（上海市信息安全测评认证中心，上海 200011）

工业控制系统是电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“中枢神经”，超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。随着“中国制造 2025”战略和工业互联网体系架构的提出，工业控制系统通过物联网、互联网等技术实现工业全系统多层次互联互通，互联网和新一代信息技术与工业系统逐渐实现全方位的深度融合，工业控制和基础设施智能化程度不断提高。

近年来，从封闭不断走向开放的工业控制系统同时也面临着越来越多来自互联网的信息安全威胁，尤其是针对工控系统关键产品的攻击不断增多，安全防护形势十分严峻。另一方面，目前我国工业控制系统的关键技术和产品对国外厂商依赖程度相当高，短期内还无法实现有效的自主可控。在当前工控信息安全事件高发，国际政治、经济形势复杂多变的情况下，加强工业控制领域关键技术和产品的信息安全认证和审查，对于提高安全性和可控性具有重要意义。

1 我国工业控制系统安全状况分析

1.1 我国工业控制系统关键技术和产品应用状况

近年来随着工业互联网以及工业4.0等概念的提出，我国制造业紧紧抓住新的机遇，加快转型发展，实现我国制造业迈向中高端水平。作为制造业至关重要的一部分，工业自动化控制同样迎来了广阔的市场发展机遇。纵观我国工业控制系统产品的应用情况可以发现，目前国外主流厂商占据了SCADA、DCS等关键系统设备的大部分市场份额，在高端应用领域更是处于垄断地位[1]。

可编程逻辑控制器在自动化工程项目中占有主要地位，随着自动化产业热潮不断升温，PLC市场增长迅速，规模持续扩大。但在我国PLC市场上，国产品牌所占据的市场份额比例较小[2]，目前市场上95%以上的PLC产品来自国外公司，主要有：西门子、施耐德、 欧姆龙、三菱电机、罗克韦尔、ABB、艾默生、GE等。

我国工业软件市场增长迅速，目前市场规模已近千亿元。在《中国制造2025》的大背景下，工业企业转变发展模式、加快两化融合成为大势所趋，工业软件以及信息化服务的需求仍将继续增加，中国继续保持着全球工业软件市场增长生力军的地位。尽管我国工业软件市场成长快，但由于起步晚、积累少，在大部分工业领域，国外工业软件仍占据统治地位[3]。目前，中国高端工业软件市场80%被国外垄断，中低端市场的自主率也不超过50%。国际上西门子、GE等公司纷纷投入巨资，研发未来工业软件，我国在工业软件上与国际主流水平差距依然很大。

此外，在数控机床领域[4]，发那科(FANUC)和西门子(SIEMENS)仍占领中高档控制器的主导地位，这两家公司在世界市场的占有率超过80%，而机器人、变频器、伺服系统、传感器等工业控制系统重要设备的市场份额中，国产厂商所占的比例也明显低于国际厂商。可以说，目前我国工业控制系统产品依赖于国外主流供应商，国产可替代产品在数量和产品功能、质量上均与进口产品存在着较大的差距，工业控制系统的信息安全管控总体受制于人。

1.2 工业控制系统面临的安全风险

作为国家关键信息基础设施的重要组成部分，工业控制系统的安全关系到国家的战略安全,工业控制系统安全事故往往造成严重的经济损失和社会影响。2010年伊朗布什尔核电站的“震网病毒”攻击、2015年底乌克兰电力部门遭受到恶意代码攻击等安全事件表明，针对工业控制系统的漏洞攻击正朝着关键控制器攻击、网络协议攻击、专业攻击人员攻击、工控信息系统漏洞挖掘与发布同时增长等趋势发展。攻击威胁的快速发展对安全防护能力提出了更高的挑战，安全保障难度不断加大。目前，我国工业控制系统面临的安全形势非常严峻，安全防护能力严重不足，安全防护手段建设严重滞后，主要有以下四类风险：

