“工業(yè)控制系統(tǒng)是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施長(zhǎng)期、安全、穩(wěn)定運(yùn)行的核心。工控系統(tǒng)一旦出現(xiàn)問題，可能會(huì)導(dǎo)致系統(tǒng)變慢而造成死機(jī)，一些關(guān)鍵的數(shù)據(jù)、配方、控制程序遭遇竊取和清除，嚴(yán)重可能會(huì)使生產(chǎn)設(shè)備失控、生產(chǎn)停止、財(cái)產(chǎn)損失、人員傷亡和環(huán)境污染，更嚴(yán)重的情況會(huì)破壞國(guó)防軍工、能源、交通、水利等國(guó)家基礎(chǔ)設(shè)施，危急國(guó)家和人民的生活，影響社會(huì)的長(zhǎng)治久安。” 中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所副總工程師吳云峰先生在CITE2021工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會(huì)上表示。

中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所副總工程師 吳云峰先生

工業(yè)控制系統(tǒng)運(yùn)用控制理論、儀器儀表、計(jì)算機(jī)和其它信息技術(shù)，實(shí)現(xiàn)對(duì)工業(yè)過程檢測(cè)、控制、優(yōu)化、調(diào)度、管理和決策，達(dá)到增加產(chǎn)量、提高質(zhì)量、降低消耗、確保安全等目的。

工控安全事件危及國(guó)家安全和社會(huì)長(zhǎng)治久安。2018年4月，習(xí)近平總書記在全國(guó)網(wǎng)絡(luò)安全與信息化工作會(huì)議上發(fā)表講話：“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，就沒有經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，廣大人民群眾也難以得到保障?！?/p>

如今公共安全已經(jīng)成為國(guó)家安全戰(zhàn)略的重要組成部分。近幾年網(wǎng)絡(luò)安全相關(guān)的國(guó)家政策以及法規(guī)政策都強(qiáng)調(diào)了工控安全的重要性。如：2016年11月發(fā)布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，2017年12月發(fā)布了《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃 》，2018年5月發(fā)布了《工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃（2019-2020）》，2019年12月 “網(wǎng)絡(luò)安全等保2.0標(biāo)準(zhǔn)”正式實(shí)施，2020年03月發(fā)布了《關(guān)于推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》……                    

我國(guó)工業(yè)控制系統(tǒng)安全現(xiàn)狀

工控安全關(guān)乎國(guó)家的國(guó)防安全、經(jīng)濟(jì)安全、社會(huì)安全，是制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略建設(shè)的堅(jiān)實(shí)基礎(chǔ)。目前我國(guó)的工控系統(tǒng)存在嚴(yán)重的風(fēng)險(xiǎn)和隱患，吳云峰主要從四個(gè)方面進(jìn)行了介紹：

第一，工控系統(tǒng)目前大部分采用國(guó)外的產(chǎn)品，不掌握核心技術(shù)，受制于人是最大的隱患。

第二，隨著工業(yè)互聯(lián)網(wǎng)的推進(jìn)，工控系統(tǒng)由傳統(tǒng)的封閉模式走向開放，引入了安全風(fēng)險(xiǎn)。在工控系統(tǒng)的設(shè)計(jì)上，傳統(tǒng)的設(shè)計(jì)一般都不會(huì)考慮信息安全相關(guān)的方案，并且工控系統(tǒng)在各個(gè)行業(yè)形態(tài)各異，協(xié)議多樣，功能也是各有不同，因而工控系統(tǒng)的安全需求也是千差萬別。

第三，在工控系統(tǒng)存在的后門與漏洞缺乏有效的安全檢測(cè)手段，且內(nèi)外部異常行為也難以及時(shí)發(fā)現(xiàn)。

第四，工控系統(tǒng)里面存在著安全風(fēng)險(xiǎn)，但是一些新技術(shù)（如自主、安全、可信的技術(shù)）缺少高擬合、高仿真工控環(huán)境驗(yàn)證，難以評(píng)估其在工控系統(tǒng)的應(yīng)用效果。此外，工控系統(tǒng)里存在的漏洞修復(fù)缺少評(píng)估和驗(yàn)證環(huán)境，不敢升級(jí)，工控系統(tǒng)長(zhǎng)期帶病運(yùn)行。

近幾年工控系統(tǒng)安全事件

可以看出工業(yè)控制系統(tǒng)日益成為網(wǎng)絡(luò)對(duì)抗的重要目標(biāo)。工業(yè)病毒演化成網(wǎng)絡(luò)武器，可進(jìn)行戰(zhàn)略情報(bào)采集、滲透潛伏、精確打擊，可以直接破壞工業(yè)網(wǎng)絡(luò)核心基礎(chǔ)設(shè)施，是國(guó)家、組織間的對(duì)抗工具，政治、軍事外的博弈手段！

