化工行業(yè)工控安全形勢嚴峻

近期，臺灣積體電路制造股份有限公司辦公電腦遭到病毒入侵，生產(chǎn)線被迫停產(chǎn)，據(jù)估算，造成的經(jīng)濟損失達數(shù)十億元。業(yè)內(nèi)專家認為，這是一次典型的工業(yè)控制系統(tǒng)信息安全事故，對于正處于信息化、智能化升級關(guān)鍵期的化工企業(yè)而言，無疑是一次及時的警示。專家提醒，工控系統(tǒng)信息安全防護是化工企業(yè)在智能化升級過程面臨的巨大挑戰(zhàn)，必須引起高度重視。

　　工控安全挑戰(zhàn)嚴峻

　　隨著智能化與兩化深度融合，企業(yè)工業(yè)控制系統(tǒng)迅速升級，大大提升了企業(yè)的生產(chǎn)效率。但與此同時，互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的引入，使以往封閉的工業(yè)控制系統(tǒng)變得越來越開放，病毒、木馬以及黑客攻擊等威脅可以長驅(qū)直入，將毫無工控系統(tǒng)安全防護概念的化工生產(chǎn)企業(yè)置于非常嚴峻的網(wǎng)絡(luò)環(huán)境中。

　　北京力控華康科技有限公司總經(jīng)理馬國華表示：“石化和化工企業(yè)兩化融合應(yīng)用系統(tǒng)的多樣性，導致了工控系統(tǒng)與外部信息系統(tǒng)數(shù)據(jù)交互的頻度和通信信息量大增，工控系統(tǒng)安全威脅與日俱增。這次發(fā)生在臺積電的病毒入侵導致停產(chǎn)事件，就是典型的工控系統(tǒng)信息安全事故。如果這樣的事情發(fā)生在石化或化工企業(yè)，除了造成經(jīng)濟損失，后果可能會更加嚴重�！�

　　“當前，我國化工行業(yè)工控安全形勢非常嚴峻。我國目前使用的生產(chǎn)控制器與控制程序有很大一部分是國外的產(chǎn)品，存在大量的漏洞和后門。如果沒有進行有效防護，非常容易染病毒或被攻擊，造成企業(yè)生產(chǎn)數(shù)據(jù)的流失或發(fā)生安全事故�！鼻鄭u海天煒業(yè)過程控制技術(shù)股份有限公司負責工控網(wǎng)絡(luò)安全的吳博士告訴記者。

　　據(jù)工信部2014年統(tǒng)計，我國22個重點領(lǐng)域工業(yè)控制系統(tǒng)中使用的數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)以及過程控制系統(tǒng)(PCS)，國外系統(tǒng)占比分別達到55.12%、53.78%和76.79%，大型可編程控制器(PLC)的占比高達91%。然而我國約80%的企業(yè)從未對工控系統(tǒng)進行升級和漏洞修補。

　　“與此同時，化工生產(chǎn)涉及大量危險、有毒有害、易燃易爆物質(zhì)，以及高溫高壓生產(chǎn)工藝，而且生產(chǎn)過程控制點多，一旦發(fā)生泄漏、爆炸等事故，引發(fā)嚴重后果的可能性較大。從近幾年網(wǎng)絡(luò)攻擊的發(fā)展趨勢來看，能源和石化工業(yè)物聯(lián)網(wǎng)遭受的網(wǎng)絡(luò)攻擊已經(jīng)成為行業(yè)面臨的重要安全挑戰(zhàn)之一，化工行業(yè)的工控系統(tǒng)安全形勢不容樂觀�！眳遣┦勘硎�。

　　企業(yè)主體責任亟待落實

　　工控系統(tǒng)信息安全是伴隨著信息化而產(chǎn)生的新問題，化工企業(yè)對工控安全問題了解不多，對安全隱患的嚴重性重視不夠，缺乏有效的工控系統(tǒng)安全防護手段。

