隨著工業(yè)化與信息化的深度融合，我國(guó)進(jìn)入了工業(yè)轉(zhuǎn)型的快速發(fā)展期，智能制造推動(dòng)著兩化的不斷融合，導(dǎo)致工業(yè)控制系統(tǒng)的信息安全問(wèn)題更加突出。近年來(lái)生產(chǎn)事故的頻發(fā)，工業(yè)生產(chǎn)運(yùn)行面臨的安全形勢(shì)越來(lái)越嚴(yán)峻，因此，構(gòu)建工控網(wǎng)絡(luò)防護(hù)體系意義重大。

眾所周知，我國(guó)基礎(chǔ)設(shè)施和高端制造企業(yè)中存在大量的國(guó)外工業(yè)設(shè)備，這些工業(yè)系統(tǒng)在相當(dāng)長(zhǎng)的時(shí)間內(nèi)還會(huì)繼續(xù)使用；同時(shí)，由于技術(shù)水平和制造能力的限制，國(guó)內(nèi)高端數(shù)控機(jī)床、高端發(fā)動(dòng)機(jī)、發(fā)電控制系統(tǒng)，以及高端PLC器件等工控設(shè)備依賴國(guó)外發(fā)達(dá)國(guó)家，這些核心元器件和設(shè)備的內(nèi)部機(jī)理和通信協(xié)議往往不被我們掌握，以及自身存在設(shè)計(jì)漏洞和被植入后門的問(wèn)題，造成重要工業(yè)資產(chǎn)和裝備制造信息可能被國(guó)外非法收集。

  相關(guān)資料顯示，目前我國(guó)的工控系統(tǒng)存在的以下安全問(wèn)題：

一、組織與人員

未實(shí)安全責(zé)任：管理層重視不足，部門間安全職責(zé)不清晰，無(wú)明確安全部門或崗位。

安全意識(shí)薄弱：?jiǎn)T工對(duì)工控系統(tǒng)的安全意識(shí)相對(duì)薄弱，特別是生產(chǎn)或一線員工。傳統(tǒng)型企業(yè)的“隱匿式安全”（security by obscurity），認(rèn)為嚴(yán)格物理安全和訪問(wèn)管理即可確保安全，認(rèn)為未發(fā)生安全事件即是安全，這往往使得企業(yè)忽略對(duì)網(wǎng)絡(luò)安全的建設(shè)，未能及時(shí)補(bǔ)救隱患。

二、管理與監(jiān)督

“經(jīng)驗(yàn)式”管理：工控系統(tǒng)自身缺乏安全設(shè)計(jì)與考量，是很多企業(yè)存在的普遍現(xiàn)象，通過(guò)實(shí)施適當(dāng)安全保障措施，可以有效彌補(bǔ)。但很多企業(yè)并沒(méi)有建立有效的安全策略和措施，僅依靠個(gè)人經(jīng)驗(yàn)和歷史經(jīng)驗(yàn)進(jìn)行管理。

應(yīng)急響應(yīng)機(jī)制缺失：缺少應(yīng)急響應(yīng)機(jī)制，出現(xiàn)突發(fā)事件時(shí)無(wú)法快速組織人力和部署應(yīng)對(duì)措施來(lái)控制事件進(jìn)一步蔓延，并在最短時(shí)間內(nèi)解決問(wèn)題和恢復(fù)生產(chǎn)。

缺少恰當(dāng)?shù)目诹畈呗裕何丛O(shè)置恰當(dāng)?shù)目诹畈呗院凸芾?，如弱口令，共享口令，多臺(tái)主機(jī)或設(shè)備共用一個(gè)口令，以及口令共享給第三方供應(yīng)商等情形，增加密碼泄露風(fēng)險(xiǎn)。

缺乏安全審計(jì)日志：系統(tǒng)出現(xiàn)安全事件后，無(wú)法追蹤和分析事件源頭和原因，以避免類似情形的再次發(fā)生。

三、網(wǎng)絡(luò)與架構(gòu)

“防君子式”網(wǎng)絡(luò)隔離：內(nèi)部辦公網(wǎng)絡(luò)和工廠網(wǎng)絡(luò)缺乏有效隔離，未劃分安全域進(jìn)行防護(hù)，導(dǎo)致辦公網(wǎng)絡(luò)的攻擊或病毒蔓延至工廠網(wǎng)絡(luò)，造成生產(chǎn)影響。

