自2010年伊朗震网事件爆发后，针对工业控制系统的定向攻击，震撼了整个世界；2015年乌克兰停电事件，再次表现了工业控制系统被恶意攻击所带来的严重后果。

我国于2011年的工信部451号文发布开始，官方正式定义了工业控制系统信息安全的概念、范围和重要程度。随后，能源局明确了电力监控系统安全防护的36号文，作为电力行业工业控制系统信息安全的指导性文件；工业和信息化部，在2016年和2017年，围绕工业控制系统信息安全工作，分别发布的《工业控制系统信息安全防护指南》、《 工业控制系统信息安全防护能力评估工作管理办法》，特别是2017年发布的《工业控制系统信息安全行动计划（2018-2020）》，非常清晰地阐述了工信部在未来3年在工业控制系统信息安全方面的详细工作计划。

在“没有网络安全，就没有国家安全”的大前提下，工业企业已经意识到了工业控制系统信息安全的重要性。正在或者计划加大力度，完善提高工控安全技术和管理水平。但企业会发现，在工业化和信息化深度融合的背景下，工业生产环境和信息环境的不断交集，即使区域边界明确，数据交换已经不可避免地为工业控制系统安全建设带来了难度，因此，在未来的一段时间内，工业控制系统信息安全的发展呈现出以下几个特点：

1　工控安全事件存在大量爆发的可能性

自2010年伊朗的“震网事件”和2015年乌克兰停电事件爆发后，针对工业控制系统及相关辅助系统的信息安全研究不断高涨及持续。系统脆弱性及漏洞的发现，实际是在不断增加；同时，工业控制系统在未完全建立安全体系就互联互通的现状，也降低了黑客对其系统架构、信息流向研究的门槛。工控系统不再是神秘的。SHADON搜索引擎，就可以根据工控系统的指纹特性到全球网络去扫描，以发现目标系统进行研究。因此，现在针对工控系统的信息安全研究和信息收集的技术难度在降低、技术手段在不断丰富，同时工业企业的安全建设投入持续性不够好，这使安全风险增大，导致工控安全事件爆发概率逐渐提升。

2　政府监管力度持续加

工控安全不等于关键信息基础设施安全，但很多关键信息基础设施的核心，确实是工业控制系统。因此，针对工控安全的政府监管和行业指导，也成为了工信部未来三年的工作重点之一，再加上网信办发布的《关键信息基础设施保护条例》、基于《网络安全法》公安的执法，工控安全一定会成为重点监管的领域和对象。
联防联动的工作机制，已经确立了我国工控安全的具体监管机制，“一网一库三平台”技术支撑体系的建立，也有效地支持了工业企业以及相关领域、行业主管部门的信息收集和工作决策。同时，全国范围的应急资源库，也成为了保障工控安全事件爆发后的有效应对手段，降低了安全事件带来的损失。

3　工业控制系统信息安全行业属性突出

工业领域十分广阔，包括能源、交通、冶金、食品加工、机械制造等多个行业和领域，每个行业和领域的生产工艺、供应链特点，都具有明显的差异；即使是同一品牌、同一型号的控制系统，在不同领域、行业、甚至企业，都会有不同的应用特点。统一的安全体系及制度，统一的技术标准和方案，无法解决企业的安全问题。因此，在不断加强安全建设中，如何与企业、行业的业务特点相结合，形成有效的业务安全建设的最佳实践，是工控安全的发展方向之一。

4　以业务数据为核心的安全体系建立

新一代信息技术的大量应用，包括工业领域新技术的不断快速迭代，大数据、工业云等技术的不断试水，工业企业更加强调了高效、低耗、业务联动的特点，端到端的定制化需求要求信息流要快速而准确。而信息流中的业务内容、强调时效性的数据表达了客户需求、产品特点、原材料物流、生产排班、定制生产、产品配送等关键信息，这些信息所表达的数据形式、内容的关键程度较为重要。数据的准确度、时效性以及认证程度等，防篡改、防抖动的需求是极为迫切的，因为，生产的输入和输出，完全基于数据的信息流的完整程度和准确程度。因此，结合工业工艺的业务数据，同时也包括基于工业企业资产的数据，就成为工业企业安全体系建立的核心，也是技术和管理双向保障企业安全的基础。