目前國(guó)內(nèi)的一些高端裝備（如機(jī)床、發(fā)電設(shè)備、機(jī)器人等）嚴(yán)重依賴于國(guó)外品牌；在工控系統(tǒng)里90%PLC、65%的操作員站為國(guó)外產(chǎn)品；并且因部分客戶需要廠商遠(yuǎn)程維護(hù)，設(shè)備留有遠(yuǎn)程訪問端口，存在很多未知的設(shè)備“后門”，存在訪問控制和拒絕服務(wù)等風(fēng)險(xiǎn)。

工控系統(tǒng)里面涉及到一些核心技術(shù)，如核心處理器、嵌入式的作系統(tǒng)、桌面系統(tǒng)、數(shù)據(jù)庫、編譯工具、總線、傳感器技術(shù)等，核心設(shè)備包括服務(wù)器、工業(yè)計(jì)算機(jī)，到網(wǎng)絡(luò)設(shè)備DCS、PLC、工業(yè)軟件、變頻器伺服和工業(yè)機(jī)器人等。核心技術(shù)產(chǎn)品主要掌握在美德日法等西方國(guó)家，我國(guó)工控領(lǐng)域處于被國(guó)外壟斷市場(chǎng)的狀態(tài)。

另外，工控系統(tǒng)由封閉走向開放，對(duì)傳統(tǒng)的工控系統(tǒng)安全造成了一定威脅。當(dāng)前工控安全主要依靠物理隔離，但云端協(xié)作要求工控走向開放，物理隔離的安全邊界一旦打開，面臨諸多威脅，而當(dāng)前仍缺乏支持云端協(xié)作的整套安全技術(shù)。

近幾年工業(yè)信息安全漏洞數(shù)量連年呈現(xiàn)高發(fā)態(tài)勢(shì)，半數(shù)以上的工控安全漏洞均為高危漏洞，披露的漏洞類型呈現(xiàn)多樣化特征，工控漏洞廣泛分布在能源、制造、水務(wù)、市政等重點(diǎn)領(lǐng)域，工業(yè)對(duì)實(shí)時(shí)性、功能性、可靠性的要求導(dǎo)致工控漏洞的修復(fù)進(jìn)度非常遲緩。

工業(yè)控制系統(tǒng)安全體系思考

吳云峰以一個(gè)典型的工控系統(tǒng)架構(gòu)為例，分析工控安全需求。

政策方面，近幾年有《網(wǎng)絡(luò)安全法》、《等保2.0》、《密碼法》、“信創(chuàng)”要求和《關(guān)基保護(hù)條例》的要求，對(duì)關(guān)基保護(hù)服務(wù)、安全防護(hù)、自主核心產(chǎn)品以及安全訓(xùn)練平臺(tái)等方面提出了需求，最后實(shí)現(xiàn)可發(fā)現(xiàn)、可防范、可替代、可驗(yàn)證的目標(biāo)。

針對(duì)這個(gè)需求，電子六所提出構(gòu)建多層次工控安全保障體系。

電子六所以國(guó)家安全戰(zhàn)略為牽引，提出基于安全訓(xùn)練平臺(tái)、自主核心產(chǎn)品、深度安全防護(hù)和關(guān)基保護(hù)服務(wù)四層結(jié)構(gòu)模型的公共安全保障體系，實(shí)現(xiàn)全方位提升國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的防控能力，實(shí)現(xiàn)關(guān)后門、堵漏洞、防斷供的目標(biāo)。

·自主核心產(chǎn)品體系

打造全方位、立體式覆蓋和應(yīng)用的自主核心產(chǎn)品體系，持續(xù)推進(jìn)工業(yè)控制系統(tǒng)核心技術(shù)自主創(chuàng)新，以國(guó)家基礎(chǔ)設(shè)施自主化建設(shè)為牽引，帶動(dòng)工控產(chǎn)業(yè)高質(zhì)量發(fā)展。

·深度安全防護(hù)體系

打造工廠內(nèi)外的一體化深度防護(hù)體系，覆蓋設(shè)備、控制、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用、管理、安全等方面。

·安全試驗(yàn)驗(yàn)證平臺(tái)

通過虛實(shí)互聯(lián)技術(shù)，基于真實(shí)工控行業(yè)場(chǎng)景和虛擬通用資源，構(gòu)建涵蓋現(xiàn)場(chǎng)設(shè)備、控制器、過程監(jiān)控、生產(chǎn)管理、典型工控業(yè)務(wù)的仿真平臺(tái)，具備工控網(wǎng)絡(luò)安全評(píng)估、工控及安全產(chǎn)品測(cè)試、安全攻防能力和運(yùn)營(yíng)維護(hù)能力。

·多維工控安全服務(wù)體系

打造多維工控安全服務(wù)體系，提供工控系統(tǒng)測(cè)評(píng)、安全認(rèn)證、產(chǎn)品測(cè)試、咨詢培訓(xùn)等安全服務(wù)。在各項(xiàng)業(yè)務(wù)環(huán)節(jié)中融入在工控安全領(lǐng)域的技術(shù)積累和安全產(chǎn)品，依托專業(yè)化團(tuán)隊(duì)為監(jiān)管機(jī)構(gòu)和行業(yè)用戶提供國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)服務(wù)支撐。

