（文章來源：人民網）

近年來，兩化深度融合催生互聯網在工業控制系統中的應用，打破了傳統工業控制系統相對封閉可信的環境，將互聯網上的傳統安全威脅滲透進了工業領域，使得網絡型攻擊可以直達生產現場，造成生產中斷甚至危及人員生命。針對工業控制系統的各種安全事件日益增多。例如，烏克蘭氯氣站被攻擊、委內瑞拉全國性斷電等安全事件，目前通過網絡攻擊，“勒索病毒”可以直接利用被控制的控制器進行勒索，在工廠側，被“鎖屏勒索”的安全事件也屢見不鮮。

工業控制系統的本質目標是控制，互聯網的核心目標是交換。相較于傳統互聯網采用平等關系的點對點傳輸模式，工業互聯網多采用基于主從關系的非對等網絡。工業互聯網面臨的安全挑戰需從工業控制系統的安全防護能力的視角來看。從工業控制系統設計思路上看，工業控制系統的傳統設計都是使用專用的相對封閉可信的通信線路。但隨著工業控制系統向互聯網的轉移，與企業其他業務應用程序的整合，也越來越容易遭遇來自互聯網的攻擊，暴露了許多先天缺陷。

比如基于離線系統技術要求的設計思路，沒有考慮規劃設計安全防護機制;比如由于控制器的弱計算力，只設計了對于弱計算力的防護機制。從工業控制系統運維來看，很多企業出于工業控制系統是封閉的考慮，開放了遠程調試功能，同時沒有考慮遠程調試的訪問控制，很多攻擊是利用了遠程調試的訪問控制漏洞實現滲透。從工業控制系統通信協議看，絕大多數的工業控制系統通信協議，設計之初都未考慮機密性問題，基本采用明文傳輸，且國內尚未建立自有的、安全的工業互聯網通信協議、數據交換協議。

當前，面臨嚴峻的工業互聯網安全挑戰，很多工業控制系統查漏補缺存在難度，是長久戰。明確責任，建立規范安全規程、操作準則和安全管理體系，加強意識宣貫和人才培育，逐步完善工業互聯網安全體系，顯得尤為重要。

為全面落實《國務院關于深化“互聯網 先進制造業”發展工業互聯網的指導意見》(以下簡稱《指導意見》)部署要求，加快構建工業互聯網安全保障體系，提升工業互聯網安全保障能力，促進工業互聯網高質量發展，推動現代化經濟體系建設，護航制造強國和網絡強國戰略實施，工業和信息化部會同有關部門起草發布了《關于加強工業互聯網安全工作的指導意見》。

在監管部門側，建設國家、省、企業三級協同的工業互聯網安全技術保障平臺，強化地方、企業與國家平臺之間的系統對接、數據共享、業務協作，打造整體態勢感知、信息共享和應急協同能力。在專業機構側，指導第三方專業機構建設工業互聯網企業持續開展安全能力評測評估服務能力。鼓勵建設檢測評估、安全監測、攻防測試、應急響應等公共服務能力，面向機械制造、電子信息、汽車、石油化工等行業領域提供安全診斷評估、安全咨詢、數據保護、代碼檢查、系統加固、云端防護等服務。

明確政府監督管理責任，工業和信息化部組織開展工業互聯網安全相關政策制定、標準研制等綜合性工作，并開展行業指導、監管。地方工業和信息化主管部門指導本行政區域內應用工業互聯網的工業企業的安全工作，同步推進安全產業發展;地方通信管理局監管本行政區域內標識解析系統、公共工業互聯網平臺等的安全工作，并在公共互聯網上對聯網設備、系統等進行安全監測。生態環境、衛生健康、能源、國防科工等部門根據各自安全管理職責，開展本行業領域工業互聯網推廣應用的安全指導、監管工作。

中國電子信息產業發展研究院依托工業控制系統安全測評共性技術工信部重點實驗室，通過已建設的國家工業控制系統安全公共技術服務、可編程邏輯控制器(PLC)安全仿真測試、工控系統通信總線安全仿真測試、主動式工控設備安全檢測及態勢感知平臺等國家級平臺，開展了石油石化、軌道交通、電力電網、鋼鐵、汽車、水處理、有色等行業領域的質量驗收、安全測評、滲透測試、標準編制、方案及設計咨詢、專項培訓、應急演練等服務，支撐部委開展工業控制系統安全檢查和安全防護能力驗證，承擔國家重大活動安全保衛工作。

通過開展工業互聯網和工業控制系統安全測評工作，以測促用、以測促改，全面推進指導意見的實施，提升我國工業互聯網的安全能力。