2.工業(yè)控制系統(tǒng)的主要安全威脅

隨著信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，ICS產(chǎn)品越來越多地采用通用協(xié)議、硬件和軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡連接。這使得ICS已經(jīng)不再是過去那種封閉的領域，因此面臨的安全問題也日益突出。目前，我國工業(yè)控制系統(tǒng)普遍存在的安全問題主要表現(xiàn)在以下幾個方面：

1)安全防護缺乏

工業(yè)控制系統(tǒng)作為與傳統(tǒng)信息系統(tǒng)完全不同的生產(chǎn)控制系統(tǒng)，其設計、建設、管理和維護人員都是工業(yè)控制專業(yè)領域的技術人才，缺乏足夠的信息安全知識，因此工業(yè)控制系統(tǒng)普遍存在對安全性考慮不足。在工業(yè)控制系統(tǒng)設計場景與管理控制等多方面，優(yōu)先確保系統(tǒng)的高可用性和業(yè)務連續(xù)性，而對于認證、加密、授權等方面缺乏足夠措施。而由于工業(yè)控制系統(tǒng)優(yōu)先保證高可用性和業(yè)務連續(xù)性，考慮到軟件補丁兼容性風險問題，系統(tǒng)軟件通常難以及時升級，設備使用周期也較長，這使得工業(yè)控制系統(tǒng)難以及時處理嚴重的安全漏洞。

2)系統(tǒng)安全可控性不高

工業(yè)控制設備生產(chǎn)廠商目前主要由國外廠商控制，相應的工業(yè)控制協(xié)議等核心技術都掌握在國外知名工業(yè)控制系統(tǒng)生產(chǎn)制造商手中。這些設備都可能存在安全漏洞和后門，極有可能造成非常嚴重的后果，而這些漏洞的修補都只能依賴于國外相應的生產(chǎn)廠商。

3)缺乏安全管理標準和技術

工業(yè)控制系統(tǒng)由于運行在相對封閉的環(huán)境中，并且系統(tǒng)類型繁多，技術差異也較大，使得現(xiàn)有的信息安全產(chǎn)品無法直接應用在系統(tǒng)中，相應的管理體系、管理標準也不適應。而目前我國工業(yè)控制系統(tǒng)安全相關技術、標準、管理體系都不成熟，使得安全風險存在工業(yè)控制系統(tǒng)的設計、開發(fā)、部署、運維的各個環(huán)節(jié)。