9月24日，2014年中國互聯(lián)網(wǎng)安全大會(ISC)在國家會議中心舉行。在下午的工控安全分論壇演講環(huán)節(jié)中，總參某研究所研究員徐金偉對工控系統(tǒng)面臨的風險、以及安全防護產(chǎn)品的技術特征發(fā)表了看法。徐金偉認為，我國工控系統(tǒng)軟硬件、管理環(huán)節(jié)存在信息安全隱患風險，應用于工控系統(tǒng)的安全防護產(chǎn)品，產(chǎn)品門類不全，體系也不夠健全，亟需構建完善的工控系統(tǒng)安全防護產(chǎn)品技術。

　　圖: 總參某研究所研究院徐金偉

如今，工業(yè)控制系統(tǒng)已經(jīng)成為電力、水利、石油化工、天然氣和交通運輸?shù)汝P鍵設備的基石，工控系統(tǒng)安全關系到國家的戰(zhàn)略安全。徐金偉介紹，工控系統(tǒng)（ICS）主要包括SCADA系統(tǒng)分布式控制系統(tǒng)(DCS)、SCADA系統(tǒng)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)等，而SCADA系統(tǒng)則是工控系統(tǒng)的神經(jīng)中樞。

接著徐金偉又以SCADA系統(tǒng)詳細介紹了工控系統(tǒng)的特點以及面臨的安全問題。徐金偉指出，當前工控系統(tǒng)面臨軟硬件故障、自然災害、電力攻擊、惡意代碼、外力破壞、黑客攻擊六種安全隱患，并列舉了歷史上曾發(fā)生的造成嚴重后果的工控安全案例，例如早在2001年在澳大利亞昆士蘭，一名被解雇的工程師通過無線網(wǎng)絡侵入水廠控制系統(tǒng)，造成水處理廠發(fā)生46次控制設備功能異常事件，導致數(shù)百萬公升污水進入地區(qū)供水系統(tǒng)等事件。

此后，徐金偉一一列舉了工控信息系統(tǒng)安全防護產(chǎn)品應具備的五大特點，并針對五大特點給出了詳盡的解決方案。同時，徐金偉認為，相對于其他行業(yè)信息安全防護，工控安全防護在實時性、可靠性及安全性方面的需求等級更高，要求也更加嚴格。一旦發(fā)生了安全威脅，需要在最短的時間內進行發(fā)現(xiàn)、矯正或者停止作業(yè)，防止危害進一步向其他系統(tǒng)或者層級滲透，同時能夠第一時間發(fā)出警報供安全管理人員和生產(chǎn)執(zhí)行人員知曉，及時采取行動應對特殊事件。

基于工控安全的特點，需要通過五方面對此領域安全進行全面防護：資源專用、邊界防護、采購安全、安全管理、監(jiān)測審計，而這五大關鍵因素均需對于工業(yè)安全進行針對性的調整和優(yōu)化才能保證整體的安全。

工控安全在設計及應用方面具有其特殊性。徐金偉認為，加強工控系統(tǒng)安全防護產(chǎn)品技術應著重考慮工業(yè)環(huán)境、協(xié)議的適應性，同時要注重輕量級產(chǎn)品的開發(fā)、強化工控系統(tǒng)的安全監(jiān)控和管理。此外，由于國產(chǎn)化程度不高，尤其是高端市場基本被國外壟斷，核心技術和元件均掌握在國外廠商手中，因此要基于自主可控技術的安全體系，開發(fā)更多國產(chǎn)工控軟件。

對于工控系統(tǒng)安全防護產(chǎn)品的技術特點，徐金偉分別從通用型和專用型工業(yè)火墻給予詮釋。他表示，通用性工業(yè)火墻能夠方便接入現(xiàn)有工業(yè)設備及TCP/IP網(wǎng)絡中，識別工業(yè)協(xié)議，對TCP/IP數(shù)據(jù)進行加密，確保安全性；而專用型則主要針對監(jiān)控層和控制層之間的數(shù)據(jù)加密、支持實時操作系統(tǒng)、降低資源消耗，模塊化設計更能提高效率。