化工行业工控安全形势严峻

近期，台湾积体电路制造股份有限公司办公电脑遭到病毒入侵，生产线被迫停产，据估算，造成的经济损失达数十亿元。业内专家认为，这是一次典型的工业控制系统信息安全事故，对于正处于信息化、智能化升级关键期的化工企业而言，无疑是一次及时的警示。专家提醒，工控系统信息安全防护是化工企业在智能化升级过程面临的巨大挑战，必须引起高度重视。

　　工控安全挑战严峻

　　随着智能化与两化深度融合，企业工业控制系统迅速升级，大大提升了企业的生产效率。但与此同时，互联网、物联网的引入，使以往封闭的工业控制系统变得越来越开放，病毒、木马以及黑客攻击等威胁可以长驱直入，将毫无工控系统安全防护概念的化工生产企业置于非常严峻的网络环境中。

　　北京力控华康科技有限公司总经理马国华表示：“石化和化工企业两化融合应用系统的多样性，导致了工控系统与外部信息系统数据交互的频度和通信信息量大增，工控系统安全威胁与日俱增。这次发生在台积电的病毒入侵导致停产事件，就是典型的工控系统信息安全事故。如果这样的事情发生在石化或化工企业，除了造成经济损失，后果可能会更加严重。”

　　“当前，我国化工行业工控安全形势非常严峻。我国目前使用的生产控制器与控制程序有很大一部分是国外的产品，存在大量的漏洞和后门。如果没有进行有效防护，非常容易染病毒或被攻击，造成企业生产数据的流失或发生安全事故。”青岛海天炜业过程控制技术股份有限公司负责工控网络安全的吴博士告诉记者。

　　据工信部2014年统计，我国22个重点领域工业控制系统中使用的数据采集与监控系统(SCADA)、分布式控制系统(DCS)以及过程控制系统(PCS)，国外系统占比分别达到55.12%、53.78%和76.79%，大型可编程控制器(PLC)的占比高达91%。然而我国约80%的企业从未对工控系统进行升级和漏洞修补。

　　“与此同时，化工生产涉及大量危险、有毒有害、易燃易爆物质，以及高温高压生产工艺，而且生产过程控制点多，一旦发生泄漏、爆炸等事故，引发严重后果的可能性较大。从近几年网络攻击的发展趋势来看，能源和石化工业物联网遭受的网络攻击已经成为行业面临的重要安全挑战之一，化工行业的工控系统安全形势不容乐观。”吴博士表示。

　　企业主体责任亟待落实

　　工控系统信息安全是伴随着信息化而产生的新问题，化工企业对工控安全问题了解不多，对安全隐患的严重性重视不够，缺乏有效的工控系统安全防护手段。

　　2016年10月和2017年12月，工信部分别印发《工业控制系统信息安全防护指南》和《工业控制系统信息安全行动计划(2018-2020年)》，提出了加强工控安全的具体要求，均强调了要落实企业主体责任，明确企业法人代表、经营负责人第一责任者的责任。

　　“目前，许多企业在工控系统信息安全防护方面的能力十分欠缺，主要原因还是企业负责人对工控系统面临的网络威胁认识不深刻，对这项工作重视不够。一些企业做安全防护只是为了应付检查，而不是出于对工控系统安全工作的真实需求，抱有‘不愿投入，能省就省’的侥幸心理，留下了许多隐患。此次台积电事件为化企敲响了警钟。”吴博士对记者表示。

　　马国华则指出，近几年化工企业虽然对工控系统安全的认识有了提高，但在工控系统安全的责任主体归属上还没有理顺关系。他认为，如果将工控系统信息安全纳入安全生产的管辖范围，将更有利于工控系统信息安全工作的推进。

　　提高安全运营与应急能力

　　此次台积发生电病毒事件的原因是新购工业控制主机终端安装软件时，相关人员并未按要求“打补丁”，进而造成病毒入侵。而这个看似简单的软件升级对于化工企业而言并没有那么简单。

　　马国华介绍说，化工企业的生产工控系统首先考虑的是平稳运行，不像计算机系统一样可以随时升级或打补丁，因为控制系统的软件一旦升级就必须先做全面的配套环境、可用性和安全性测试，以确保不影响生产装置的正常稳定运行。一般情况，企业不会去主动升级工控系统软件，这使得在役生产运行系统可能存在大量漏洞，系统入侵者往往瞄准那些未打补丁的系统，这些薄弱环节便成为企业工控系统安全的极大隐患。他建议，化工企业应在日常的系统维护中，规范管理程序，构建全方位的工控信息安全防护系统，在保持控制系统正常工作的前提下，从外围给控制系统及时“打补丁”。

　　吴博士表示，针对类似台积电病毒事件，工业企业需要提高安全意识，主动做好安全防护。他建议，一方面化工企业要建立起防止病毒和恶意软件入侵的有效管理机制;另一方面还要提升应急处置能力，尽量减少停产带来的损失。

　　具体应该如何实施?吴博士解释道，在生产系统发生重大漏洞补丁更新、新增或减少设备等重大配置变更时，应对可能出现的风险进行分析，并在离线环境进行安全性验证;对工业控制网络与企业网、互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接;做好供应链管理工作，明确服务商应承担的信息安全责任和义务，确保采购的产品没有受到病毒等恶意程序的感染;制订工控安全事件应急响应预案，定期开展应急演练，当遭受病毒攻击时，能够立即采取紧急防护措施，防止事态扩大，尽快恢复业务，减少损失。