當心！95%工業控制系統有漏洞，面臨巨大安全風險

全球近年來發生多起重大工業信息安全事件。

一些組織或個人通過對工業設施和工業系統進行網絡攻擊，謀求達成政治訴求或經濟訴求。

目前，我國絕大多數工業控制系統在沒有防護措施的情況下暴露於網際網路，且含有系統漏洞，能夠輕易被遠程操控，面臨巨大安全風險。

95%工業控制系統含漏洞易受控

半月談記者從國家工業信息安全發展研究中心了解到，目前該中心監測到的我國3000餘個暴露在網際網路上的工業控制系統，95%以上有漏洞，可以輕易被遠程控制，約20%的重要工控系統可被遠程入侵併完全接管。

過去，我國絕大多數工業系統是封閉系統，也稱單機系統，不用考慮聯網情況，現在隨著工業「網際網路+」的推進，IT和OT（操作技術）實現互聯，必然導致一批系統和設施暴露。

「很多系統和設備沒有防護軟體，也不能安裝殺毒系統，一旦上了網就處於『裸奔』狀態。

」一位業內人士告訴記者，通信、能源、水利、電力等關鍵基礎設施存在安全風險，而入侵和控制工控系統也已成為商業上打壓競爭對手的不法手段。

在蘇浙就有消費品加工廠被國外競爭廠家入侵網絡，破壞設備運行，造成生產斷檔。

從全球發展趨勢來看，工業控制系統日益成為黑客攻擊和網絡戰的重點目標。

近年全球重大工業信息安全事件頻發：2010年伊朗核設施遭受「震網病毒」攻擊；2016年美國東海岸大面積斷網；2017年「Wanna Cry」勒索病毒肆虐全球……全球工業網絡安全總體風險持續攀升，呈現高危態勢。

定向攻擊精準性提升迅速。

大量工控系統漏洞、攻擊方法可以通過網際網路等多種公開、半公開渠道獲取，許多技術分析報告給出了網絡攻擊步驟、攻擊代碼甚至攻擊工具等詳細信息，極易被黑客等不法分子利用。

技術手段複雜化、專業化。

針對工控系統的攻擊已從原來一個代碼攻擊一兩種漏洞，進化成一個代碼嵌入數十種底層系統漏洞，絕非一個業餘愛好者能夠實現。

美國網絡武器庫遭泄埋下重大隱患。

維基解密、影子經紀人等黑客組織公開披露了大批網絡攻擊工具和安全漏洞，可被用於入侵感染工控系統，引發高頻次、大規模的網絡攻擊。

例如震驚全球的「Wanna Cry」勒索病毒就利用了影子經紀人披露的美國國安局「永恆之藍」漏洞進行傳播。

在一次網絡攻擊中，中石油等眾多中國工業企業中招。

意識薄弱、技術不足、人才匱乏加劇風險

目前，我國在工業信息安全方面存在安全防護意識薄弱、技術水平偏低、人才匱乏等問題，形勢較為嚴峻。

多地區、部門、工業企業對工控系統信息安全重視不夠，重發展輕安全，漏洞不重視、修復不及時現象普遍存在。

據360補天漏洞響應平台統計，所有工控信息系統漏洞中，25.6%的漏洞未進行修復，一些行業漏洞平均修復時間長達數月之久。

我國對工業信息領域安全的認識還處在初級階段。

2017年5月「Wanna Cry」勒索病毒事件爆發，微軟在當年3月就發布了相應安全漏洞補丁，但我國很多單位一直沒有打補丁，導致近30萬台主機和電腦被感染。

直到目前，360公司還能監測到每天有近千台電腦感染此勒索病毒。

在企業中，因私人行為暴露並感染病毒的情況也較為多見，例如個人通過工控設備違規上網，或是廠商的維護人員電腦感染後造成設備系統全網感染病毒等。

部分工控系統依賴進口，核心產品自主可控度低。

國家工業信息安全產業發展聯盟發布的《2017年工業信息安全態勢白皮書》顯示，國產資料庫僅占據7%的低端市場，數千個工控系統由外國廠商提供運行維護，大量企業不具備自主維護能力，同時缺乏對外國產品和服務的監管。

記者了解到，設備廠商的維保人員對工控系統控制權非常大，在部分企業，工控系統控制室的門禁卡甚至都掌握在外方手中。

防護技術較為落後，人才匱乏，難以與網絡攻擊相抗衡。

國家工業信息安全發展研究中心通過安全監測發現，工業企業信息安全應急備災手段不足，約70%的被調查工業企業缺少完善應災備災體系。

公共信息安全人才是自動化和網絡安全人才的複合型人才，缺口巨大，在高校中沒有工業控制領域的碩士、博士培養方向，工業信息安全從業人員幾乎都是在實戰中學習。

如何擰緊工業網絡「安全閥」

針對工業安全領域複雜多變的挑戰，須從政策制度、技術產品研發、人才培養等方面著力，進一步開展工業網際網路安全建設，構建安全保障體系。

強化網絡安全漏洞管理，降低被攻擊風險。

360集團董事長兼CEO周鴻禕認為，應建立漏洞管理全流程監督處罰制度，制定覆蓋網絡安全漏洞的發現、審核、披露、通報、修復、追責等全流程管理細則，強制要求漏洞必須及時修復，對漏洞修復時間以及違規處罰措施予以明確規定。

此外，應建立監督檢查機制和力量，及時發現未及時修復漏洞的行為，追究相關單位和責任人責任。

研究制定新一代信息技術在工業領域應用的安全架構，儘快突破一批工業信息安全關鍵核心技術，重點發展一批高端產品，形成具有市場競爭力的產品體系。

我國現有工業信息安全產業（包括產品、技術、服務等）占整個IT行業的比重不足2%，遠低於歐美已開發國家近10%的水平。

只有做強自主可控的工控系統相關行業，才能夠在安全問題上有話語權。

支持相關教育培訓機構，開展網絡安全學科聯合建設，將網絡安全納入職業技能鑑定體系，培養一支門類齊全、技術精湛的專業人才隊伍。

網絡安全的本質在攻防兩端能力的較量。

在我國巨大的網絡安全人才缺口中，90%以上是防禦型人才。

與進攻型、研究型人才不同，防禦型人才可以通過職業培訓形式大批量培養，依靠社會力量開展職業教育，可以在短期內彌補網絡安全人才缺口。