不安全的通訊協(xié)議：工業(yè)控制協(xié)議非標(biāo)準(zhǔn)化，且大多存在安全隱患，例如CAN、DNP3.0、Modbus、IEC60870-5-101。

不安全的遠(yuǎn)程訪問(wèn)：為方便維修工程師和供應(yīng)商的遠(yuǎn)程調(diào)試，未對(duì)遠(yuǎn)程訪問(wèn)部署安全措施和監(jiān)控，此類遠(yuǎn)程訪問(wèn)功能可能是攻擊者利用率最高的漏洞之一。

復(fù)雜的結(jié)構(gòu)：工控系統(tǒng)的結(jié)構(gòu)相對(duì)于IT環(huán)境而言更為復(fù)雜，攻擊面較多。典型的工控環(huán)境一般會(huì)有以下組成部件：控制器（PLC、數(shù)控車床、DCS）、SCADA系統(tǒng)、工業(yè)計(jì)算機(jī)、工業(yè)軟件、HMI、網(wǎng)絡(luò)、交換機(jī)、路由器、工業(yè)數(shù)據(jù)庫(kù)等，其中任意一個(gè)環(huán)節(jié)或者部件出現(xiàn)問(wèn)題就有可能導(dǎo)致整個(gè)工控系統(tǒng)被攻擊。

四、主機(jī)與設(shè)備

認(rèn)證與授權(quán)：為了日常使用方便，重要控制系統(tǒng)未設(shè)置密碼、設(shè)置弱密碼或共用密碼，將密碼貼在現(xiàn)場(chǎng)機(jī)器上，這些“便利”往往也為攻擊者的入侵提供了極大的便利。

防病毒軟件：未安裝病毒防護(hù)軟件，未及時(shí)更新病毒庫(kù)，非正版軟件等。

操作系統(tǒng)陳舊性：現(xiàn)在的工廠環(huán)境中，使用越來(lái)越多的計(jì)算機(jī)系統(tǒng)，然而由于工業(yè)控制系統(tǒng)的更新迭代的時(shí)間相比于IT系統(tǒng)要長(zhǎng)很多，使得工業(yè)控制系統(tǒng)中存在大量陳舊的計(jì)算機(jī)系統(tǒng)，如windows xp、windows 2003等操作系統(tǒng)，存在大量可被攻擊利用的高危漏洞。

默認(rèn)配置：許多工廠在安裝設(shè)備時(shí)，使用了默認(rèn)口令、默認(rèn)路徑，開(kāi)啟不必要且不安全的端口和服務(wù)等默認(rèn)配置。

離線設(shè)備管理：對(duì)于離線設(shè)備，往往認(rèn)為是安全的，忽視網(wǎng)絡(luò)安全保護(hù)措施。但隨著企業(yè)數(shù)字化的推進(jìn)或在業(yè)務(wù)需要時(shí)進(jìn)行網(wǎng)絡(luò)連接時(shí)，此類設(shè)備可能會(huì)成為安全體系的短板和缺口。

五、物理防護(hù)

硬件調(diào)試接口：重要控制系統(tǒng)的機(jī)架未上鎖，或暴露在外的調(diào)試接口未有效防護(hù)。

物理端口：未對(duì)IPC等通用接口進(jìn)行有效管理或禁用，如USB、PS/2等外部接口，可能存在設(shè)備未授權(quán)接入風(fēng)險(xiǎn)，導(dǎo)致病毒感染或者程序非法修改。

外部人員訪問(wèn)：人員進(jìn)出車間管控不嚴(yán)，特別是外部人員，如供應(yīng)商等。

盡管如上所述工控系統(tǒng)存在很多安全問(wèn)題，但推進(jìn)制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展進(jìn)程的腳步不能停止，應(yīng)重視蘊(yùn)含的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，做好頂層設(shè)計(jì)，強(qiáng)化統(tǒng)籌協(xié)調(diào)，確保工業(yè)互聯(lián)網(wǎng)安全健康發(fā)展。結(jié)合現(xiàn)階段我國(guó)關(guān)鍵基礎(chǔ)設(shè)施情況,特別是采用國(guó)外工控設(shè)備的重要設(shè)施的高端制造企業(yè)，如何檢測(cè)是否已被攻擊、發(fā)現(xiàn)現(xiàn)有系統(tǒng)存在安全隱患，是企業(yè)首先要解決的心頭之患。