電子六所構(gòu)建工業(yè)控制系統(tǒng)核心技術(shù)完整體系

電子六所成立于1965年，是我國(guó)信息產(chǎn)業(yè)領(lǐng)域從事電子技術(shù)應(yīng)用系統(tǒng)研究、開發(fā)的重點(diǎn)科研院所之一，是中國(guó)電子旗下唯一的一個(gè)研究所、事業(yè)單位，也是中國(guó)電子工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的牽頭單位，建有工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室，長(zhǎng)期致力于工控安全技術(shù)研究，包括關(guān)鍵基礎(chǔ)設(shè)施行業(yè)工業(yè)控制系統(tǒng)應(yīng)用研究，國(guó)內(nèi)外主流工業(yè)控制系統(tǒng)產(chǎn)品研究及工業(yè)網(wǎng)絡(luò)漏洞挖掘與研究，以及工業(yè)網(wǎng)絡(luò)測(cè)繪技術(shù)、攻擊技術(shù)、滲透技術(shù)研究，工控安全主動(dòng)防御技術(shù)、保障體系研究，關(guān)鍵基礎(chǔ)設(shè)施行業(yè)工業(yè)網(wǎng)絡(luò)攻防試驗(yàn)平臺(tái)研究等。

電子六所堅(jiān)持自主創(chuàng)新，持續(xù)攻關(guān)工業(yè)控制系統(tǒng)核心技術(shù)，在工業(yè)控制的安全技術(shù)和相關(guān)總線技術(shù)等方面都有突破，構(gòu)建了自主化的技術(shù)體系，完善技術(shù)生態(tài)鏈。

戰(zhàn)略需求牽引，打造“超御”系列工控產(chǎn)品體系?；赑KS自主可信技術(shù)，面向國(guó)防軍工、電力、冶金、石化、化工、水利、離散制造、數(shù)字城市等重點(diǎn)行業(yè)，實(shí)現(xiàn)了自主創(chuàng)新本質(zhì)安全、安全可信過程安全、失效可用功能安全、專用定制產(chǎn)業(yè)安全的發(fā)展目標(biāo)，解決產(chǎn)業(yè)發(fā)展痛點(diǎn)。

電子六所自主研發(fā)的安全系列化PLC涵蓋大型、中型和小型設(shè)備。所有PLC從硬件的芯片級(jí)、元器件級(jí)到操作系統(tǒng)，再到整個(gè)工業(yè)軟件，都實(shí)現(xiàn)了全過程化的解決方案。并且在傳統(tǒng)的控制系統(tǒng)里內(nèi)置了國(guó)產(chǎn)密碼、可信計(jì)算等信息安全防護(hù)機(jī)制，在國(guó)防軍工和重點(diǎn)基礎(chǔ)設(shè)施領(lǐng)域都有相應(yīng)的應(yīng)用。

“電子六所開發(fā)的一系列工控系統(tǒng)防護(hù)產(chǎn)品體系包括安全檢測(cè)類、安全防護(hù)類和安全審計(jì)類。所有產(chǎn)品都是基于工控系統(tǒng)協(xié)議的深度分析，適用于工控系統(tǒng)協(xié)議類的安全產(chǎn)品，我們的工控安全防護(hù)產(chǎn)品已經(jīng)各行業(yè)廣泛運(yùn)用?！?吳云峰介紹道。

工控安防產(chǎn)品系列在城市軌道交通行業(yè)的應(yīng)用案例

在工控系統(tǒng)實(shí)驗(yàn)驗(yàn)證平臺(tái)上，電子六所研發(fā)了基于面向關(guān)鍵基礎(chǔ)設(shè)施仿真的仿真平臺(tái)、面向新技術(shù)測(cè)試的測(cè)試平臺(tái)、面向多方攻防演練的演練平臺(tái)，以及面向網(wǎng)絡(luò)安全培訓(xùn)教學(xué)的教學(xué)平臺(tái)。這些平臺(tái)有三個(gè)特點(diǎn)：貼近于真實(shí)的環(huán)境構(gòu)建、業(yè)務(wù)流程全面細(xì)致、豐富清晰的態(tài)勢(shì)展示。

在關(guān)基防護(hù)服務(wù)方面，可以提供安全評(píng)估、安全培訓(xùn)、安全咨詢、滲透測(cè)試、測(cè)試認(rèn)證，以及網(wǎng)絡(luò)安保服務(wù)。據(jù)吳云峰介紹，2016至2020年，電子六所總計(jì)完成16省近400套工控系統(tǒng)安全測(cè)評(píng)及咨詢服務(wù)工作，主要服務(wù)工業(yè)企業(yè)近百家，服務(wù)行業(yè)包括電力、核電、軌道交通、石油石化等，涉及產(chǎn)品覆蓋國(guó)內(nèi)外主流的產(chǎn)品及系統(tǒng)。此外，電子六所還在國(guó)家多項(xiàng)重大活動(dòng)期間提供網(wǎng)絡(luò)安保服務(wù)。

以自主的實(shí)力，持續(xù)為安全賦能，這條路只需堅(jiān)定地走下去！