5　由重边界防护向全流程监管方向发展

工业生产环境，大部分还是处于隔离的状态，即互联互通的需求存在，也是需要在边界建立强保护措施，例如电力的生产控制大区和管理信息大区的单向隔离要求达到或者接近物理隔离的水平、石化行业的数采网和信息网同样增加了网闸进行隔离。这种措施确实是可以有效保障安全威胁因缺少边界防护而从办公信息网渗透到生产网络环境中，但也同时形成了企业人员认为隔离即是安全的固定思维，再加上生产环境中的针对信息安全的保障制度和保障措施的执行缺失，工业控制系统带“病”工作的现象极为普遍。企业为保障生产任务，又不能彻底解决安全问题，周而复始积累了大量的安全隐患。因此，从政府及行业监管和企业自身安全需求的双向驱动下，企业安全建设不会再停留在只重边界防护建设的思想之上，同时工控安全防内大于防外的认识会不断完善，风险管理的体系会逐渐形成，企业的全流程安全监管成为主要的保障措施。

6　基础组件的先天缺陷催生工控本体安全的建设

最近几年针对计算机系统的组件暴露的漏洞日益增多，最近Intel、AMD和ARM的CPU的两个新的侧信道攻击漏洞“Spectre”和“Meltdown”被爆出，虽然相关公司已经提供了固件和软件更新，但专家们认为自1995年以来几乎所有的英特尔处理器都受到影响。相关公司，如微软、谷歌、红帽、VMware等开始发布软件更新和解决方案来解决漏洞。看似全球的科技公司都在为相关漏洞积极寻找解决办法，但是对于我国工业企业，控制系统的工程师站和操作员站以及嵌入式设备大量使用基于Intel、AMD、ARM的CPU，同时却无法针对此问题进行有效的固件和软件更新，所带来的风险是无法预估和防御的。因此，工业控制系统本体安全的研究和工程化，成为解决工控安全架构安全的途径和方式之一。

7　由强调静态安全产品建设向服务+产品的动态保障转变

从信息安全发展角度来看，解决系统的架构安全、建立被动防御体系、形成积极防御力量，再到基于威胁情报的保障体系，需要逐步完善。但在工控安全领域，面临的问题往往是架构安全、被动防御、积极防御和威胁情报需要并行发展、完善和工程化。因此，在企业逐渐认识到安全是相对的、动态的和持续投入的，单纯的、静态的安全防护体系不是一条有效的解决途径后，会提出基于业务安全的持续性安全保障措施——安全运营。安全运营，是在与业务紧密贴合的前提下，承认工控系统架构安全的脆弱性，建立纵深防御后，采取数据采集、监控和应急处置的联动方式，快速、及时地保障生产安全。采取的方式是安全运营人员+产品工具+安全数据分析+闭环管控的动态保障模式，就会形成安全防护产品建设、安全运营体系、应急保障体系的联动机制，更加贴近企业的实际情况，更有效地保障工控安全。

综上所述，工控安全，将会打破现有的技术形态和管理体系，在面对工控安全的极大脆弱性，可能爆发大量安全事件的情况下，通过持续的监管工作机制，基于企业的业务特点，建立数据资产为核心的安全保障技术体系，通过安全产品+运营服务的动态模式保障工控安全，同时，加大工控系统本体安全的研究和工程化，从架构安全、被动防御、积极防御到威胁情报，整体建设、完善工控安全保障体系，是未来工控安全的发展方向。

作者简介：

李航，男，高级工程师，高级测评师，硕士研究生，现任360企业安全集团安全服务工控安全总监，曾参加两会、G20峰会、十九大等安全保障工作，是G20峰会安全保障专家组专家成员。主要研究方向为计算机控制技术和工业信息安全。

摘自《自动化博览》2018年5月刊