化工行業(yè)工控安全形勢嚴(yán)峻

近期，臺(tái)灣積體電路制造股份有限公司辦公電腦遭到病毒入侵，生產(chǎn)線被迫停產(chǎn)，據(jù)估算，造成的經(jīng)濟(jì)損失達(dá)數(shù)十億元。業(yè)內(nèi)專家認(rèn)為，這是一次典型的工業(yè)控制系統(tǒng)信息安全事故，對于正處于信息化、智能化升級關(guān)鍵期的化工企業(yè)而言，無疑是一次及時(shí)的警示。專家提醒，工控系統(tǒng)信息安全防護(hù)是化工企業(yè)在智能化升級過程面臨的巨大挑戰(zhàn)，必須引起高度重視。

　　工控安全挑戰(zhàn)嚴(yán)峻

　　隨著智能化與兩化深度融合，企業(yè)工業(yè)控制系統(tǒng)迅速升級，大大提升了企業(yè)的生產(chǎn)效率。但與此同時(shí)，互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的引入，使以往封閉的工業(yè)控制系統(tǒng)變得越來越開放，病毒、木馬以及黑客攻擊等威脅可以長驅(qū)直入，將毫無工控系統(tǒng)安全防護(hù)概念的化工生產(chǎn)企業(yè)置于非常嚴(yán)峻的網(wǎng)絡(luò)環(huán)境中。

　　北京力控華康科技有限公司總經(jīng)理馬國華表示：“石化和化工企業(yè)兩化融合應(yīng)用系統(tǒng)的多樣性，導(dǎo)致了工控系統(tǒng)與外部信息系統(tǒng)數(shù)據(jù)交互的頻度和通信信息量大增，工控系統(tǒng)安全威脅與日俱增。這次發(fā)生在臺(tái)積電的病毒入侵導(dǎo)致停產(chǎn)事件，就是典型的工控系統(tǒng)信息安全事故。如果這樣的事情發(fā)生在石化或化工企業(yè)，除了造成經(jīng)濟(jì)損失，后果可能會(huì)更加嚴(yán)重�！�

　　“當(dāng)前，我國化工行業(yè)工控安全形勢非常嚴(yán)峻。我國目前使用的生產(chǎn)控制器與控制程序有很大一部分是國外的產(chǎn)品，存在大量的漏洞和后門。如果沒有進(jìn)行有效防護(hù)，非常容易染病毒或被攻擊，造成企業(yè)生產(chǎn)數(shù)據(jù)的流失或發(fā)生安全事故�！鼻鄭u海天煒業(yè)過程控制技術(shù)股份有限公司負(fù)責(zé)工控網(wǎng)絡(luò)安全的吳博士告訴記者。

　　據(jù)工信部2014年統(tǒng)計(jì)，我國22個(gè)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)中使用的數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)以及過程控制系統(tǒng)(PCS)，國外系統(tǒng)占比分別達(dá)到55.12%、53.78%和76.79%，大型可編程控制器(PLC)的占比高達(dá)91%。然而我國約80%的企業(yè)從未對工控系統(tǒng)進(jìn)行升級和漏洞修補(bǔ)。

　　“與此同時(shí)，化工生產(chǎn)涉及大量危險(xiǎn)、有毒有害、易燃易爆物質(zhì)，以及高溫高壓生產(chǎn)工藝，而且生產(chǎn)過程控制點(diǎn)多，一旦發(fā)生泄漏、爆炸等事故，引發(fā)嚴(yán)重后果的可能性較大。從近幾年網(wǎng)絡(luò)攻擊的發(fā)展趨勢來看，能源和石化工業(yè)物聯(lián)網(wǎng)遭受的網(wǎng)絡(luò)攻擊已經(jīng)成為行業(yè)面臨的重要安全挑戰(zhàn)之一，化工行業(yè)的工控系統(tǒng)安全形勢不容樂觀�！眳遣┦勘硎�。

　　企業(yè)主體責(zé)任亟待落實(shí)

　　工控系統(tǒng)信息安全是伴隨著信息化而產(chǎn)生的新問題，化工企業(yè)對工控安全問題了解不多，對安全隱患的嚴(yán)重性重視不夠，缺乏有效的工控系統(tǒng)安全防護(hù)手段。

