在機場、酒店、咖啡廳，可以看到人們很自在地用筆記本電腦享受著上網沖浪的便捷，同時電信運營商們也在積極推廣城市熱點的接入覆蓋訪問。但隨著無線網絡嗅探變得輕而易舉，你是否考慮過網絡環境是否安全?
　　
　　如今，黑客攻擊正在從開放的互聯網向封閉的工控網蔓延，黑客動機從技術展示到利益獲取再到如今的高端性攻擊。工控系統在互聯網時代不斷遭遇信息安全的挑戰，數據安全面臨極大考驗。
　　
　　工業控制系統信息安全，這個不為常人所知的領域一旦遭遇黑客攻擊或者自身出現故障，將對整個城市造成災難性的后果。這是黑客從對計算機網絡虛擬空間的攻擊破壞向公共設施物理空間的延伸。
　　
　　“震網”工控安全事件“震動”中國
　　
　　工控安全涉及國家基本安全，高層對此非常重視，并多次做出批示，但在管理上仍然存在著多頭領導、各自為政的現象。同時，我國主要工業設施、城市基礎設施的工控安全系統大部分由西屋電氣、西門子、阿爾斯通、ABB等國外公司提供，安全具有不可控制性。
　　
　　工控安全問題對中國的震動其實始于伊朗“震網”事件。2010年一種名為“震網”的蠕蟲病毒入侵了伊朗布什爾核電站，20%的離心機報廢，伊朗大約3萬個網絡終端感染。“震網”蠕蟲病毒侵入西門子為核電站設計的工業控制軟件，意在奪取核電設備的控制權。
　　
　　“震網”事件震動了中國。伊朗“震網”事件發生后，工業和信息化部出臺了《關于加強工業控制系統信息安全管理的通知》(亦稱451號文件》。
　　
　　我國工控系統安全問題引人堪憂
　　
　　今年前兩個月，境外6747個木馬或僵尸病毒入侵了中國境內190萬余臺主機，其中位于美國的2194臺控制服務器控制了中國境內128.7萬臺主機。無論是按照控制服務器數量還是按照控制中國主機數量排名，美國都名列第一。3月份的第一周，中國境內感染網絡病毒的主機數量約為138.4萬臺，其中包括境內被木馬或被僵尸程序控制的主機約43.4萬臺以及境內感染飛客蠕蟲的主機約95萬臺。
　　
　　通過網絡控制服務器來威脅工控系統安全是黑客攻擊的主要方式之一，如果今天不重視這個問題，三五年后將是災難性的，因為我們的競爭對手在研究發展各種網絡攻擊武器和手段。
　　
　　工業控制系統安全不是“老系統碰上新問題”，而是傳統信息安全問題在工業控制領域的延伸。當前信息技術已廣泛應用于石油、化工、電力等眾多領域，為傳統工業控制系統優化升級提供了重要的支撐，同時也帶來了網絡環境下的信息安全問題，蠕蟲、木馬、黑客攻擊等網絡威脅對工業控制系統的沖擊呈現出愈演愈烈的發展態勢。
　　
　　正如一位業內人士所說，“大家都知道工控安全問題很重要，但如何做、誰來做，卻一直未有爭論出一個結果。”中國工控安全面臨的主要問題就是“各執一詞”，產業界與專家學者對如何管控安全存在重大分歧，如果讓他們坐到一起難免會爭論得像個菜市場一樣熱鬧。更為重要的是有關工控安全管理的幾個主管部門也很難達成一致意見，正暗中角力。
　　
　　公共設施安全問題似乎是一個很忌諱的話題，即使地鐵、電力、供水、核電等廣泛采用工控系統軟件的單位也很少把安全問題拿到桌面上來討論。據了解，很多單位對公共基礎設施工控系統的管理相對混亂，人員安全意識淡薄，隱患不容小視。
　　
　　工控系統發展滯后 產品受國外限制
　　