航天大道遵照工信部印發(fā)的《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》，結(jié)合我國(guó)工業(yè)互聯(lián)網(wǎng)的現(xiàn)狀和技術(shù)水平，面向工業(yè)生產(chǎn)運(yùn)行安全這個(gè)現(xiàn)實(shí)重大需求，開(kāi)展可信工控系統(tǒng)基礎(chǔ)技術(shù)研究，建設(shè)“長(zhǎng)征云工業(yè)互聯(lián)網(wǎng)平臺(tái)”，以5G、邊緣計(jì)算、工業(yè)互聯(lián)網(wǎng)等新一代信息化技術(shù)，建立從產(chǎn)線的自主控制、設(shè)備身份與整體運(yùn)行狀態(tài)可信、生產(chǎn)工藝工況的監(jiān)測(cè)、工控系統(tǒng)網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)測(cè)與在線處置等服務(wù)平臺(tái)，通過(guò)典型行業(yè)、典型企業(yè)的示范創(chuàng)新應(yīng)用，建立“面向工業(yè)生產(chǎn)運(yùn)行安全”的工業(yè)互聯(lián)網(wǎng)創(chuàng)新服務(wù)平臺(tái)模板和解決方案，推動(dòng)在工業(yè)企業(yè)中應(yīng)用。

長(zhǎng)征云平臺(tái)以“極簡(jiǎn)、安全、價(jià)值”為宗旨，打造工業(yè)互聯(lián)網(wǎng)平臺(tái)與生態(tài)，以安全生產(chǎn)為行業(yè)應(yīng)用，構(gòu)建安全生產(chǎn)平臺(tái)社區(qū)。深入挖掘安全、自主、可控的軟硬件底層核心能力，在突破“微服務(wù)化的PaaS云平臺(tái)構(gòu)建技術(shù)”、“數(shù)據(jù)挖掘多引擎集成”等關(guān)鍵技術(shù)基礎(chǔ)上，積極開(kāi)展“安全級(jí)自主可控PLC雙核硬解題芯片”、“全國(guó)產(chǎn)化高可靠可信PLC控制器研制技術(shù)”、“面向安全可信工控系統(tǒng)的輕量級(jí)密碼應(yīng)用技術(shù)”、“5G+云邊端一體化安全可信工業(yè)互聯(lián)網(wǎng)架構(gòu)技術(shù)”、“面向工控互聯(lián)的5G+云邊端跨域數(shù)據(jù)協(xié)同安全”等國(guó)產(chǎn)自主核心關(guān)鍵技術(shù)的攻關(guān)。

同時(shí)，基于長(zhǎng)征云平臺(tái)成立的DAO安全技術(shù)實(shí)驗(yàn)室，將聯(lián)合國(guó)內(nèi)安全技術(shù)專家，強(qiáng)化工業(yè)控制系統(tǒng)安全自主可控技術(shù)，立足產(chǎn)品與技術(shù)的自主研發(fā)，從基礎(chǔ)防護(hù)、設(shè)備安全、控制系統(tǒng)安全、數(shù)據(jù)安全等方面，為工業(yè)客戶提供安全、可信的工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)產(chǎn)品和系統(tǒng)解決方案；構(gòu)建工業(yè)互聯(lián)網(wǎng)安全測(cè)評(píng)能力，為客戶提供一站式的評(píng)測(cè)服務(wù)。

未來(lái)，長(zhǎng)征云平臺(tái)將充分發(fā)揮DAO安全技術(shù)實(shí)驗(yàn)室的研發(fā)作用，以科技創(chuàng)新手段使工業(yè)互聯(lián)網(wǎng)更安全，做到“三跟綜、一搭建”。跟蹤國(guó)際工業(yè)互聯(lián)網(wǎng)先進(jìn)技術(shù)，不斷增加國(guó)產(chǎn)自主可控（可信）的軟硬件產(chǎn)品研制能力；跟蹤國(guó)際工業(yè)互聯(lián)網(wǎng)攻擊技術(shù)，具備國(guó)際先進(jìn)的工控安全掃描與評(píng)估能力； 跟蹤國(guó)際工業(yè)互聯(lián)網(wǎng)防護(hù)技術(shù)，構(gòu)建國(guó)際先進(jìn)的工控安全防護(hù)體系；搭建工業(yè)互聯(lián)網(wǎng)安全技術(shù)產(chǎn)學(xué)研合作平臺(tái)，促進(jìn)特種行業(yè)工業(yè)互聯(lián)網(wǎng)安全技術(shù)應(yīng)用落地，進(jìn)一步服務(wù)保障工業(yè)生產(chǎn)運(yùn)行安全。