近9年多时间里，我国

在实施工控系统网络安全各项工作的同时，

也遇到了与互联网安全、信息系统安全

完全不同的困难和挑战，仍很严峻……

2010年，伊朗发生了震惊世人的“震网”（Stuxnet）事件，“震网”计算机病毒攻击了伊朗纳坦兹铀浓缩基地和布什尔核电站使用的西门子PCS7控制系统，破坏了大量铀浓缩离心机和布什尔核电站发电机组，导致伊朗核计划至少被延迟2年。

事件表明，网络空间的安全威胁已从传统的互联网、计算机等虚拟空间迅速延伸扩展至物理世界的工业控制系统。即“计算机病毒”可以在不破坏工控系统本身的情况下，通过操控工业控制系统，引发生产中断、管道泄漏、环境污染、装备损毁，甚至可以引发灾难事故，导致社会动荡，国家安全就会受到极大威胁。工控系统已成为网络空间安全越来越重要的新战场。人们为区别于传统虚拟空间的病毒，把“震网”称为“超级巡航导弹”、“软件原子弹”，等等。

自“震网”事件之后，针对工控系统攻击的这种“软件原子弹”威胁越来越多、离我们也越来越近，甚至原先我们认为物理隔离的工控系统也未能幸免：

自2010年震网事件发生后，我国从中央、各级部门，到各大企业对工业控制系统网络安全给予了前所未有的高度重视:

由此可见，我国已建立起了覆盖从国家层面、法律、职能机构再到科研、标准、产业和企业等所有层面的工控安全体系，足见对工控安全的重视程度。

当前，随着“两化融合”的不断深入，我国电力系统、石油炼化、水利、城市与轨道交通、输油管线、国防装备、以及其他公用工程仍在大量使用的国外控制系统，很难做到与互联网物理隔离；工控系统的维护、维修也仍然由这些工控系统的生产厂商所承担，因此面临的安全形势依然严峻：

➥来自网络的远程攻击，如通过互联网、企业内部网、无线网，黑客和攻击者就可以远程对工控系统实施攻击；

➥通过移动介质的带入攻击，如移动硬盘、U盘、光盘、移动终端等；

➥预埋代码的潜伏式攻击，典型的途径有工程实施时的预埋、通过备品备件的预埋、通过维修维护带入的预埋。

从技术上看，工控系统所面临的网络安全威胁来自于两个方面：一个是传统的网络安全威胁，即利用操作系统、应用软件的漏洞发起的攻击威胁。这类威胁主要是针对计算机所使用的计算机操作系统和应用软件（如办公软件、网站软件等）的漏洞，获取计算机操作权限，或窃取隐私或敏感信息。

另一个更重要的安全威胁来源于对工控系统及其所控制的生产装置、生产工艺非常熟悉的有组织的攻击。从公开的资料可以发现，“震网”虽然利用了操作系统的漏洞，但这些漏洞只是被用于“震网”代码的传播，其核心代码却是利用了西门子PCS7控制系统和核设施的特性，而发起恶意操控，同时向操作人员界面软件发送欺骗数据。

由此可见，针对工控系统核心部件攻击的“黑客”除了要具有一般的计算机操作系统和软件知识外，更利用了工控系统本身的软件硬件特性和通信协议、操作指令和基础设施生产装置的弱点，导致一般的互联网安全技术人员难以发现，即具有“高专业性、高隐蔽性、高复杂性、难以被发现、难以被跟踪”（即“三高两难”）特性。

从2010年的“震网”事件至今的近9年多时间里，我国在实施工控系统网络安全各项工作的同时，也遇到了与互联网安全、信息系统安全完全不同的困难和挑战，主要表现为以下几个方面：

►对工控安全理解，更多还停留在互联网安全和协议层面

与互联网系统、信息系统相比，工控系统大多是由传感器、控制装置、执行机构等多环节构成的闭环系统，其监控软件也是供操作员进行工况监视和简单的操作，工控协议用于传输生产过程中的数据。因此，工控系统的网络安全需要从以上所有要素以及生产装置本身进行综合的考虑。

►对工控安全恶意代码攻击原理和机制的了解有限

如今，各种公开报道、微博等各种社交媒体文件，以及许多文章、报告对工控安全事件的报道较多、技术性分析较少；对工控安全网络部分威胁的渲染较多，对工控内部的威胁分析较少；对操作系统“漏洞”介绍较多，对工控系统自身软硬件漏洞分析较少；对操作系统、邮件等的漏洞利用介绍较多，对于工控恶意代码“长什么样，什么时候来，什么时候触发，如何触发，什么时候离开”等技术问题，研究较少，导致工控安全工作的开展难以深入。

