導讀：在互聯網時代，工業控制系統安全不是“老系統碰上新問題”，而是傳統信息安全問題在工業控制領域的延伸。近年來，隨著經濟化的深入推進，競爭越來越激烈，工業控制系統作為能源、制造、等國家命脈行業的重要基礎設施，在信息攻防戰的陰影下面臨著安全風險持續攀升的運行環境。現在，國內外生產企業都把工業控制系統安全防護建設提上了日程。
　　
　　工業工控系統在互聯網時代不斷遭遇信息安全的挑戰，數據安全面臨極大考驗。
　　
　　工業控制系統安全不是“老系統碰上新問題”，而是傳統信息安全問題在工業控制領域的延伸。當前信息技術已廣泛應用于石油、化工、電力等眾多領域，為傳統工業控制系統優化升級提供了重要的支撐，同時也帶來了網絡環境下的信息安全問題，蠕蟲、木馬、黑客攻擊等網絡威脅對工業控制系統的沖擊呈現出愈演愈烈的發展態勢。比如2010年10月發生在伊朗核電站的"震網"（Stuxnet）病毒，為工業生產控制系統安全敲響了警鐘。現在，國內外生產企業都把工業控制系統安全防護建設提上了日程。
　　
　　近年來，隨著經濟化的深入推進，競爭越來越激烈，工業控制系統作為能源、制造、等國家命脈行業的重要基礎設施，在信息攻防戰的陰影下面臨著安全風險持續攀升的運行環境。據統計，過去一年，國家信息安全漏洞共享平臺收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內外工業控制系統制造商的產品。安全漏洞的涌現，無疑為工業控制系統增加了風險，進而影響正常的生產秩序，甚至會危及人員健康和公共財產安全。
　　
　　兩化融合和物聯網的發展使得TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工業控制網絡中，隨之而來的通信協議漏洞問題也日益突出。例如，OPCClassic協議（OPCDA,OPCHAD和OPCA&E）基于微軟的DCOM協議，DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC通訊采用不固定的端口號，導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。因此確保使用OPC通訊協議的工業控制系統的安全性和可靠性給工程師帶來了極大的挑戰。
　　
　　提到工控安全問題，很多人可能會簡單地理解為直接用于控制的實時操作系統設備的安全。然而，從整個架構上看，工業控制系統是由服務器、終端、前端的實時操作系統等共同構成的網絡體系，同樣涉及物理層、網絡層、主機層、應用層等傳統信息安全問題。在整個工業控制系統中，大多數工控軟件都是運行在通用操作系統上，例如操作員站一般都是采用Linux或Windows平臺，由于考慮到系統運行的穩定性，一般系統運行后不會對Linux或Windows平臺打補丁;另外，大多工業控制網絡都屬于專用內部網絡，不與互聯網相連，即使安裝反病毒軟件，也不能及時地更新病毒數據庫，并且殺毒軟件對未知病毒和惡意代碼也無能為力。操作系統漏洞無法避免，加之傳統防御技術和方式的滯后性，給病毒、惡意代碼的傳染與擴散留下了空間。以2010年震驚工業界的“震網”為例，該病毒利用Windows操作系統的漏洞侵入系統，之后加載攻擊模塊，查找Windows平臺上運行的工業控制系統，進而對系統發動直接的攻擊行為。
　　
　　據了解，在2010年爆發的“震網”事件中，病毒導致部分用于鈾濃縮的離心機無法運行，直擊伊朗核工業。由此可見，針對工業控制系統的攻擊行為，已經對國家經濟和社會發展產生深遠的影響。事實上，不僅僅是“震網（Stuxnet）”病毒，近年來相繼涌現出的惡意軟件如“毒區（Duqu）”、“火焰（Flame）”等等，也將攻擊重心向石油、電力等國家命脈行業領域傾斜，工業控制系統面臨的安全形勢越來越嚴峻。為了提升工業控制系統安全水平，相關機構制定了《工業過程測量、控制和自動化網絡與系統信息安全》（IEC62443）系列標準，為系統集成商、產品提供商等開展安全性評估工作提供指導。其中，在信息安全方面，IEC62443指出，“基于計算機系統的能力，能夠保證非授權人員和系統既無法修改軟件及其數據也無法訪問系統功能，卻保證授權人員和系統不被阻止。”
　　
　　業內人士指出，在工業控制網絡體系中，作為主機的服務器是非常關鍵的設備，服務器上運行的操作系統平臺承載著核心業務系統，對前端實時操作系統正常運行具有重要影響，在工控安全的整個架構里面，服務器操作系統平臺的安全是不可或缺的一部分。