化工行業工控安全形勢嚴峻

近期，臺灣積體電路制造股份有限公司辦公電腦遭到病毒入侵，生產線被迫停產，據估算，造成的經濟損失達數十億元。業內專家認為，這是一次典型的工業控制系統信息安全事故，對于正處于信息化、智能化升級關鍵期的化工企業而言，無疑是一次及時的警示。專家提醒，工控系統信息安全防護是化工企業在智能化升級過程面臨的巨大挑戰，必須引起高度重視。

　　工控安全挑戰嚴峻

　　隨著智能化與兩化深度融合，企業工業控制系統迅速升級，大大提升了企業的生產效率。但與此同時，互聯網、物聯網的引入，使以往封閉的工業控制系統變得越來越開放，病毒、木馬以及黑客攻擊等威脅可以長驅直入，將毫無工控系統安全防護概念的化工生產企業置于非常嚴峻的網絡環境中。

　　北京力控華康科技有限公司總經理馬國華表示：“石化和化工企業兩化融合應用系統的多樣性，導致了工控系統與外部信息系統數據交互的頻度和通信信息量大增，工控系統安全威脅與日俱增。這次發生在臺積電的病毒入侵導致停產事件，就是典型的工控系統信息安全事故。如果這樣的事情發生在石化或化工企業，除了造成經濟損失，后果可能會更加嚴重�！�

　　“當前，我國化工行業工控安全形勢非常嚴峻。我國目前使用的生產控制器與控制程序有很大一部分是國外的產品，存在大量的漏洞和后門。如果沒有進行有效防護，非常容易染病毒或被攻擊，造成企業生產數據的流失或發生安全事故。”青島海天煒業過程控制技術股份有限公司負責工控網絡安全的吳博士告訴記者。

　　據工信部2014年統計，我國22個重點領域工業控制系統中使用的數據采集與監控系統(SCADA)、分布式控制系統(DCS)以及過程控制系統(PCS)，國外系統占比分別達到55.12%、53.78%和76.79%，大型可編程控制器(PLC)的占比高達91%。然而我國約80%的企業從未對工控系統進行升級和漏洞修補。

　　“與此同時，化工生產涉及大量危險、有毒有害、易燃易爆物質，以及高溫高壓生產工藝，而且生產過程控制點多，一旦發生泄漏、爆炸等事故，引發嚴重后果的可能性較大。從近幾年網絡攻擊的發展趨勢來看，能源和石化工業物聯網遭受的網絡攻擊已經成為行業面臨的重要安全挑戰之一，化工行業的工控系統安全形勢不容樂觀。”吳博士表示。

　　企業主體責任亟待落實

　　工控系統信息安全是伴隨著信息化而產生的新問題，化工企業對工控安全問題了解不多，對安全隱患的嚴重性重視不夠，缺乏有效的工控系統安全防護手段。

　　2016年10月和2017年12月，工信部分別印發《工業控制系統信息安全防護指南》和《工業控制系統信息安全行動計劃(2018-2020年)》，提出了加強工控安全的具體要求，均強調了要落實企業主體責任，明確企業法人代表、經營負責人第一責任者的責任。

　　“目前，許多企業在工控系統信息安全防護方面的能力十分欠缺，主要原因還是企業負責人對工控系統面臨的網絡威脅認識不深刻，對這項工作重視不夠。一些企業做安全防護只是為了應付檢查，而不是出于對工控系統安全工作的真實需求，抱有‘不愿投入，能省就省’的僥幸心理，留下了許多隱患。此次臺積電事件為化企敲響了警鐘。”吳博士對記者表示。

　　馬國華則指出，近幾年化工企業雖然對工控系統安全的認識有了提高，但在工控系統安全的責任主體歸屬上還沒有理順關系。他認為，如果將工控系統信息安全納入安全生產的管轄范圍，將更有利于工控系統信息安全工作的推進。

　　提高安全運營與應急能力

　　此次臺積發生電病毒事件的原因是新購工業控制主機終端安裝軟件時，相關人員并未按要求“打補丁”，進而造成病毒入侵。而這個看似簡單的軟件升級對于化工企業而言并沒有那么簡單。

　　馬國華介紹說，化工企業的生產工控系統首先考慮的是平穩運行，不像計算機系統一樣可以隨時升級或打補丁，因為控制系統的軟件一旦升級就必須先做全面的配套環境、可用性和安全性測試，以確保不影響生產裝置的正常穩定運行。一般情況，企業不會去主動升級工控系統軟件，這使得在役生產運行系統可能存在大量漏洞，系統入侵者往往瞄準那些未打補丁的系統，這些薄弱環節便成為企業工控系統安全的極大隱患。他建議，化工企業應在日常的系統維護中，規范管理程序，構建全方位的工控信息安全防護系統，在保持控制系統正常工作的前提下，從外圍給控制系統及時“打補丁”。

　　吳博士表示，針對類似臺積電病毒事件，工業企業需要提高安全意識，主動做好安全防護。他建議，一方面化工企業要建立起防止病毒和惡意軟件入侵的有效管理機制;另一方面還要提升應急處置能力，盡量減少停產帶來的損失。

　　具體應該如何實施?吳博士解釋道，在生產系統發生重大漏洞補丁更新、新增或減少設備等重大配置變更時，應對可能出現的風險進行分析，并在離線環境進行安全性驗證;對工業控制網絡與企業網、互聯網之間的邊界進行安全防護，禁止沒有防護的工業控制網絡與互聯網連接;做好供應鏈管理工作，明確服務商應承擔的信息安全責任和義務，確保采購的產品沒有受到病毒等惡意程序的感染;制訂工控安全事件應急響應預案，定期開展應急演練，當遭受病毒攻擊時，能夠立即采取緊急防護措施，防止事態擴大，盡快恢復業務，減少損失。