►当前工控安全防护措施和产品的有效性有待检验

当前，无论是针对工控系统的安全等级保护测评、安全评估、安全检测、安全检查，还是各种工控安全产品，虽然形式多样，但其有效性还远未得到用户的认可，尤其是针对工控系统终端设备面临的安全威胁，“对错了症、下错了药”的问题至今还未真正得到解决。

►工控安全的标准难以在工控系统终端落地

当前，关于工控安全的标准已有很多，如IEC 62443国际标准（美国国际自动化协会ISA的ISA 99）、美国NIST发布的SP-800.53，以及我国的等保2.0标准GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》等。但在实施过程中，面对运行中的工控系统（尤其是其核心部件的控制器）时，还会遇到“碰不得、摸不得”的尴尬。

►工控安全的实施难以得到工控设备生产厂商的配合

工控系统不同于互联网系统、信息系统，不仅要保证生产过程按工艺设计要求运行在预定的工况，同时还要避免安全事故的发生。换言之，工控系统的生产厂商、集成厂商不仅要对生产过程的连续性、可靠性负责，还需要对生产的安全负责。这是传统信息安全厂商和安全产品难以做到的。

如上所述，工控系统的网络安全需要围绕控制系统本身与生产装置安全开展，在实践中，要注意避免以下几个误区：

 过于强调基于漏洞扫描的安全防护 

如前所述，工控系统设计开发工程师关注的是如何使产品更可靠、可用性更高，所开发的控制算法如何使被控对象更稳定、对外界干扰的鲁棒性更高，对网络安全关注较少，因此其软件、硬件都存在着这样或那样的漏洞。

然而，目前市场流通的漏洞扫描产品仅仅能发现引发工控系统溢出、宕机的漏洞，而像“震网”、Industroyer、TRITON那样所能利用的漏洞，通过传统的手段还难以发现。

 过于强调补丁升级管理 

众所周知，由于工控系统的软件硬件之间的耦合非常紧密，使用了大量非私有的协议、技术和功能模块，一旦没有经过严格测试而给系统打补丁或者版本更新，轻则导致蓝屏、重则导致这些组态监控软件不再可用；而工控系统的重启是一个极其复杂的过程，一旦不慎，极易导致生产中断、或因生产设备工艺不匹配而导致装置损毁。

因此，对于一些重要、尤其是核心基础设施的工控系统，打补丁、软件版本更新必须慎之又慎！

 过于依赖工控系统的隔离安全 

如前所述，随着“两化融合”的不断推进，生产系统与管理系统的互联已经成为工控系统的基本架构，与外界完全隔离几乎不可能。另外，维护用的移动设备或移动电脑、备品备件，都可能成为代码带入的工具。“震网”据说就是利用U盘带入的。

 过于高估工业防火墙等传统防护产品作用 

从目前工控系统的实际来看，工控系统除了它支持的私有协议和公开专用协议之外，其他所有的协议都会被过滤，不会被处理。换言之，工控系统一般都具备了一般防火墙的能力。从这个意义上看，目前市场上所谓的工业防火墙，也仅仅起到应付检查的自我安慰作用。

 过于依赖单向通信隔离装置 

如上所述，针对工控系统的攻击途径有多种，有通过网络远程实施的，有通过无线接入的，更有通过移动介质、工程实施与维保预埋、备品备件预埋等途径，单向通信隔离装置也只能起到一部分作用。

从具体实践来讲，对工控系统的网络安全防护和保护需要从以下几个层面综合考虑：

第一层，对工控系统的网络安全防护和保护，需要覆盖工控系统软件、硬件和网络等所有部件。

第二层，对工控系统的网络安全防护和保护，需要结合生产工艺与操作流程而开展。

第三层，针对工控系统的网络安全防护和保护，还必须覆盖工控系统的设计、生产、调试、工程实施、维修、运行维护等全生命周期的所有环节。

工控系统的网络安全防护和保护是一个极其复杂的系统工程，需要回归控制系统的初心、回归控制系统的本质，从工控系统的软件、硬件、网络以及生产工艺、生产流程、生产装置等多方面同时着手，才能真正有效的对国家重要基础设施安全进行保护。