1.2.1 工控平台结构安全风险

随着TCP/IP 等通用协议与开发标准引入工业控制系统以及工业互联网体系架构的提出，开放、透明的工业控制系统为物联网、云计算、移动互联网等新兴技术领域开辟出广阔的想象空间。目前，多数工业控制系统内部开始采取一些安全隔离或者访问认证的措施，但在工控网络结构上仍然面临着网络边界防护缺失，安全区域防护较弱、外部网络接入缺乏加密认证等风险。

1.2.2 工控本体安全风险

目前多数工业企业的系统主机、工业控制设备、移动介质及网络设备等普遍采用国外品牌，因协议和配置缺陷导致工业控制系统存在大量漏洞且未修复或者未能及时修复，也缺乏必要补偿性控制措施进行防护。这些漏洞一旦被入侵者利用将引起设备故障或设备未经授权的操作，影响工控系统和组件的安全运行，导致不可控的安全威胁。整体而言，工业企业的工控系统漏洞风险管理能力及对工控系统的漏洞分析和评估修复的技术能力相对较弱，尚不能准确掌握工控设备的漏洞和后门情况，工业控制系统组件漏洞的数量呈逐年增加态势。

1.2.3 工控行为安全风险

由于承载着海量的操作数据，并可以通过篡改逻辑控制器控制指令而实现对目标控制系统的攻击，关键领域的工业控制系统基础设施正在成为攻击者渗透攻击甚至攫取利益的重点对象。但目前工业企业工控网络普遍缺乏必要的技术手段对网络行为、关键设备、系统帐户等进行有效的监控和审计，不能及时监控网络中的攻击和异常行为。工控系统安全审计的缺失将导致在发生故障后不能快速进行操作溯源以及无法及时对故障进行定位，影响工控系统安全稳定运行。

1.2.4 工控安全管理风险

工业控制的信息安全管理方面的问题也不容忽视，很多已经实施了安全防御措施的工控系统仍然会因为管理或操作上的失误，出现潜在的安全短板。目前不少工控企业普遍缺乏完善的系统风险评估、运行维护、安全审计、突发事件处理等管理体制机制，人员培训、配置变更管理、灾备管理等管理制度也存在不同程度的漏洞。工控安全管理制度的不完善导致黑客通过社会工程学攻击工控系统的案例屡见不鲜，除了可能造成生产流程中断等情况，更可能发生工艺数据及配方等机密信息的泄露。

1.3 工业控制系统关键技术产品风险

从总体上看，我国工控信息安全防护体系建设滞后于工控系统建设，产业基础薄弱，系统产品严重依赖进口，自主可控性较差，导致防护薄弱。截止至2017年底，在CVE、NVD、CNVD和CNNVD收录的工控漏洞信息的基础上统计发现，近年来全球工控系统安全漏洞数量高居不下，经分析2008年至2017年的漏洞条目[5]，可见图1。

图1 近年来公开的工控漏洞数量变化

可以看出，2011年之后随着“震网病毒”的出现，工控系统安全得到了空前关注，相应的漏洞信息披露也进入了快速增长时期，累计披露的工控信息安全漏洞超过1900条，工控系统面临的安全问题日益严峻。

根据对2008年以来的工控信息安全漏洞进行分析研究（见图2），可以看出权限管理、认证许可、资源管理、缓冲区溢出等漏洞数量最多，对工控系统的危害主要集中于服务器系统，SCADA软件、PLC设备等。上述漏洞能够造成工控系统服务中断、系统停机、信息泄露甚至是物理性破坏，因此常常被黑客、病毒及恶意程序所利用。此外，通过信息泄露类漏洞，企业内部的重要工艺流程、参数、设备参数等关键信息容易被攻击者所窃取，极易造成严重的经济损失，也将成为进一步实施攻击的重要情报。

