工業(yè)控制網(wǎng)絡(luò)安全需要警鐘長鳴，決不讓病毒攻擊有機可乘

2010年，伊朗核設(shè)施遭受震網(wǎng)病毒攻擊；2015年12月，烏克蘭電廠遭受黑客攻擊，導(dǎo)致大面積居民停電；2018年4月，工業(yè)路由器摩莎EDR-810曝17個嚴(yán)重漏洞……在過去幾年里，工業(yè)控制網(wǎng)絡(luò)安全事件頻頻走進人們的視線。

“工業(yè)控制網(wǎng)絡(luò)安全需要警鐘長鳴，立足自主創(chuàng)新，才能擺脫核心技術(shù)產(chǎn)品受制于人的局面，立足自主創(chuàng)新，才能實現(xiàn)發(fā)展與安全的協(xié)同推進。”近日，在工業(yè)控制信息安全技術(shù)國家工程實驗室第三次理事會上，中國工程院院士方濱興疾呼。

什么是工業(yè)控制網(wǎng)？方濱興介紹，簡單來說，就是“3+3”模型，即三個要素：計算、通信和控制；三張網(wǎng)絡(luò)形態(tài)：互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和傳感網(wǎng)。其中，控制是根本，在做互聯(lián)時，需要依賴通信進行信息傳遞，所以通信是支撐。

圍繞這個模型，方濱興表示，工業(yè)控制網(wǎng)面臨嚴(yán)峻的安全挑戰(zhàn)，如工控系統(tǒng)日益成為黑客攻擊和網(wǎng)絡(luò)戰(zhàn)的首要目標(biāo)，有數(shù)據(jù)顯示，僅2017年上半年，就發(fā)現(xiàn)約18000種針對工控系統(tǒng)的惡意軟件；工業(yè)大數(shù)據(jù)作為企業(yè)核心資源面臨嚴(yán)峻的安全風(fēng)險；核心技術(shù)產(chǎn)品自主可控程度低，受制于人；缺乏工業(yè)控制網(wǎng)安全高仿真環(huán)境等。

“云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的應(yīng)用增加了工業(yè)處理流程的開放性和不確定性，安全風(fēng)險進一步集中加大，工業(yè)控制網(wǎng)面臨嚴(yán)峻的安全挑戰(zhàn)，亟須構(gòu)建工業(yè)控制網(wǎng)安全的核心關(guān)鍵技術(shù)體系?！狈綖I興說。

國外工業(yè)設(shè)備中普遍存在后門，方濱興說，“人家可以監(jiān)控你的地理坐標(biāo)，發(fā)現(xiàn)地理坐標(biāo)改了就禁止你使用，你不知道有這個功能，也沒有人告訴你有這個功能?！?/p>

“所以我們強調(diào)民族產(chǎn)品，因為法律的約束作用，可以限制其做壞事，而這對外國人就沒有用。因此，關(guān)鍵技術(shù)要自主可控，就是要在法律框架下保證安全?！狈綖I興說。

方濱興表示，構(gòu)建工業(yè)互聯(lián)網(wǎng)安全綜合保障體系，首先應(yīng)該從自主可控開始，也就是本質(zhì)安全，不能有人為的因素，自主可控可以解決沒有人為的因素，再就是安全實驗平臺，深度防護體系和公共服務(wù)體系等。

保障工業(yè)控制網(wǎng)絡(luò)安全，在各個層面都要自主可控，各個層面都要解決自己的問題，包括工業(yè)控制系統(tǒng)自動化地實施，工業(yè)核心產(chǎn)品設(shè)備產(chǎn)業(yè)化，工控核心技術(shù)的創(chuàng)新研究等。