　　2016年10月和2017年12月，工信部分別印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》和《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》，提出了加強工控安全的具體要求，均強調(diào)了要落實企業(yè)主體責任，明確企業(yè)法人代表、經(jīng)營負責人第一責任者的責任。

　　“目前，許多企業(yè)在工控系統(tǒng)信息安全防護方面的能力十分欠缺，主要原因還是企業(yè)負責人對工控系統(tǒng)面臨的網(wǎng)絡(luò)威脅認識不深刻，對這項工作重視不夠。一些企業(yè)做安全防護只是為了應(yīng)付檢查，而不是出于對工控系統(tǒng)安全工作的真實需求，抱有‘不愿投入，能省就省’的僥幸心理，留下了許多隱患。此次臺積電事件為化企敲響了警鐘�！眳遣┦繉τ浾弑硎尽�

　　馬國華則指出，近幾年化工企業(yè)雖然對工控系統(tǒng)安全的認識有了提高，但在工控系統(tǒng)安全的責任主體歸屬上還沒有理順關(guān)系。他認為，如果將工控系統(tǒng)信息安全納入安全生產(chǎn)的管轄范圍，將更有利于工控系統(tǒng)信息安全工作的推進。

　　提高安全運營與應(yīng)急能力

　　此次臺積發(fā)生電病毒事件的原因是新購工業(yè)控制主機終端安裝軟件時，相關(guān)人員并未按要求“打補丁”，進而造成病毒入侵。而這個看似簡單的軟件升級對于化工企業(yè)而言并沒有那么簡單。

　　馬國華介紹說，化工企業(yè)的生產(chǎn)工控系統(tǒng)首先考慮的是平穩(wěn)運行，不像計算機系統(tǒng)一樣可以隨時升級或打補丁，因為控制系統(tǒng)的軟件一旦升級就必須先做全面的配套環(huán)境、可用性和安全性測試，以確保不影響生產(chǎn)裝置的正常穩(wěn)定運行。一般情況，企業(yè)不會去主動升級工控系統(tǒng)軟件，這使得在役生產(chǎn)運行系統(tǒng)可能存在大量漏洞，系統(tǒng)入侵者往往瞄準那些未打補丁的系統(tǒng)，這些薄弱環(huán)節(jié)便成為企業(yè)工控系統(tǒng)安全的極大隱患。他建議，化工企業(yè)應(yīng)在日常的系統(tǒng)維護中，規(guī)范管理程序，構(gòu)建全方位的工控信息安全防護系統(tǒng)，在保持控制系統(tǒng)正常工作的前提下，從外圍給控制系統(tǒng)及時“打補丁”。

　　吳博士表示，針對類似臺積電病毒事件，工業(yè)企業(yè)需要提高安全意識，主動做好安全防護。他建議，一方面化工企業(yè)要建立起防止病毒和惡意軟件入侵的有效管理機制;另一方面還要提升應(yīng)急處置能力，盡量減少停產(chǎn)帶來的損失。

　　具體應(yīng)該如何實施?吳博士解釋道，在生產(chǎn)系統(tǒng)發(fā)生重大漏洞補丁更新、新增或減少設(shè)備等重大配置變更時，應(yīng)對可能出現(xiàn)的風險進行分析，并在離線環(huán)境進行安全性驗證;對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)、互聯(lián)網(wǎng)之間的邊界進行安全防護，禁止沒有防護的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接;做好供應(yīng)鏈管理工作，明確服務(wù)商應(yīng)承擔的信息安全責任和義務(wù)，確保采購的產(chǎn)品沒有受到病毒等惡意程序的感染;制訂工控安全事件應(yīng)急響應(yīng)預(yù)案，定期開展應(yīng)急演練，當遭受病毒攻擊時，能夠立即采取緊急防護措施，防止事態(tài)擴大，盡快恢復業(yè)務(wù)，減少損失。