图2 2008年以来工控安全漏洞类型分布

近年来工业控制系统关键控制设备及管理软件系统的漏洞呈现快速上升的趋势，且高风险漏洞所占的比例逐年升高，漏洞所影响的工控系统类型不断增多。由于我国目前在石化、交通、电力、先进制造、市政等重要基础设施中，国外进口的工控设备、软件所占的比例较高，这些重要产品短期内无法实现自主可控，相关信息安全漏洞信息的获取不可避免存在着滞后性，给现有工控系统带来的潜在威胁更不容忽视，也对工控系统的安全保障措施提出了更高的挑战。

2 国外网络安全审查制度

2.1 美国网络安全审查制度

美国是最早针对网络安全建立审查制度的国家，在网络安全审查制度的建立和执行上具有丰富的经验，值得我们借鉴。

早在1975年5月，美国便成立了外国投资委员会CFIUS（The Committee on Foreign Investment in the United States）。CFIUS最初主要调查外国投资和并购是否符合产业政策以及是否有利于促进竞争和不违背反垄断法律。2007年美国的《外国投资和国家安全法》（FINSA）生效，对CFIUS进行了法律上的确认和制度化，由CFIUS对外国投资可能存在的影响国家安全的因素（包括美国关键基础设施、关键技术等）进行审查。

除了对外国投资实施严格的安全审查外，美国对于信息技术产品和服务也提出了网络安全审查要求，同时针对不同领域采取了不同的网络安全审查机制。

2.1.1 国家安全系统

早在2000年美国宣布在国家安全系统中用于保护非涉密信息的密码类信息技术产品必须通过国家标准和技术研究院(NIST)的FIPS 140认证。2002年7月起，美国进一步规定在国家安全系统中使用的非密码类信息技术产品必须通过美国国家信息安全保障联盟（NIAP）所采用的信息技术安全评估通用准则(Common Criteria, CC)认证。NIAP采用了公开的标准为国家网络安全审查活动提供指引。

除了对涉及国家安全系统的产品实施严格的认证之外，2013年11月美国国防部在《联邦采办条例国防部补充条例》中新增了网络安全临时政策——《供应链风险要求》[6]，要求国防部对采购的信息产品和服务实施供应链安全风险评估。供应链安全风险评估政策并没有公开任何流程和具体要求，且不采购的理由也不会告知供应商。

2.1.2 联邦信息系统

2002年《联邦信息安全管理法》(FISMA)在国会通过并生效。FISMA要求各联邦机构制定并实施适用于本机构的信息安全计划(Information Security Program)，保障联邦信息和信息系统的安全。FISMA明确授权国家标准技术研究院（NIST）负责有关标准和指南的制定工作，并为联邦机构落实标准提供技术指导。对于存储了联邦机构的信息或者承接了联邦机构业务的合同商，必须满足FISMA的安全要求。FISMA的安全标准主要来自SP800－53文件，该文件提出了针对联邦信息系统的供应链保护安全要求，同时对采购过程进行了详细的规定。

2.1.3 云计算安全服务审查

美国作为云计算服务应用的倡导者和引领者，对云计算服务实行安全审查，也成了云计算服务推广应用的重要方面。2011年，NIST发布了《公共云计算安全和隐私指南》和《完全虚拟化技术安全指南》两项标准，同时美国政府颁布了《联邦风险及授权管理计划》(FedRAMP)等文件及法规，为云计算服务安全审查制度提供了标准依据。FedRAMP 明确要求联邦机构必须采购和使用满足安全审查要求的云计算服务。第三方评估机构根据FedRAMP云安全基线对云计算服务进行安全风险评估，联合授权委员会根据评估结果对云服务商进行审查。

纵观美国网络安全审查制度，主要有以下几个特点：

一是开展审查的范围不断扩大，先是国家安全系统中的产品，随后拓展到联邦政府信息系统、云计算等重点信息系统等，逐步实现全面覆盖；

二是审查对象不仅包括产品和服务的安全性能指标，还包括产品研发过程、程序、步骤、方法、产品供应链等，同时产品和服务提供商、员工及企业背景也在审查之列；

三是部分审查标准和过程保密，不披露原因和理由，不接受申诉，且审查没有明确的时间限制；

四是安全审查结果具有强制性，对于关系美国国家安全的重要信息系统，必须经过网络安全审查才能够被允许进入采购目录。

2.2 欧盟网络安全制度建设

目前欧盟尚未有统一的网络安全审查制度建设，但在网络安全法律制定方面，通过颁布一系列决议、指令、条例等，内容涉及数字网基层服务、网络准入制度、信息保护等互联网安全诸多方面，用以指导各成员国的互联网管理实践。

