工控系统风险凸显,全力应对时不我待

本文格式为Word版，下载可任意编辑——工控系统风险凸显,全力应对时不我待

随着我国工业化和信息化的深度融合以及物联网的快

速进展，工控系统获得了前所未有的飞速进展。与此同时，工控系统面临的安好要挟也越来越严峻。建立全面的信息安好保障体系，裁减工控系统面临的内外部的要挟，为推动两化深度融合、工业转型升级供给支持，是当前信息安好领域面临的重大挑战。

在杭州举办的全国首期“工业操纵系统信息安好保障才能创办高级研修班”上，本刊记者就此话题采访了工业和信息化部信息安好协调司欧阳武副司长。

记者：工控系统的信息安好到底有多重要？目前该领域的总体安好形势如何？

欧阳武：众所周知，关键根基设施是国民经济的重要支撑。关键根基设施涉及交通、能源、通信、水利、交通等多个部门，包括政府公共服务、应急服务、通信和信息服务、供电供水供热、运输、金融、食品、医疗保健等多个领域的服务。这些部门的服务与我们每个人、每个行业、每个企业紧密相关，对国家经济进展、社会稳定而言更是关系重大，是国家军事防卫和国防保卫的重点对象。随着信息技术的普及和深化应用，工控系统已经成为关键根基设施的重要组成片面。目前，大多数根基设施的安好运行生产都离不开工控系统，工控系统已经成为关键根基设施不成分割的片面。因此，这些工控系统一旦遭遇信息安好要挟，其后果的严重性不堪想象。

目前，我国工控系统的安好形势分外严峻。调查察觉，约80%的企业从来不对工控系统举行升级和漏洞修补，有52%的工控系统与企业的管理系统、内网甚至互联网连接；此外，一些存在漏洞的国外工控产品照旧在国内的某些重要装置上使用。更为严重的问题还在于，我们对于察觉风险源头缺乏手段，对操纵风险的技术与方法缺乏必要的研究。

记者：如此事关国家命脉的工控系统信息安好问题，为何从前人们较少提及，而在近期突然成为一个新的关注点？造成这方面主要要挟的根源是什么？

欧阳武：发生于2022年7月伊朗的“震网”病毒事情，是全球首个以破坏现实世界的工业根基设施为目标的蠕虫病毒，为此伊朗核电站不得不推迟运行。2022年5月，伊朗、叙利亚等中东国家的计算机网络又展现了比“震网”病毒更加繁杂的“火焰”病毒，它直接窃取了伊朗石油网络系统的信息，导致伊朗切断石油部、石油出口数据中心等机构与互联网的连接。该病毒被定性为“网络重武器”，能够对存储有特定信息，譬如石油工业相关信息的计算机实施监控、截取信息乃至毁伤。

这些事情有其深刻的国际政治方面的理由，同时也让世人猛然意识到，网络已不再是一个单纯的信息交流平台，已经蜕变成政治斗争的工具，我们不得不对工控系统的信息安好提高机警。

当然，工控系统信息安好成为新的关注点主要有两个方面的理由：一方面，过去的工业操纵系统是使用专业的系统、专业的队伍、专业的设备，只有小范围人群了解和掌管。随着计算机技术的进展，好多专业的系统实现了通用化，现在的工控系统开头在通用技术的根基上做专业的系统设计，如操作系统、数据库软件、通讯协议等计算机通用产品和协议，这样一来，存在于计算机信息系统中的漏洞被带到了工控系统里。另一方面，长期以来工控系统并没有由于信息安好问题发生大的事故，人们普遍存在“病毒很少能对工业操纵系统造成危害”的意识。但是，伊朗的“震网”事情，给了全世界一个警示，计算机病毒不仅可以感染到工控系统，而且可以对操纵对象举行物质破坏。

最近一个时期，人们对于网络战议论较多。此前，人们并没有真正熟悉和重视网络战，认为网络战只是个概念，并不能造成物理破坏，“震网”事情彻底变更了人们的观念。更加是近几年一些国家开头建立网络战部队，研制网络战武器，这也指点我们：网络战不再是科幻小说，而是一种实实在在的战役形式。

