工控系統(tǒng)風險凸顯,全力應對時不我待

本文格式為Word版，下載可任意編輯——工控系統(tǒng)風險凸顯,全力應對時不我待

隨著我國工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快

速進展，工控系統(tǒng)獲得了前所未有的飛速進展。與此同時，工控系統(tǒng)面臨的安好要挾也越來越嚴峻。建立全面的信息安好保障體系，裁減工控系統(tǒng)面臨的內外部的要挾，為推動兩化深度融合、工業(yè)轉型升級供給支持，是當前信息安好領域面臨的重大挑戰(zhàn)。

在杭州舉辦的全國首期“工業(yè)操縱系統(tǒng)信息安好保障才能創(chuàng)辦高級研修班”上，本刊記者就此話題采訪了工業(yè)和信息化部信息安好協(xié)調司歐陽武副司長。

記者：工控系統(tǒng)的信息安好到底有多重要？目前該領域的總體安好形勢如何？

歐陽武：眾所周知，關鍵根基設施是國民經(jīng)濟的重要支撐。關鍵根基設施涉及交通、能源、通信、水利、交通等多個部門，包括政府公共服務、應急服務、通信和信息服務、供電供水供熱、運輸、金融、食品、醫(yī)療保健等多個領域的服務。這些部門的服務與我們每個人、每個行業(yè)、每個企業(yè)緊密相關，對國家經(jīng)濟進展、社會穩(wěn)定而言更是關系重大，是國家軍事防衛(wèi)和國防保衛(wèi)的重點對象。隨著信息技術的普及和深化應用，工控系統(tǒng)已經(jīng)成為關鍵根基設施的重要組成片面。目前，大多數(shù)根基設施的安好運行生產都離不開工控系統(tǒng)，工控系統(tǒng)已經(jīng)成為關鍵根基設施不成分割的片面。因此，這些工控系統(tǒng)一旦遭遇信息安好要挾，其后果的嚴重性不堪想象。

目前，我國工控系統(tǒng)的安好形勢分外嚴峻。調查察覺，約80%的企業(yè)從來不對工控系統(tǒng)舉行升級和漏洞修補，有52%的工控系統(tǒng)與企業(yè)的管理系統(tǒng)、內網(wǎng)甚至互聯(lián)網(wǎng)連接；此外，一些存在漏洞的國外工控產品照舊在國內的某些重要裝置上使用。更為嚴重的問題還在于，我們對于察覺風險源頭缺乏手段，對操縱風險的技術與方法缺乏必要的研究。

記者：如此事關國家命脈的工控系統(tǒng)信息安好問題，為何從前人們較少提及，而在近期突然成為一個新的關注點？造成這方面主要要挾的根源是什么？

歐陽武：發(fā)生于2022年7月伊朗的“震網(wǎng)”病毒事情，是全球首個以破壞現(xiàn)實世界的工業(yè)根基設施為目標的蠕蟲病毒，為此伊朗核電站不得不推遲運行。2022年5月，伊朗、敘利亞等中東國家的計算機網(wǎng)絡又展現(xiàn)了比“震網(wǎng)”病毒更加繁雜的“火焰”病毒，它直接竊取了伊朗石油網(wǎng)絡系統(tǒng)的信息，導致伊朗切斷石油部、石油出口數(shù)據(jù)中心等機構與互聯(lián)網(wǎng)的連接。該病毒被定性為“網(wǎng)絡重武器”，能夠對存儲有特定信息，譬如石油工業(yè)相關信息的計算機實施監(jiān)控、截取信息乃至毀傷。

這些事情有其深刻的國際政治方面的理由，同時也讓世人猛然意識到，網(wǎng)絡已不再是一個單純的信息交流平臺，已經(jīng)蛻變成政治斗爭的工具，我們不得不對工控系統(tǒng)的信息安好提高機警。

當然，工控系統(tǒng)信息安好成為新的關注點主要有兩個方面的理由：一方面，過去的工業(yè)操縱系統(tǒng)是使用專業(yè)的系統(tǒng)、專業(yè)的隊伍、專業(yè)的設備，只有小范圍人群了解和掌管。隨著計算機技術的進展，好多專業(yè)的系統(tǒng)實現(xiàn)了通用化，現(xiàn)在的工控系統(tǒng)開頭在通用技術的根基上做專業(yè)的系統(tǒng)設計，如操作系統(tǒng)、數(shù)據(jù)庫軟件、通訊協(xié)議等計算機通用產品和協(xié)議，這樣一來，存在于計算機信息系統(tǒng)中的漏洞被帶到了工控系統(tǒng)里。另一方面，長期以來工控系統(tǒng)并沒有由于信息安好問題發(fā)生大的事故，人們普遍存在“病毒很少能對工業(yè)操縱系統(tǒng)造成危害”的意識。但是，伊朗的“震網(wǎng)”事情，給了全世界一個警示，計算機病毒不僅可以感染到工控系統(tǒng)，而且可以對操縱對象舉行物質破壞。

最近一個時期，人們對于網(wǎng)絡戰(zhàn)議論較多。此前，人們并沒有真正熟悉和重視網(wǎng)絡戰(zhàn)，認為網(wǎng)絡戰(zhàn)只是個概念，并不能造成物理破壞，“震網(wǎng)”事情徹底變更了人們的觀念。更加是近幾年一些國家開頭建立網(wǎng)絡戰(zhàn)部隊，研制網(wǎng)絡戰(zhàn)武器，這也指點我們：網(wǎng)絡戰(zhàn)不再是科幻小說，而是一種實實在在的戰(zhàn)役形式。