2016年7月，欧盟立法机构正式通过首部网络安全法—《网络与信息系统安全指令》(NIS)，旨在加强基础服务运营者、数字服务提供者的网络与信息系统之安全，要求这两者履行网络风险管理、网络安全事故应对与通知等义务。作为欧盟首部网络安全法，NIS明确了欧盟关于网络安全的顶层制度设计，包括确立网络安全国家策略、强调合作与多方参与、确立网络安全事故通知与信息分享机制等。随着NIS的实施以及不断改进，欧盟对于基础服务运营者的信息安全要求正在不断提高，监管机构对于网络安全的评估日趋严格，针对基础服务运营者的网络安全审查已经箭在弦上了。

欧盟内部各国家对于网络安全的审查做法也各有不同，作为信息化强国的德国，对于外国投资的安全考量以及网络安全立法等方面具有代表性。《对外贸易与支付法》（Foreign Trade and Payments Act，AWG）是德国规范外资并购的主要法律[7]。审查部门——德国经济与技术部有权依据AWG 或者其他法案中的相关规定来阻止或者修改某项交易。2015年7月德国议会通过《德国网络安全法》，法律中明确了“关键基础设施”的范围及运营者的责任，同时要求关键基础设施运营商必须履行网络安全标准报告和网络安全事件动态报告义务。虽然目前德国尚未实施强制的网络安全审查政策，但通过一系列法律逐渐构建了关键基础设施的认定范围、责任归属以及安全报告等制度体系，这将为后续的安全审查提供了制度基础 。

3 我国开展网络安全审查的要求和实践

3.1 法律法规要求

2017年6月1日，《中华人民共和国网络安全法》正式实施，该法是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑。《网络安全法》在条文中特别强调要保障关键信息基础设施的运行安全。为此，《网络安全法》强调在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。目前大多数工业控制系统作为关键信息基础设施，其承担了重要的安全责任和法律义务，所采用的工控产品和服务可能影响国家安全，对其采取安全审查符合相关的法律依据。

2017年5月2日，国家互联网信息办公室发布了《网络产品和服务安全审查办法（试行）》（以下简称“《审查办法》”），并于2017年6月1日起正式实施。《审查办法》构建了网络产品和服务安全审查的基本制度框架，是《网络安全法》确立的网络安全整体制度建设的重要组成部分。《审查办法》在第二条和第九条分别确定了网络安全审查的范围：“关系国家安全的网络和信息系统采购的重要网络产品和服务”；“可能影响国家安全的公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他关键信息基础设施的运营者采购网络产品和服务”。因此针对关键信息基础设施，在涉及国家安全事项时，还需要在通用性安全测试认证的基础之上实施国家安全审查。

在审查内容方面，重点审查的是网络产品和服务的安全性、可控性。《审查办法》除关注产品和服务自身的安全风险外，着重强调了产品及关键部件生产、测试、交付、技术支持过程中的供应链风险。随着信息技术全球化供应趋势的发展，安全风险通过供应链进行渗透的渠道越来越多样化，并成为安全威胁的主要来源。供应链安全审查应当综合判断涉及技术、管理和人员安全层面的可信状态，同时结合第三方机构检测等技术审查措施，为网络产品和服务搭建完善的安全审查程序。