　　2016年10月和2017年12月，工信部分別印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》和《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》，提出了加強(qiáng)工控安全的具體要求，均強(qiáng)調(diào)了要落實(shí)企業(yè)主體責(zé)任，明確企業(yè)法人代表、經(jīng)營負(fù)責(zé)人第一責(zé)任者的責(zé)任。

　　“目前，許多企業(yè)在工控系統(tǒng)信息安全防護(hù)方面的能力十分欠缺，主要原因還是企業(yè)負(fù)責(zé)人對工控系統(tǒng)面臨的網(wǎng)絡(luò)威脅認(rèn)識不深刻，對這項(xiàng)工作重視不夠。一些企業(yè)做安全防護(hù)只是為了應(yīng)付檢查，而不是出于對工控系統(tǒng)安全工作的真實(shí)需求，抱有‘不愿投入，能省就省’的僥幸心理，留下了許多隱患。此次臺(tái)積電事件為化企敲響了警鐘�！眳遣┦繉τ浾弑硎尽�

　　馬國華則指出，近幾年化工企業(yè)雖然對工控系統(tǒng)安全的認(rèn)識有了提高，但在工控系統(tǒng)安全的責(zé)任主體歸屬上還沒有理順關(guān)系。他認(rèn)為，如果將工控系統(tǒng)信息安全納入安全生產(chǎn)的管轄范圍，將更有利于工控系統(tǒng)信息安全工作的推進(jìn)。

　　提高安全運(yùn)營與應(yīng)急能力

　　此次臺(tái)積發(fā)生電病毒事件的原因是新購工業(yè)控制主機(jī)終端安裝軟件時(shí)，相關(guān)人員并未按要求“打補(bǔ)丁”，進(jìn)而造成病毒入侵。而這個(gè)看似簡單的軟件升級對于化工企業(yè)而言并沒有那么簡單。

　　馬國華介紹說，化工企業(yè)的生產(chǎn)工控系統(tǒng)首先考慮的是平穩(wěn)運(yùn)行，不像計(jì)算機(jī)系統(tǒng)一樣可以隨時(shí)升級或打補(bǔ)丁，因?yàn)榭刂葡到y(tǒng)的軟件一旦升級就必須先做全面的配套環(huán)境、可用性和安全性測試，以確保不影響生產(chǎn)裝置的正常穩(wěn)定運(yùn)行。一般情況，企業(yè)不會(huì)去主動(dòng)升級工控系統(tǒng)軟件，這使得在役生產(chǎn)運(yùn)行系統(tǒng)可能存在大量漏洞，系統(tǒng)入侵者往往瞄準(zhǔn)那些未打補(bǔ)丁的系統(tǒng)，這些薄弱環(huán)節(jié)便成為企業(yè)工控系統(tǒng)安全的極大隱患。他建議，化工企業(yè)應(yīng)在日常的系統(tǒng)維護(hù)中，規(guī)范管理程序，構(gòu)建全方位的工控信息安全防護(hù)系統(tǒng)，在保持控制系統(tǒng)正常工作的前提下，從外圍給控制系統(tǒng)及時(shí)“打補(bǔ)丁”。

　　吳博士表示，針對類似臺(tái)積電病毒事件，工業(yè)企業(yè)需要提高安全意識，主動(dòng)做好安全防護(hù)。他建議，一方面化工企業(yè)要建立起防止病毒和惡意軟件入侵的有效管理機(jī)制;另一方面還要提升應(yīng)急處置能力，盡量減少停產(chǎn)帶來的損失。

　　具體應(yīng)該如何實(shí)施?吳博士解釋道，在生產(chǎn)系統(tǒng)發(fā)生重大漏洞補(bǔ)丁更新、新增或減少設(shè)備等重大配置變更時(shí)，應(yīng)對可能出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行分析，并在離線環(huán)境進(jìn)行安全性驗(yàn)證;對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)、互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接;做好供應(yīng)鏈管理工作，明確服務(wù)商應(yīng)承擔(dān)的信息安全責(zé)任和義務(wù)，確保采購的產(chǎn)品沒有受到病毒等惡意程序的感染;制訂工控安全事件應(yīng)急響應(yīng)預(yù)案，定期開展應(yīng)急演練，當(dāng)遭受病毒攻擊時(shí)，能夠立即采取緊急防護(hù)措施，防止事態(tài)擴(kuò)大，盡快恢復(fù)業(yè)務(wù)，減少損失。