摘要：如今，我国工控系统存在严重**隐患，**形势日益严峻。对此，工业控制系统的**保障能力必须提升到战略高度予以重视。

图源于网络

工控系统面临的**形势日益严峻

我国工控系统存在严重**隐患。根据绿盟科技结合美国CVE（公共漏洞和暴露）、ICS－CERT（美国国土**部工业控制系统和计算机应急响应小组）以及中国国家信息**漏洞共享平台所发布的数据，截至2014年6月，共有549个与工业控制系统相关的公开**漏洞，其中128个涉及西门子产品，占28％；46个涉及施耐德电气产品，占10％；37个涉及研华科技产品，占8％；31个涉及GE产品，占7％。上述厂商的产品在我国工控系统中有着极为广泛的应用，甚至部分产品在某些行业处于市场垄断地位，我国工控系统的**脆弱性不容忽视。

　　我国工控系统**防护的三大问题

逆向发展过程中标准难落地。为应对工控系统的**风险，近年来我国参考国外标准体系，制定并颁布了多项行业**管理和技术标准，对产业的发展起到了显著的规范和引导作用。但国外标准体系是在大量应用实践基础上总结而来的，我国则是先有标准，再发展满足市场需求且成本合理的解决方案，是一个逆向发展的过程，突出的挑战在于标准如何能够落地，这对于**厂商的技术能力和用户企业的应用水平都有较高要求，需要大量经验丰富、精通工控和**技术的研发和应用人才。

工业企业应用**解决方案过程中轻视**管理。面对工控系统的**隐患，用户企业延续信息**防护的旧思路，认为工控系统**属于纯技术问题，要求工控系统厂商提供整改方案，或者转向第三方厂商购买**解决方案。但**防护不只是技术问题，更重要的是通过流程制度对**脆弱性进行控制，并保证人员对流程制度的坚决执行。很多情况下，**事故的发生和关键信息的泄露，人的因素至关重要。如何使**管理融入到日常管理的流程，并强化落实流程的执行，加强人员的管理，是工业企业必须认真思考和解决的问题。

**厂商开发解决方案过程中忽视**治理体系。在能源、电力等关键部门迫切的工控系统**整改需求推动之下，我国工控系统**市场快速扩大，吸引了大量传统IT信息**厂商的进入。工控系统**防护是一个综合治理体系，既强调保障工控系统的高可用性和高可靠性，还要防范**事件可能对工业基础设施以及人员生命**带来的威胁。

对策建议

借鉴德国经验，将工控系统**保障能力建设上升为国家战略。一是尽快启动现有工控系统的系统性**评估，落实成本经济的**解决方案。二是把工控系统**保障能力建设纳入到制造业转型升级战略体系当中，同步部署，重点推进，研究制定相关发展促进政策。三是持续推进知识产权保护，加强立法和执法。

以标准为基础，以市场为导向，支持工控系统**技术和解决方案的研发。一是积极跟踪并参与国际工控系统**标准规范和认证管理等方面的工作，加深对工控系统**标准体系和管理方法的理解，加快工控系统***家标准的制定。二是以市场应用为导向，切合实际需求，支持产学研单位积极研发技术自主、成本经济的工控系统**解决方案。三是加快培养一批**掌握工业控制技术和相关**技术知识的专业人才。

培育工控系统**生态体系。一是提高工控系统**的治理水平。二是规范工控系统**风险和脆弱性评估市场，尽快建立统一、独立的国家评估体系。三是加快建立基于行业的工控系统**漏洞，形成工控系统和信息**厂商的协同机制，加强对工控事件的监测和通报，实现漏洞信息定期更新。

加强信息**策略体系建设和流程管理。一是要求工业企业加快制定**管理制度，明确职责、权限，提高对工控系统**的认识水平和重视程度。二是加强**教育和管理培训，督促企业落实**管理制度，定期组织工控系统**检查。