工业控制系统依赖进口 将埋下安全隐患(2)

我国的工控市场过度开放，使得国外系统大面积使用在我国的基础项目中。四方继保是我国电厂自动化系统的主要供应商，所研发产品已在市场投入20年，具有完整的设备、系统软件研发能力，完整的产品线，并具有深厚的系统集成经验，然而，在现有的电厂自动化系统中，国外产品、尤其是核心的自动化控制系统仍然占很大比例。

据了解，在西气东输项目的400公里中，其中仅有180公里克伦管线采用了某国内工控企业的监控系统，其他无一例外全是进口的控制系统和设备。该企业老总表示，作为这一项目仅有的一家国内企业，可以说他们创造了奇迹。但是如果换位思考，假如这是美国的西气东输项目，他们绝对不会用我国输出的工控系统，就像华为的服务器卖不进美国一样。

国外产品已经占领了大部分市场，如PLC国内产品的市场占有率不到1%，卫星导航系统的芯片95%依赖进口，其中80%来自美国。以某数控设备有限公司为例，在硬件方面，目前他们所生产的产品90%以上的元器件都使用国外品牌，其中最多的是X86芯片，这些系统有一部分已经被销售到重要领域，厂商对此深表忧虑。没有自主硬件和系统软件的平台，很难实现工控行业的自立，工业信息系统的安全可控更无从实现。

大部分工控系统核心控制模块从国外引进，而国外工业控制芯片、工业控制系统产品设计和配置等都可能存在漏洞。这些漏洞给予不法分子利用病毒进行网络攻击的机会，极有可能造成严重后果。

加密和身份识别可防攻击

随着信息技术和自动化控制的融合，运行数据采集与监视控制系统(SCADA)已成为黑客重点攻击的目标。

随着网络化的发展，越来越多的工控系统连入企业内网和外网，也带来了更多安全隐患。

早先，用于控制生产环节的自动化控制系统都是孤立的系统，只有在所在企业的控制室里才可以对阀门、压力等进行控制。随着信息技术和自动化控制的融合，以及企业管理的需求，越来越多的控制系统开始联入企业的内部网，而企业的内网又由于商务的需求和互联网连在了一起，于是提供了黑客通过互联网入侵企业内网去盗取企业商业秘密的可能，进一步，还提供了黑客入侵控制系统去远程控制生产的可能。因为在工控系统智能化、网络化的情况下，系统厂商既可以对客户所用大型设备进行远程监测与维护，也可以进行远程干预，这种运行数据采集与监视控制系统(SCADA)已经成为黑客重点攻击的目标。

近20年来，工控系统强调开放性，在系统中大量引入民用的COTS产品，如Windows操作系统、关系数据库等，并广泛使用以太网和TCP/IP协议。对于大部分工控系统而言，简单的DoS攻击就可以使系统网络完全瘫痪，造成工业过程失控或装置停机。大部分的工业网络和现场总线协议，广泛使用MODBUS/TCP、CAN等明码传输，没有严格的身份识别，报文很容易被伪造。这种由相对封闭的专用计算机和网络体系发展而来的工控系统，安全最薄弱的环节就落在了工业网络数据传输上，特别对于大型SCADA系统，设备分散安装，部分采用公网和无线网络，更容易受到攻击。

加密和身份识别是解决工业网络数据传输的措施之一，但由于工控系统大多采用嵌入式设计，CPU能力弱加密和身份识别需要耗费一定的资源。他建议，对于在售系统和在役系统改造适宜增加外置的加解密设备解决，而对于正在开发的系统，应在设备本体内解决。