隨著工業(yè)化與信息化的深度融合，我國進入了工業(yè)轉(zhuǎn)型的快速發(fā)展期，智能制造推動著兩化的不斷融合，導(dǎo)致工業(yè)控制系統(tǒng)的信息安全問題更加突出。近年來生產(chǎn)事故的頻發(fā)，工業(yè)生產(chǎn)運行面臨的安全形勢越來越嚴峻，因此，構(gòu)建工控網(wǎng)絡(luò)防護體系意義重大。

眾所周知，我國基礎(chǔ)設(shè)施和高端制造企業(yè)中存在大量的國外工業(yè)設(shè)備，這些工業(yè)系統(tǒng)在相當(dāng)長的時間內(nèi)還會繼續(xù)使用；同時，由于技術(shù)水平和制造能力的限制，國內(nèi)高端數(shù)控機床、高端發(fā)動機、發(fā)電控制系統(tǒng)，以及高端PLC器件等工控設(shè)備依賴國外發(fā)達國家，這些核心元器件和設(shè)備的內(nèi)部機理和通信協(xié)議往往不被我們掌握，以及自身存在設(shè)計漏洞和被植入后門的問題，造成重要工業(yè)資產(chǎn)和裝備制造信息可能被國外非法收集。

  相關(guān)資料顯示，目前我國的工控系統(tǒng)存在的以下安全問題：

一、組織與人員

未實安全責(zé)任：管理層重視不足，部門間安全職責(zé)不清晰，無明確安全部門或崗位。

安全意識薄弱：員工對工控系統(tǒng)的安全意識相對薄弱，特別是生產(chǎn)或一線員工。傳統(tǒng)型企業(yè)的“隱匿式安全”（security by obscurity），認為嚴格物理安全和訪問管理即可確保安全，認為未發(fā)生安全事件即是安全，這往往使得企業(yè)忽略對網(wǎng)絡(luò)安全的建設(shè)，未能及時補救隱患。

二、管理與監(jiān)督

“經(jīng)驗式”管理：工控系統(tǒng)自身缺乏安全設(shè)計與考量，是很多企業(yè)存在的普遍現(xiàn)象，通過實施適當(dāng)安全保障措施，可以有效彌補。但很多企業(yè)并沒有建立有效的安全策略和措施，僅依靠個人經(jīng)驗和歷史經(jīng)驗進行管理。

應(yīng)急響應(yīng)機制缺失：缺少應(yīng)急響應(yīng)機制，出現(xiàn)突發(fā)事件時無法快速組織人力和部署應(yīng)對措施來控制事件進一步蔓延，并在最短時間內(nèi)解決問題和恢復(fù)生產(chǎn)。

缺少恰當(dāng)?shù)目诹畈呗裕何丛O(shè)置恰當(dāng)?shù)目诹畈呗院凸芾?，如弱口令，共享口令，多臺主機或設(shè)備共用一個口令，以及口令共享給第三方供應(yīng)商等情形，增加密碼泄露風(fēng)險。

缺乏安全審計日志：系統(tǒng)出現(xiàn)安全事件后，無法追蹤和分析事件源頭和原因，以避免類似情形的再次發(fā)生。

三、網(wǎng)絡(luò)與架構(gòu)

“防君子式”網(wǎng)絡(luò)隔離：內(nèi)部辦公網(wǎng)絡(luò)和工廠網(wǎng)絡(luò)缺乏有效隔離，未劃分安全域進行防護，導(dǎo)致辦公網(wǎng)絡(luò)的攻擊或病毒蔓延至工廠網(wǎng)絡(luò)，造成生產(chǎn)影響。

不安全的通訊協(xié)議：工業(yè)控制協(xié)議非標準化，且大多存在安全隱患，例如CAN、DNP3.0、Modbus、IEC60870-5-101。

不安全的遠程訪問：為方便維修工程師和供應(yīng)商的遠程調(diào)試，未對遠程訪問部署安全措施和監(jiān)控，此類遠程訪問功能可能是攻擊者利用率最高的漏洞之一。

復(fù)雜的結(jié)構(gòu)：工控系統(tǒng)的結(jié)構(gòu)相對于IT環(huán)境而言更為復(fù)雜，攻擊面較多。典型的工控環(huán)境一般會有以下組成部件：控制器（PLC、數(shù)控車床、DCS）、SCADA系統(tǒng)、工業(yè)計算機、工業(yè)軟件、HMI、網(wǎng)絡(luò)、交換機、路由器、工業(yè)數(shù)據(jù)庫等，其中任意一個環(huán)節(jié)或者部件出現(xiàn)問題就有可能導(dǎo)致整個工控系統(tǒng)被攻擊。

四、主機與設(shè)備

認證與授權(quán)：為了日常使用方便，重要控制系統(tǒng)未設(shè)置密碼、設(shè)置弱密碼或共用密碼，將密碼貼在現(xiàn)場機器上，這些“便利”往往也為攻擊者的入侵提供了極大的便利。

防病毒軟件：未安裝病毒防護軟件，未及時更新病毒庫，非正版軟件等。

操作系統(tǒng)陳舊性：現(xiàn)在的工廠環(huán)境中，使用越來越多的計算機系統(tǒng)，然而由于工業(yè)控制系統(tǒng)的更新迭代的時間相比于IT系統(tǒng)要長很多，使得工業(yè)控制系統(tǒng)中存在大量陳舊的計算機系統(tǒng)，如windows xp、windows 2003等操作系統(tǒng)，存在大量可被攻擊利用的高危漏洞。

