工业信息安全存隐患 企业发展迎契机

      工业控制系统面临的信息安全问题正日益严重。为保证能源和基础设施行业控制系统的安全稳定运行，需要建立有针对性的安全防护体系，创建“本质安全”的工业控制网。在8月8日由gongkong联合工信部举行的工业信息安全用户高峰论坛上，参会者与嘉宾就目前我国工业信息安全存在的问题及发展趋势进行了探讨。     

      近期“棱镜门”的持续发酵，正使得社会上下对网络信息安全的问题高度关注。实际上，不仅仅在传统的公用互联网领域，由于关注度不够和前期起步阶段存在种种客观问题，工业信息安全相对于传统互联网领域存有更大的隐患。

      分析人士指出，工业控制系统面临的信息安全问题正日益严重。为保证能源和基础设施行业控制系统的安全稳定运行，需要建立有针对性的安全防护体系，创建“本质安全”的工业控制网。
      在8月8日举行的工业信息安全用户高峰论坛上，参会者认为，工控信息安全产业的相关政策参考仍来自于工信部2011年的451号文，不排除未来政策再度加码的可能，进口替代将是主推相关行业增长的主要逻辑。

系统软硬件存隐患

      不可否认，信息技术的迅猛发展正令我国的工业生产效率大幅提高，特别是互联网技术的出现，使得工业控制网络和企业管理网的联系越来越紧密。但另一方面，传统工业控制系统采用专用的硬件、软件和通信协议，设计上基本没有考虑过通信安全问题。因此，在工控系统开放的同时，安全隐患问题日益严峻。系统中任何一点受到攻击，都有可能导致整个系统的瘫痪。目前，我国如石油、电力、水利等命脉部门均有各自的工业控制系统，若受到黑客攻击，后果不堪设想。
　　分析人士认为，当前我国工控系统有两大隐患较为突出：首先是通信协议和OS(操作系统)的安全问题。当前工业化、信息化深度融合，TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中，通信协议漏洞问题日益突出。另外，目前我国工业控制软件系统的OS多采用windows平台，为了维持系统的稳定性，工程师在系统开车后一般不会再进行update更新，这同样给安全问题埋下炸弹。
　　在中游，安全策略和杀毒软件同样存有漏洞。近期一篇产业研究报告透露，我国工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用，存在不严格的访问控制策略。为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件。而且，和OS一样，为了维持系统的稳定，病毒库系统也长期不更新。
　　下游的应用软件层面，也应该形成统一的防护规范，以应对安全问题。当应用软件面向网络应用时，就必须开放其端口，攻击者很有可能会利用一些大型工程自动化软件的安全漏洞，较容易地获取诸如污水处理厂、天然气管道以及其他大型设备的控制权。
　　在2013工业信息安全用户高峰论坛上，参会者指出，目前我国许多企业在信息安全的人才结构方面也不够合理，许多企业的工控工程师不懂信息安全，软件工程师不懂工控系统，使得目前许多企业在内部的协调上不够默契。

自力更生 进口替代

　　目前我国工控系统信息安全的政策主要来自于工信部2011年451号文(《关于加强工业控制系统信息安全管理的通知》 )。451号文明确，重点加强核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统信息安全管理，落实安全管理要求。
　　事实上，国外工控信息安全事故已有先例。据媒体报道，美国政府曾下令通过蠕虫病毒“震网”，对伊朗主要铀浓缩设施的计算机系统展开日益复杂的网络攻击，导致伊朗用来浓缩铀的5000台离心机中的1000台瘫痪。
　　gongkong市场研究分析认为，未来三年，国内信息安全有望保持15%的增长率。