今年两会的政府工作报告指出，要推动传统产业改造提升，打造工业互联网平台，拓展“智能+”，为制造业转型升级赋能。由此可见工业互联网安全的重要性将越来越被重视。

近日，工业控制系统安全国家地方联合工程实验室（以下简称实验室）发布了《工业互联网安全风险态势报告（2018）》，揭示了过去一年工控系统的暴露情况、漏洞变化情况以及防御状况。报告显示，2018年工业互联网安全漏洞呈现高速增长的态势。

一 持续扩大的攻击面

商业网络（IT）与工业网络（OT）的不断融合，在拓展了工业控制系统发展空间的同时，也带来了工业控制系统网络安全的问题。报告显示，中国直接暴露在互联网中的工控系统数量为6223个，排名全球第五。尽管暴露出来的工控系统组件数量在一定程度上反映出了该地区的工业互联网的发展状况，但同时暴露就意味着潜在的攻击风险。

在所有的工控系统组件中，工控设备的暴露是最为危险的。工控设备的暴露意味着攻击者有可能直接对设备本身发动攻击。据360工业互联网安全大数据分析平台 ——哈勃平台统计，暴露在互联网上的工业控制系统设备主要包括PLC、DCS、DTU、SCADA等。

与此同时，工业互联网安全漏洞自2010年以来，基本呈现了一个爆发式增长的态势。报告显示，自2000年-2009年， CNVD每年收录的工控系统漏洞数量一直保持在个位数。但到了2010年，该数字一下子攀升到32个，次年又跃升到190个。但2011年-2015年，新发现的工业互联网漏洞保持了一个持续回落的姿态。然而2016年开始，漏洞数量又开始激增，2016年191个；2017年351个；而到了2018年，增长到了442个。

众所周知，2010年震网病毒的爆发令世人震惊；2015年底和2016年底，乌克兰发电站两次遭遇黑客入侵。这两次全球最典型的工业互联网安全事件，让更多的人投入到了工业互联网安全漏洞的研究之中，因而收录的漏洞数量出现了显著的上涨。可以预见的是，随着工业互联网的快速发展和相应安全事件的频发，越来越多的漏洞将被找到。

要注意的是，与一般的IT系统不同，受生产环境的约束，很多的工业系统安全漏洞即便已知，也未必能有条件进行修复。

二 工业互联网安全防护建设思路

面对复杂的安全形势，很多工业企业在相应的安全防护做得并不够好。随着IT和OT网络的加速融合，OT网络从一个封闭的环境变得更加开放。无论是用IT安全的思路来做OT安全，还是干脆忽略了OT网络的安全防护，都会带来很大的问题。

实验室在对工业企业进行广泛、深入的研究过程中，总结出了当前国内工业企业在工业互联网领域面临的六大主要安全威胁，分别是：OT安全管理不到位；IT和OT安全责任模糊；IT安全控制在OT领域无效；缺乏OT资产和漏洞的可见性；工业主机几乎“裸奔”和IT、OT网络混杂缺防护。

针对这些情况，实验室总结出了工业互联网安全推进的近期、中期和远期目标，供工业企业参考。

近期目标强调提升团队的网络安全意识，梳理自身的OT资产，并且做好工业主机的安全防护。

中期目标是统一IT/OT安全治理工作正式化；建立共同的IT/OT安全运营模式；修订现有的安全策略框架；使用工业防火墙、流量监测实施IT/OT网络安全控制和实时监测；提高OT安全流程的成熟度。

远期目标强调对工控系统进行定期渗透测试，漏洞扫描等安全测试方式；应用新的OT安全工具和技术，进行概念验证、实验、测试、部署、维护；衡量和控制OT安全流程及其有效性；持续评估IT/OT安全级别；识别可能影响OT功能的基础设施和工控系统的潜在风险。