障工作具有極為重要的意義。

2016年9月，新疆工業控制系統網絡安全態勢感知平臺上線。2017年，360推出國內工業互聯網安全態勢感知系統，建立協同聯動機制，提升整個工業互聯網的安全防護水平。

三是建成工控安全演練平臺。工業網絡安全測試演練平臺可以為各類用戶提供一系列網絡化聯合應用，包括支撐國家關鍵基礎設施安全防護體系建設、自主可控軟硬件安全性測試、技術和服務安全性審查和下一代網絡與大數據安全研究等應用。2017年，由國家工業信息安全發展研究中心主導的工業信息安全測試演練平臺一期建設工作順利完成。通過國家級工業網絡安全測試演練平臺的頂層設計與體系建設，可以完成網絡空間工控網絡體系規劃論證、能力測試評估、產品研發試驗、產品安全性測試、人才教育培養等任務。

迎接工控系統智能化安全挑戰

工控全腦革命。互聯網將向著與人類大腦高度相似的方向進化，它將具備自己的視覺、聽覺、觸覺、運動神經系統，也會擁有自己的記憶神經系統、中樞神經系統、自主神經系統，也就是說，互聯網正在形成一個互聯網大腦。物聯網是互聯網大腦的感覺神經系統，云計算是互聯網大腦的中樞神經系統，大數據是互聯網智慧和意識產生的基礎，工業4.0或工業互聯網本質上是互聯網運動神經系統的萌芽，它會思考，更智能。

隨著中國制造2025、兩化融合逐步深入，工業信息安全問題逐步走入深水區，漏洞劇增、外國設備后門、高級持續性威脅、工業網絡病毒以及攻擊趨易等問題凸顯。

借鑒國外的管理經驗和做法，未來需要做好以下工作，破解工業信息安全的幾大問題：

一是明確政府的扶持和服務角色，促進創新鏈和產業鏈緊密聯結。國家工業信息安全產業發展聯盟是在工信部的指導下，由國家工業信息安全發展研究中心等45家單位聯合發起成立的聯盟，是一家以“平等、互利、合作、共享”為原則，圍繞工業信息安全產業鏈，以工業企業為主體，提升工業信息安全保障能力，推動工業信息安全產業快速發展，保障國家信息安全的非盈利性社會組織。

二是推動技術進步，加強知識產權保護力度。圍繞設備檢測、安全服務、威脅管理、安全數據庫、監測審計以及智能防護，引導并構建全生命周期的工控安全觀。構建安全大數據云平臺，通過機器學習、威脅建模、情報交換以及實時處理等技術與手段，實現對工控系統的綜合監控分析、安全監測防御和實時漏洞預警。

三是加速推進標準建設，人防、技防并駕齊驅。提出工業控制系統縱深防護體系架構，推進工控安全標準的研究與制定。

四是政校企研通力合作，落實工控安全領域人才培養。據統計，全國信息安全領域的人才缺口超過50萬，而每年全國信息安全專業的畢業生僅8000人。而工控安全方向是集自動化、計算機網絡、信息安全于一體的交叉學科，目前的現狀卻是師資匱乏、專業建設尚無基礎，學科體系缺乏標準，教學開展和實訓環境沒有依據，人才培養處于真空狀態。

五是虛實結合，聚焦工控軟件安全與大數據仿真技術。在硬件不硬的情況下，先期開展工控數據的收集整理，開展好工控系統安全監控與仿真演練平臺的研究與開發工作。在硬件無可替代的情況下，為避免對硬件設備產生二次破壞，通過工業大數據在線仿真技術，通過虛實結合的策略，完成對工業控制系統的評估與風險挖掘工作。在短期內，面向典型工控系統，開展數據建模與工業控制流相關性問題研究，基于工控系統安全進化理論，重點解決網絡空間安全領域的工業軟件逆向分析、體系結構仿真以及大數據分析等敏感性問題。