記者：針對這種現(xiàn)狀，我們現(xiàn)在最迫切要做的是什么？政府管理部門下一步將會做哪些相關工作，采取哪些措施？

歐陽武：首先要樹立信息安好意識?，F(xiàn)在好多人對工控系統(tǒng)沒有信息安好意識，認為自己從來沒出過問題，或者認為自己是物理隔離。伊朗“震網(wǎng)”事情使大家熟悉到，物理隔離并不是完全安好的“金鐘罩”，病毒不僅可以通過廣泛使用的無線聯(lián)網(wǎng)方式，還可以通過介質的交錯使用等不良習慣滲透到工控系統(tǒng)中。

其次要加強安好管理。在建立安好意識之后，要把病毒可能傳播的渠道切斷，這主要分為技術手段和管理手段兩種。我們務必供認，在工控高端產品上我們還務必使用國外的產品，軟件開發(fā)中存在規(guī)律沖突和錯誤不成制止，徹底消釋信息安好漏洞是不現(xiàn)實的，在這種現(xiàn)實處境下，就務必加強管理。當然，加強管理之前，務必搞領會“管什么”和“怎么管”，而這也正是我們政府相關部門當前迫切要做的工作。

2022年9月29日，經(jīng)國務院同意，工信部下發(fā)了《關于加強工業(yè)操縱系統(tǒng)信息安好管理的通知》（工信部協(xié)[2022]451號），標志著我國工業(yè)系統(tǒng)信息安好工作的啟動?！锻ㄖ肥紫葟倪B接納理、組網(wǎng)管理、配置管理、設備選擇與升級管理、數(shù)據(jù)管理和應急管理等六個方面明確了工控信息安好管理的要求；同時明確了工控系統(tǒng)信息安好的主要制度，主要包括加強重點領域工業(yè)操縱系統(tǒng)關鍵設備的信息安好測評工作、建立工業(yè)操縱系統(tǒng)信息安好檢查制度、建立信息安好漏洞信息發(fā)布制度；結果明確了工業(yè)操縱系統(tǒng)信息安好的責任，即誰主管誰負責、誰運營誰負責、誰使用誰負責的原那么，確保領導到位、機構到位、人員到位、措施到位、資金到位。

圍圍著451號文件的落實，我們還正開展一系列的工作：

安置開展了重要工業(yè)操縱系統(tǒng)的摸底調查。2022年12月工信部通過向各省、自治區(qū)、直轄市的工控信息化主管部門下發(fā)了《關于開展重要工業(yè)操縱系統(tǒng)根本處境調查的通知》，對重要工業(yè)操縱系統(tǒng)及其應用單位、中央企業(yè)有了根本的了解，并對全體中央企業(yè)在本集團內部舉行摸底調查。

建立工業(yè)操縱系統(tǒng)漏洞風險通報制度。2022年8月3日，工信部辦公廳印發(fā)了《關于開展工業(yè)操縱系統(tǒng)信息安好風險信息發(fā)布工作的通知》（廳函[2022]629號），對工業(yè)操縱系統(tǒng)信息安好風險信息發(fā)布工作做出了安置。通知明確了信息發(fā)布的概念和形式，其中發(fā)布的范圍是夢想根據(jù)漏洞信息涉及的行業(yè)定點發(fā)布，目前國內已經(jīng)發(fā)布200多個漏洞。下一步，我們將定期編制風險發(fā)布的通告，并對其定點投放到相關單位；同時將致力于將漏洞的風險提示和解決漏洞的消控方案一并發(fā)布。

組織開展典型工業(yè)操縱系統(tǒng)信息安好風險評估工作。工控系統(tǒng)風險評估不同于一般信息系統(tǒng)，不能直接對生產系統(tǒng)舉行檢測，因此我們務必先在測驗室里針對廣泛使用的、典型的工業(yè)操縱系統(tǒng)先行開展工作，舉行風險分析和風險評估，然后再到生產一線去核實。這項工作技術性強，組織協(xié)調難度大，還有大量根基性的工作需要打定。

加強宣傳培訓、提高工業(yè)操縱系統(tǒng)信息安好意識和信息安好保障才能等工作。這正是今天我們舉辦這次培訓的目的。我們夢想為工控系統(tǒng)的一線工作人員能夠建立信息安好的意識。由于歷史理由，工業(yè)操縱系統(tǒng)在設計、部署實施、創(chuàng)辦、運營的過程當中很少考慮到外來的、人為的破壞因素，我們在調查當中察覺，好多人受到病毒攻擊時，就會使用隔離這一種處理手段。這些都需要我們通過宣傳和培訓去變更、解決。

記者：目前好多系統(tǒng)和關鍵信息技術都以國外為主，大量人認為解決信息安好這一難點問題要通過實現(xiàn)國產可控技術。您如何看這個問題？

歐陽武：我們曾對全國的重要工業(yè)操縱系統(tǒng)舉行過一次摸底調查。大量使用國外產品和系統(tǒng)是客觀現(xiàn)實，重要裝置、大型設備往往使用的都是國外產品，這種處境短期內還難以變更。因此，推進工控系統(tǒng)信息安好工作要樹立兩個意識。（1）務必堅強不移、毫不動搖地進展自己的技術。我們只有在技術上達成了先進水平甚至處于領先地位，才能從根本上保障安好。這是一個目標，而且