嘉宾：

    薛一波 清华大学信息技术研究院研究员
    胡昌振 北京理工大学两化融合发展研究院副院长、软件学院副院长
    王文海 浙江大学信息学院控制系研究员
    刘娜 北京石油化工学院系主任

　　“目前来看工业用户对信息安全问题的重视程度并不高。企业领导只重视生产和效率，而忽视安全，特别对信息安全，认为是“既麻烦，又白花钱”。”清华大学信息技术研究院研究员薛一波日前对中国工业报记者强调说。

　　“一旦工业控制系统遭到信息攻击或破坏，其影响不仅是控制系统性能下降，而且将造成人员伤亡、环境灾难，甚至会危及公众生活和国家安全。”

　　随着信息化与自动化的融合，工业控制系统及产品越来越多的与企业管理网、互联网等公共网络连接，其系统本身的漏洞也在频繁曝光，“信息安全问题越来越突出”。那么，面对如此严峻的形势我国目前在该领域主要面临哪些挑战，未来的发展方向在哪？

　　近日，记者采访了工业控制信息安全领域内部专家，让我们来听听他们对该行业最直观的感受和最迫切的要求。

　　国内工控安全形势严峻

　　从1986年前苏联的天然气管道爆炸事件到2010年震惊全球的伊朗核电站“震网”病毒事件，近年来黑客、不法组织纷纷把工业控制系统作为信息攻击的目标。

　　截至2010年10月，全球已发生200余起针对工业控制系统的攻击事件，尤其是2011年后，针对工业控制系统的攻击事件更是呈大幅度增长态势。相关数据显示，2011年国家信息安全漏洞共享平台就收录了100余个对我国影响广泛的工业控制系统软件安全漏洞，较2010年大幅增长近10倍。

　　面对如此严峻的形势，未来工控安全情形是否会好转？清华大学信息技术研究院研究员薛一波对本报记者说，“未来工控系统安全漏洞和威胁还会继续大幅增长，现阶段越来越多的安全人员和黑客开始关注这一领域并开始寻找新的攻击方法。”

　　对此，北京理工大学两化融合发展研究院副院长、中国兵器工业信息安全与对抗技术研究中心主任，胡昌振也持同样观点。“工业控制系统的安全应该引起全社会的高度关注。”他表示，随着我国工业与信息化融合的推进，工业控制系统规模已经扩展到国家关键基础设施行业，涉及水电、交通、油气、国防等。“一旦工业控制系统遭到信息攻击或破坏，其影响不仅是控制系统性能下降、控制能力丧失，而且将造成人员伤亡、环境灾难，甚至会危及公众生活和国家安全，导致国家的战略被动、受制于人。”胡昌振强调说。

　　传统技术面临挑战

　　工业控制系统信息安全关乎经济发展、社会稳定、国家安全、公众利益。业内专家纷纷表示，一旦工控系统遭到攻击将对我国整个工业系统和社会产生巨大破坏力。

　　面对如此紧迫的形势，这对承担设备传感与检测、运算与控制、执行与驱动任务的工业控制系统提出了更多新的要求。然而，随着控制装备性能的提高、功能的丰富、尤其是基于广域网络的智能制造与智慧工厂，传统的工控技术已不能够支撑智能制造装备、数字化生产线、数字化工厂、智慧工厂的快速发展。

　　“传统的安全技术正面临新的挑战。”浙江大学信息学院控制系研究员王文海坦言，以防火墙、入侵检测和病毒防护为主的传统的控制系统信息安全技术仅从外部对企图共享信息资源的非法用户和越权访问进行封堵。对于来自于内部的安全威胁，常规的信息安全技术很难发挥其功效，无法防止内部信息的泄密、窃取、篡改和破坏。

　　在王文海看来，保证工业控制系统的可靠性、安全性（功能安全和信息安全）、实时性、可用性、可维护性，以及提供一个可信赖的安全可靠的工业测控系统已成为当前十分迫切的需求。

　　据了解，工业控制系统面临的威胁可分为两种：系统威胁（工业控制系统作为一个信息系统所面临的威胁）和过程威胁（工业控制作为一个过程所面临的威胁）。

　　胡昌振告诉记者，传统的信息安全要求实现保密性、完整性和可用性三大目标，工业控制系统信息安全则需要在协调实现这三大目标的基础上，突出系统的可用性。在他看来，“系统威胁的防御可借鉴传统的信息安全成熟解决方案，过程威胁的防御则要强调系统可用性的保证，即在工业控制系统遭受攻击时，对控制过程的影响不干扰控制任务的执行。”

　　公民意识尚浅薄弱

　　业内专家认为，对于工业控制系统信息安全防御系统，未来在安全防御机制以及体系构建上还需不断探索新的技术途径。