记者：针对这种现状，我们现在最迫切要做的是什么？政府管理部门下一步将会做哪些相关工作，采取哪些措施？

欧阳武：首先要树立信息安好意识。现在好多人对工控系统没有信息安好意识，认为自己从来没出过问题，或者认为自己是物理隔离。伊朗“震网”事情使大家熟悉到，物理隔离并不是完全安好的“金钟罩”，病毒不仅可以通过广泛使用的无线联网方式，还可以通过介质的交错使用等不良习惯渗透到工控系统中。

其次要加强安好管理。在建立安好意识之后，要把病毒可能传播的渠道切断，这主要分为技术手段和管理手段两种。我们务必供认，在工控高端产品上我们还务必使用国外的产品，软件开发中存在规律冲突和错误不成制止，彻底消释信息安好漏洞是不现实的，在这种现实处境下，就务必加强管理。当然，加强管理之前，务必搞领会“管什么”和“怎么管”，而这也正是我们政府相关部门当前迫切要做的工作。

2022年9月29日，经国务院同意，工信部下发了《关于加强工业操纵系统信息安好管理的通知》（工信部协[2022]451号），标志着我国工业系统信息安好工作的启动。《通知》首先从连接纳理、组网管理、配置管理、设备选择与升级管理、数据管理和应急管理等六个方面明确了工控信息安好管理的要求；同时明确了工控系统信息安好的主要制度，主要包括加强重点领域工业操纵系统关键设备的信息安好测评工作、建立工业操纵系统信息安好检查制度、建立信息安好漏洞信息发布制度；结果明确了工业操纵系统信息安好的责任，即谁主管谁负责、谁运营谁负责、谁使用谁负责的原那么，确保领导到位、机构到位、人员到位、措施到位、资金到位。

围围着451号文件的落实，我们还正开展一系列的工作：

安置开展了重要工业操纵系统的摸底调查。2022年12月工信部通过向各省、自治区、直辖市的工控信息化主管部门下发了《关于开展重要工业操纵系统根本处境调查的通知》，对重要工业操纵系统及其应用单位、中央企业有了根本的了解，并对全体中央企业在本集团内部举行摸底调查。

建立工业操纵系统漏洞风险通报制度。2022年8月3日，工信部办公厅印发了《关于开展工业操纵系统信息安好风险信息发布工作的通知》（厅函[2022]629号），对工业操纵系统信息安好风险信息发布工作做出了安置。通知明确了信息发布的概念和形式，其中发布的范围是梦想根据漏洞信息涉及的行业定点发布，目前国内已经发布200多个漏洞。下一步，我们将定期编制风险发布的通告，并对其定点投放到相关单位；同时将致力于将漏洞的风险提示和解决漏洞的消控方案一并发布。

组织开展典型工业操纵系统信息安好风险评估工作。工控系统风险评估不同于一般信息系统，不能直接对生产系统举行检测，因此我们务必先在测验室里针对广泛使用的、典型的工业操纵系统先行开展工作，举行风险分析和风险评估，然后再到生产一线去核实。这项工作技术性强，组织协调难度大，还有大量根基性的工作需要打定。

加强宣传培训、提高工业操纵系统信息安好意识和信息安好保障才能等工作。这正是今天我们举办这次培训的目的。我们梦想为工控系统的一线工作人员能够建立信息安好的意识。由于历史理由，工业操纵系统在设计、部署实施、创办、运营的过程当中很少考虑到外来的、人为的破坏因素，我们在调查当中察觉，好多人受到病毒攻击时，就会使用隔离这一种处理手段。这些都需要我们通过宣传和培训去变更、解决。

记者：目前好多系统和关键信息技术都以国外为主，大量人认为解决信息安好这一难点问题要通过实现国产可控技术。您如何看这个问题？

欧阳武：我们曾对全国的重要工业操纵系统举行过一次摸底调查。大量使用国外产品和系统是客观现实，重要装置、大型设备往往使用的都是国外产品，这种处境短期内还难以变更。因此，推进工控系统信息安好工作要树立两个意识。（1）务必坚强不移、毫不动摇地进展自己的技术。我们只有在技术上达成了先进水平甚至处于领先地位，才能从根本上保障安好。这是一个目标，而且