漏洞多多，工控安全防护刻不容缓.docxVIP

PAGE 1 PAGE 1 漏洞多多，工控安全防护刻不容缓  随着物理掌握和电子系统的高度集成，在严峻的安全威逼形势下，工业掌握系统安全事关国家关键基础设施安全和民生安全，必需大力加强安全管理。针对工业掌握系统面临的网络安全问题供应解决思路和落地技术手段，提高工控信息安全防护技术水平刻不容缓。  工控信息安全问题日益突出  从工业掌握系统自身来看，随着计算机和网络技术的发展，尤其是信息化与工业化的深度融合，工业掌握系统越来越多地采用通用协议、通用硬件和通用软件，通过互联网等公共网络连接的业务系统也越来越普遍，这使得针对工业掌握系统的攻击行为大幅度增长，也使得工业掌握系统的脆弱性正在渐渐显现，面临的信息安全问题日益突出。  2010年的“震网”病毒、2012年的超级病毒“火焰”、2014年的Havex病毒等特地针对工业掌握系统的病毒给用户带来了巨大的损失，同时也直接或间接地威逼到国家安全。从2015年发生的乌克兰电力遭受攻击事件我们可以看到，在不需要利用复杂攻击手段、不需要完整还原业务系统运行过程的状况下，就可以对工控系统的运行造成影响。  随着各方对工控系统的关注，近年来工控系统被挖掘的漏洞呈现总体上升的趋势，但由于工业掌握系统漏洞具有更高的价值，仍有大量的工控漏洞已被发觉，却未被曝光，因此，实际的工控漏洞数量应超出已有统计数，同时，SCADA、HMI、PLC、工业交换机等占曝光的漏洞数的前几位。从分布的厂商来看，Siemens、advantech、scheider仍是漏洞大户，他们的漏洞总和占全体工控漏洞总数的近30%。  我国同样遭受着工业掌握系统信息安全漏洞的困扰，比如2010年齐鲁石化、2011年大庆石化炼油厂，工控系统分别感染Conficker病毒，都造成掌握系统服务器与掌握器通讯不同程度地中断。  工控安全政策、标准先行  伴随着国家政策的指引以及行业内对工控安全的行业引导，在相关因素驱动下，工控安全产品应用实例的增多及实际应用效果得到业界的认可，估计在不久的将来，工业掌握系统的安全必将迅猛发展。  IEC62443是在国际上被广泛接受和认可的工控系统标准。各国、各行业制定工控相关标准政策都会参考和汲取该标准供应的概念、方法、模型。不论是想系统地了解工控安全问题及其应对措施，还是想了解部分内容，都可以从该标准入手。  IEC62443针对工控系统信息安全的定义是：  A、保护系统所采取的措施；  B、由建立和维护保护系统的措施所得到的系统状态；  C、能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失；  D、基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻挡；  E、防止对工控系统的非法或有害入侵，或者干扰其正确和计划的操作。  纵观国际工控安全的发展态势，美国是最早开始研究和执行工控安全标准的国家，北美电力牢靠性公司赐予CIP系列标准的要求开展在北美电力开展针对电力企业安全安全检查（包含核电）；欧洲已经根据WIB标准来检测工控产品安全，并且以德国为代表的国家，已经开始基于ISO27000系列的ISO27009进行工控安全的建设；日本基于IEC62443要求结合阿基里斯认证要求，从2013年起规定全部工控产品必需通过国家标准认证才能在国内使用，并且已经在一些重点行业如能源和化工行业开始了工控安全检查和建设；以色列已成立国家级工控产品安全检测中心，用于工控安全产品入网前的安全检测。  2011年，工信部出台了《关于加强工业掌握系统信息安全管理的通知》（工信部协［2011］451号）文件，第一次对工控安全管理工作提出了详细要求。近年来随着信息技术与工业生产活动的不断融合，工控安全形势日益严峻，原451号文件在指导开展工控安全防护工作上存在操作性不强、技术性不够等不足之处。工控安全主管部门和工业掌握系统应用单位，都急需一个简洁明白、措施化、易于落地的防护指导手册。  2016年对于我国工业掌握系统信息安全市场来说，应当是收获颇为丰厚的一年。尤其是在相关法律法规、标准等方面都取得了突破性的进展。  2016年10月，工业和信息化部印发的《工业掌握系统信息安全防护指南》，其中指出，工业掌握系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11个方面做好工控安全防护工作。《指南》的发布是对国家关键信息基础设施安全保护要求