一、工業控制系統信息安全面臨嚴峻形勢，關鍵信息基礎設施成為網絡攻擊的重點目標

工業控制系統廣泛應用于國民經濟的各個重要領域，是工業生產和重要基礎設施運行的核心大腦。隨著互聯網、云計算、大數據等信息技術對工業生產活動的不斷滲透，工業控制系統也面臨著越來越嚴峻的信息安全風險。 根據美國工業控制系統網絡安全應急響應小組（ICS-CERT）的統計，近2年ICS-CERT共響應了540起工業控制系統信息安全事件，能源、裝備制備、市政 等關鍵信息基礎設施領域成為遭受黑客攻擊的重災區。

二、大量工業控制產品和系統漏洞被披露，使得針對工業控制系統的攻擊越來越容易

隨著網絡化時代信息獲取的成本越來越小，黑客對工控系統的攻擊難度也越來越低，進一步加劇了工控系統的網絡安全風險。當前，大量工控系統軟硬件設備的安全漏洞及利用方式可通過公開或半公開的渠道獲得，越來越多接入互聯網的工控系統可通過“Shodan”之類的工業控制系統搜索引擎發現痕跡。

2015年12月17日，俄羅斯著名工控安全研究團隊SCADA STRANGELOVE（簡稱SCADA.SL） 在第32屆混沌通信大會上發布了名為“SCADAPass” 的工控軟硬件設備組件的默認密碼清單。該清單涉及了37家工控廠商的107個工控設備型號。2016年2月14日，該團隊在互聯網公開發布了 “SCADAPass”清單的更新版本，涉及的工 控廠商和設備型號分別增加到48家和134個。該清單詳細描述了各工控設備的設備類型、默認用戶名及密碼（甚至包括硬編碼密碼）、網絡端口、通信協議與服務、公開信息來源等敏感信息。由于工控系統維護的復雜性，大量關鍵信息基礎設施運營單位在安 裝工控系統時使用產品自帶的默認密碼，甚至關閉密碼功能。黑客可能利用該清單獲取的默認密碼拿到工控設備的操作權限，實施修改系統設置、執行 root 命令、替換系統固件、非法控制等攻擊。目前公開渠道報道的大量事件案例僅僅是無數工業控制系統信息安全風險中的“冰山一角”。當前，全球網絡安全空間呈現出越來越明顯的政治化、軍事化勢，網絡安全與其它傳統安全越來越緊密的相互交織和滲透，需要警惕關鍵信息基礎設施控制系統成為黑客重點關注的網絡安全目標。

三、我國工控系統面臨的網絡安全風險尤為嚴重

（一）工控系統核心軟硬件產品自主可控水平低下

由于缺乏具有自主知識產權的核心技術，我國各個行業、各個領域的重要工業控制系統大量采購國外技術和設備，自主可控程度較低。根據 2013年的全國重點領域網絡安全檢查工作統計，我國重要信息系統和工業控制系統關鍵設備和基礎軟硬件采用國外產品的比例仍很高，安全基礎不牢。根據我們的統計情況來看，重要的工業控制系統中操作系統、數據庫、服務器以及數據存儲設備都是國外產品占絕對主導地位。從類別來看，數據采集與監控（SCADA）系統、分布式控制系統（DCS）、過程控制系統（PCS）、可編程邏輯控制器（PLC）也均以國外產品為主。另外根據我們調研情況來看，數千個工業控制系統由國外廠商提供運行維護，我們不具備自主維護能力，系統運行的可控能力較低，同時缺乏對這些產品和服務的監管，缺少必要的技術檢測措施和安全可控方案，安全風險難以掌控。

 （二）大量工業控制系統直接接入互聯網提 高了安全風險

隨著“兩化深度融合”和“互聯網 +”的發展，越來越多的工業控制系統直接或間接與互聯網連接。由于工業控制協議基本上沒有加密、認證等安全措施，暴露在互聯網的工控系統存在巨大的網絡安全風險。根據工業和信息化部電子科學技術情報研究所建設的工業控制系統在線安全監測平臺統計，我國存在大量直接接入互聯網的工業控制系統軟硬件設備，相關工業信息系統更是不計其 數，這些系統廣泛集中在水、電、氣、熱、石化等與國民經濟和人民群眾生產生活息息相關的重點行業。

（三）工控系統安全防護措施不足，系統處于不設防狀態

雖然有部分工控運營單位開始關注工控 安全問題，但只有少數運營單位根據工控系統的實際情況開展了安全防護建設。根據我們調研來看，在安全防護措施部署方 面，絕大多數工控系統的網絡邊界沒有部署網絡防護設備，沒有安裝防病毒軟件或未采取加密措施傳輸、存儲數據的設備也都占很高比例，大量的工控系統沒有任何安全防護措施。

另外，很多工控系統網絡安全管理不嚴格，員工缺乏網絡安全意識。有些單位的移動存儲介質使用管理不完善，黑客利用相關漏洞可向內網植入惡意代碼、傳播惡意程序，易形成跨網攻擊通道。USB口的非法使用也會導致生產計算機感染惡意程序、被植入木馬等不良后果，輕者可能導致產品良品率下降，重則可能導致生產工藝泄露以及設備損壞等重大安全事故。

四、加強我國工控系統信息安全保障的對策建議

（一）建立健全工控系統信息安全法規體系

為加強工業控制系統的安全保障應盡快研 究組織編制工業控制系統信息安全防護指南，指導工業控制系統運營單位從建設、運行和維護等全生命周期做好信息安全防護。通過健全的法規體系，做到我國工控系統信息安全的“監督有力，防護有據”。

（二）常態化開展工控系統與產品的安全檢查

定期對工業控制系統進行信息安全檢查，并實施工控系統產品的安全檢測，逐步提高應用在我國工控系統中的工控產品安全性，保證我國重點領域工控系統與產品的安全可靠。

（三）加強工控系統態勢感知與監測預警

不斷提高我國工業控制系統的在線安全監測能力，主動監測發現存在高危網絡安全風險的工業控制系統，準確掌握國內外工業信息安全態勢。對可能影響我國工業信息安全的重大安全漏洞和突發事件進行監測核查和分析，向相關運營單位提供工控風險信息通報和預警。

轉自《中國信息安全》2016年第4期

作者：工業和信息化部電子科學技術情報研究所總工／工業控制系統信息安全產業聯盟副理事長  尹麗波