默認配置：許多工廠在安裝設(shè)備時，使用了默認口令、默認路徑，開啟不必要且不安全的端口和服務(wù)等默認配置。

離線設(shè)備管理：對于離線設(shè)備，往往認為是安全的，忽視網(wǎng)絡(luò)安全保護措施。但隨著企業(yè)數(shù)字化的推進或在業(yè)務(wù)需要時進行網(wǎng)絡(luò)連接時，此類設(shè)備可能會成為安全體系的短板和缺口。

五、物理防護

硬件調(diào)試接口：重要控制系統(tǒng)的機架未上鎖，或暴露在外的調(diào)試接口未有效防護。

物理端口：未對IPC等通用接口進行有效管理或禁用，如USB、PS/2等外部接口，可能存在設(shè)備未授權(quán)接入風(fēng)險，導(dǎo)致病毒感染或者程序非法修改。

外部人員訪問：人員進出車間管控不嚴，特別是外部人員，如供應(yīng)商等。

盡管如上所述工控系統(tǒng)存在很多安全問題，但推進制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展進程的腳步不能停止，應(yīng)重視蘊含的網(wǎng)絡(luò)安全風(fēng)險，做好頂層設(shè)計，強化統(tǒng)籌協(xié)調(diào)，確保工業(yè)互聯(lián)網(wǎng)安全健康發(fā)展。結(jié)合現(xiàn)階段我國關(guān)鍵基礎(chǔ)設(shè)施情況,特別是采用國外工控設(shè)備的重要設(shè)施的高端制造企業(yè)，如何檢測是否已被攻擊、發(fā)現(xiàn)現(xiàn)有系統(tǒng)存在安全隱患，是企業(yè)首先要解決的心頭之患。

航天大道遵照工信部印發(fā)的《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》，結(jié)合我國工業(yè)互聯(lián)網(wǎng)的現(xiàn)狀和技術(shù)水平，面向工業(yè)生產(chǎn)運行安全這個現(xiàn)實重大需求，開展可信工控系統(tǒng)基礎(chǔ)技術(shù)研究，建設(shè)“長征云工業(yè)互聯(lián)網(wǎng)平臺”，以5G、邊緣計算、工業(yè)互聯(lián)網(wǎng)等新一代信息化技術(shù)，建立從產(chǎn)線的自主控制、設(shè)備身份與整體運行狀態(tài)可信、生產(chǎn)工藝工況的監(jiān)測、工控系統(tǒng)網(wǎng)絡(luò)安全實時監(jiān)測與在線處置等服務(wù)平臺，通過典型行業(yè)、典型企業(yè)的示范創(chuàng)新應(yīng)用，建立“面向工業(yè)生產(chǎn)運行安全”的工業(yè)互聯(lián)網(wǎng)創(chuàng)新服務(wù)平臺模板和解決方案，推動在工業(yè)企業(yè)中應(yīng)用。

長征云平臺以“極簡、安全、價值”為宗旨，打造工業(yè)互聯(lián)網(wǎng)平臺與生態(tài)，以安全生產(chǎn)為行業(yè)應(yīng)用，構(gòu)建安全生產(chǎn)平臺社區(qū)。深入挖掘安全、自主、可控的軟硬件底層核心能力，在突破“微服務(wù)化的PaaS云平臺構(gòu)建技術(shù)”、“數(shù)據(jù)挖掘多引擎集成”等關(guān)鍵技術(shù)基礎(chǔ)上，積極開展“安全級自主可控PLC雙核硬解題芯片”、“全國產(chǎn)化高可靠可信PLC控制器研制技術(shù)”、“面向安全可信工控系統(tǒng)的輕量級密碼應(yīng)用技術(shù)”、“5G+云邊端一體化安全可信工業(yè)互聯(lián)網(wǎng)架構(gòu)技術(shù)”、“面向工控互聯(lián)的5G+云邊端跨域數(shù)據(jù)協(xié)同安全”等國產(chǎn)自主核心關(guān)鍵技術(shù)的攻關(guān)。

同時，基于長征云平臺成立的DAO安全技術(shù)實驗室，將聯(lián)合國內(nèi)安全技術(shù)專家，強化工業(yè)控制系統(tǒng)安全自主可控技術(shù)，立足產(chǎn)品與技術(shù)的自主研發(fā)，從基礎(chǔ)防護、設(shè)備安全、控制系統(tǒng)安全、數(shù)據(jù)安全等方面，為工業(yè)客戶提供安全、可信的工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)產(chǎn)品和系統(tǒng)解決方案；構(gòu)建工業(yè)互聯(lián)網(wǎng)安全測評能力，為客戶提供一站式的評測服務(wù)。

未來，長征云平臺將充分發(fā)揮DAO安全技術(shù)實驗室的研發(fā)作用，以科技創(chuàng)新手段使工業(yè)互聯(lián)網(wǎng)更安全，做到“三跟綜、一搭建”。跟蹤國際工業(yè)互聯(lián)網(wǎng)先進技術(shù)，不斷增加國產(chǎn)自主可控（可信）的軟硬件產(chǎn)品研制能力；跟蹤國際工業(yè)互聯(lián)網(wǎng)攻擊技術(shù)，具備國際先進的工控安全掃描與評估能力； 跟蹤國際工業(yè)互聯(lián)網(wǎng)防護技術(shù)，構(gòu)建國際先進的工控安全防護體系；搭建工業(yè)互聯(lián)網(wǎng)安全技術(shù)產(chǎn)學(xué)研合作平臺，促進特種行業(yè)工業(yè)互聯(lián)網(wǎng)安全技術(shù)應(yīng)用落地，進一步服務(wù)保障工業(yè)生產(chǎn)運行安全。