控制系統(tǒng)漏洞頻出 安全意識亟待提高

 　　“安全問題是國家乃至全球的大事，針對自動化領域，最常見的安全問題就是工業(yè)控制系統(tǒng)的信息安全。”
　　在日前的“2014工業(yè)控制系統(tǒng)信息安全年”大型主題系列活動——北京站活動中，中國自動化學會副理事長、清華大學自動化系主任周東華教授如是強調(diào)說。
　　事實上，我國目前也在遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾。據(jù)中國電子技術(shù)標準化研究院信息安全研究中心副主任范科峰博士的調(diào)研來看，從2003年到現(xiàn)在，我國每年都有工業(yè)控制系統(tǒng)的信息安全事件發(fā)生，形勢非常嚴峻。
　　在這場由中國自動化學會專家咨詢工作委員會主辦、工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟（ICSISIA）協(xié)辦、主題為“環(huán)保與安全”的活動中，有來自全國30個省市自治區(qū)的百余名代表出席，他們從各自的專業(yè)領域，為我國工控系統(tǒng)的信息安全發(fā)展紛紛支招。
　　信息安全危機四伏
　　據(jù)報道，權(quán)威工業(yè)安全事件信息庫RISI的統(tǒng)計顯示，截至2011年10月，全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件。而2001年后，通用開發(fā)標準與互聯(lián)網(wǎng)技術(shù)的廣泛使用，使得針對工業(yè)控制系統(tǒng)(ICS)的病毒、木馬等攻擊行為大幅度增長，結(jié)果導致整體控制系統(tǒng)的故障，甚至惡性安全事故，對人員、設備和環(huán)境造成嚴重的后果。比如伊朗核電站的震網(wǎng)病毒等事件，給全球工業(yè)界控制系統(tǒng)的信息安全問題都敲響了警鐘。
　　“目前我國工控系統(tǒng)的信息安全形勢非常嚴峻，而近年來的工控安全事件也逐漸增加，嚴重影響了國家尤其是基礎設施領域的信息安全�！痹谥袊�電子技術(shù)標準化研究院信息安全研究中心副主任范科峰博士看來，我國當前工控系統(tǒng)的信息安全形勢不容樂觀，工控領域的安全可靠性問題比較突出。
　　他介紹說，美國、歐洲已經(jīng)把工控安全和國家的基礎設施安全統(tǒng)一列為國家的安全戰(zhàn)略。而美國政府更是高度重視工控安全，采取很多措施來保證基礎設施的工控信息安全，同時在國家工控系統(tǒng)相關的法規(guī)戰(zhàn)略、縱深防御戰(zhàn)略、以及評估等方面都做了很多工作。
　　而國內(nèi)的狀況是，工控系統(tǒng)的核心基礎設備依賴國外產(chǎn)品，嵌入式軟件、總線協(xié)議、工控軟件等核心技術(shù)都受制于國外，由于我國的工控產(chǎn)業(yè)綜合競爭力不強，工控系統(tǒng)面臨的威脅比較多，而且漏洞頻發(fā)。
　　“我們通過調(diào)研了解到，工控系統(tǒng)很多都缺乏比較完善的、安全的架構(gòu)、設計，包括風險評估和基本的安全保證能力都比較缺乏，工控系統(tǒng)的信息安全還缺乏正式發(fā)布的、完善的標準等�！狈犊品灞硎�。
　　安全意識亟待提高
　　在會議上，京力控華康科技有限公司副總經(jīng)理龔亮華做了《工控信息安全形勢分析與風險評估》的報告，他認為，很多的信息安全問題都是由于管理不善造成的，技術(shù)只是亡羊補牢的手段，因此，“企業(yè)最應該做的就是提高安全意識，采用更加完善的管理手段�！�
　　他表示，構(gòu)建滿足工業(yè)控制系統(tǒng)的全廠級風險識別模型，除了需要細化工業(yè)控制系統(tǒng)的風險因素，還需要建立基于工業(yè)控制系統(tǒng)的安全管理域，實施分等級的基線建設，兼顧包括終端與鏈路、威脅與異常、安全與可用性等綜合因素的功能考慮。
　　而帶來《Havex病毒的“X”分析——新一代的工控網(wǎng)絡APT對抗》報告的匡恩網(wǎng)絡科技總裁兼首席執(zhí)行官孫一桉，也認為，要真正解決信息安全對抗體系，必須要有前沿的技術(shù)和體系的創(chuàng)新，而我國現(xiàn)今的工業(yè)控制信息安全產(chǎn)業(yè)鏈是非常不完整的，因此我們更要提倡整體的解決方案。