　　華北計算機系統工程研究所總工程師徐新國也曾指出，我國工業控制系統信息安全問題其實一直存在，它的安全隱患主要來自兩方面。首先，傳統工控系統在設計之初，計算資源和存儲資源都非常有限，首要考慮的是實時性和功能性，在安全性方面往往缺乏完整的設計。
　　
　　其次，隨著信息技術的快速發展，工控系統變得越來越開放，特別是近年來國家推進工業化和信息化的深度融合，也是信息技術與控制技術融合的一個過程。工控系統與其他信息化系統結合越來越緊密，大量采用通用的操作系統平臺、數據庫系統、通訊協議和標準等信息技術，信息技術本身就存在安全隱患，它的引入勢必放大控制系統的安全問題。
　　
　　然而事實上，中國工控產品市場格局恰是最令人擔憂的問題之一。中國關鍵基礎設施的控制系統現在有相當大的比例是國外的公司供應的，比如西門子、施耐德和西屋電氣，關鍵系統存在一些不可控的風險，如果采用的系統和數據庫內核是別人的，別人只需要簡單的邏輯激發就可以使你的系統癱瘓。
　　
　　目前國內的工控產品，特別是高端工控系統方面實力還很弱，確實無法完全替代國外產品。國產工業控制軟件的精密采集、精準時鐘、智能算法、故障定位、中斷調度等方面的核心技術仍然受制于國外公司，企業自主創新能力不強，如：智能傳感和檢測裝備作為信息化的基礎數據采集和控制裝備，在特殊測量、在線檢測、軟件過濾方面存在不足，導致所采集的現場數據不準確，影響了生產過程的控制精度。
　　
　　此外，國產工業控制軟件仍然缺乏基礎編碼、軟件開發、接口集成、運行維護等封面的標準與規范，導致軟件的可擴展性、可配置性、可重構性和互操作性較差，應用效果不佳。像城鐵系統的信號控制部分，目前工業和信息化部批準的9家有競標資格的企業所采用的核心技術都依賴于國外。
　　
　　如何做好工控安全管理工作？
　　
　　我國對工業控制系統信息安全問題重視不夠，管理制度不健全，相關標準規范缺失，技術防護措施不到位，安全防護能力和應急處置能力不高等，威脅著工業生產安全和社會正常運轉。
　　
　　目前，許多國家對引進國外產品帶來的國家安全隱患都十分重視。在同類項目中，可以分別采用不同的品牌、不同的技術，把雞蛋放在不同的籃子里，以分散風險。應該在一定程度上，采取多種品牌、多種技術的策略，權衡項目成本與項目安全，使二者達到最大程度的優化與平衡。這也需要國內的產品不斷提高技術水平。實際上，國內工控軟件業正在做這方面的工作。僅僅在伊朗“震網”事件發生后的一個月，中國工業軟件產業發展聯盟正式成立。該聯盟常務副秘書長杜京哲還表示，從長遠角度看，發展和使用國產化軟件是將來的必然趨勢，而一些使用國外軟件的用戶需謹慎。
　　
　　要做好工控安全管理工作勢必要以美國為參照。徐新國表示，通過立法的形式來保證采購的工控系統，就不會出可能導致重大事故的漏洞。工控安全問題涉及國家基本安全，應該從國家層面去推動問題的解決，從立法入手，改變國外工控產品占據強勢的格局。需要供應商遵守法律規定的備案規定和審查規定，一旦出現事故將對供應商追究法律責任。
　　
　　綜上所述，我國工控系統發展滯后是國家面臨工控安全問題的一個重大原因，同時也是中國工業大而不強的關鍵原因。盡管業內人士對工控安全問題提出了一些建議，但是國內工控企業規模小，競爭力弱是不可忽視的現象。唯有加速工控軟件的技術標準化進程，尤其是控制組態和執行環境的標準化，才能使得工控軟件技術資源得到充分的利用，提高國產工控軟件的技術成熟度和競爭力。