3.2 认证认可实践

2003年9月，国务院发布了《认证认可条例》，规定认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。认证的对象分为三类：产品、服务和管理体系。目前在我国信息安全领域，目前针对这三类对象的认证活动都已展开，即信息安全产品认证、信息安全服务认证和信息安全管理体系认证[8]。目前，由中国信息安全认证中心开展了针对防火墙、入侵检测系统（IDS）、网络脆弱性扫描产品、安全审计产品、网站恢复产品等八类十三种产品实施国家信息安全产品认证。

2017年6月，根据国家《网络安全法》规定，国家互联网信息办公室、工业和信息化部、公安部、国家认监委《关于发布〈网络关键设备和网络安全专用产品目录（第一批）〉的公告》（2017年第1号），明确了对服务器、交换机、路由器和PLC设备等四类网络关键设备和防火墙、入侵检测系统（IDS）、网络脆弱性扫描产品、网络综合审计系统等十一类网络安全专用产品实施检测或认证的制度。

当然，审查绝不单单是一个单纯的技术性的审查，而是将企业声誉、背景、资质，产品研发、制造、交付的过程等各种指标和因素都纳入，从多角度衡量产品和供应商的可控性与安全性[9]。我国的信息安全产品认证认可制度应该算是安全审查工作体系的一部分。

3.3 工作面临的困难

3.3.1 制度体系尚不健全

国家《网络安全法》要求关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，需要进行国家安全。《网络产品和服务安全审查办法（试行）》要求金融、电信、能源、交通等重点行业和领域主管部门，根据国家网络安全审查工作要求组织开展本行业、本领域安全审查工作。但目前对于关键信息基础设施中的工业控制系统技术和产品的认定及安全审查实施实施的主体、程序等内容尚缺乏进一步的法律和法规要求。

2011年工信部下发了《关于加强工业控制系统信息安全管理的通知》（工信部协〔2011〕451号），要求对重点领域工业控制系统进行安全检查和管理。工信部近年先后印发《工业控制系统信息安全防护指南》和《工业控制系统信息安全行动计划（2018-2020年）》，旨在指导和管理全国工业企业工控安全防护和保障工作。但以上文件均未明确工业控制领域有关关键技术和产品的安全审查工作的制度性安排，同时相关的国家标准和行业标准迟迟未能出台。

3.3.2 工控产业体系尚未形成

近年来我国在工业控制自动化产品研发制造上取得了长足的进步，涌现出了一大批优秀的工业自动化设备产品制造商，如和利时、新华控制、浙大中控、南瑞集团等，国产设备逐渐在能源、智能制造、市政等工业控制系统中站稳脚跟并逐渐扩展了市场份额。但同时也必须看到，在工业控制系统关键软硬件产品上，我国尚未形成自主的产业体系。

目前我国工业自动化系统中PLC、DCS、HMI 等关键设备产品，主要由横河公司，GE、ABB、SIMENS、施耐德、研华，霍尼韦尔等国际厂商占据，特别是在高端领域，国际产品几乎处于垄断状态。根据不完全统计，国际厂商产品大概在我国高端的SCADA数据采集和监视市场拥有91%的份额，在DCS分散型数字控制系统占据70%。与此同时，对相关产品的安全性处于不可知不可控状态，完全受制于人。由于国内在工控核心芯片、基础软件、关键设备等领域的核心技术研发能力不足，加上知识产权、商业模式等方面的问题，我国工控产品的自主产业体系尚未形成，开展工业控制技术和产品安全审查工作将面临技术标准制定制、保护国内产品、潜在国际贸易纠纷等困难。

4 几点建议

4.1 加快工业控制安全审查制度建设

《网络安全法》从法律层面明确了我国正式实施网络安全审查制度。网络安全审查制度不应当等同于外资并购国家安全审查或其中的网络安全部分，其应当具有制度独立性[10]。因此，迫切需要建立与制度相关的监管执行机制、第三方评估机制、结果通报机制和社会监督机制等等。

作为关键信息基础设施的最重要组成部分和重要行业领域，工业控制领域的安全审查执行主体需要尽快予以明确，由主管部门推动建立工控领域关键技术和产品的安全审查组织和技术体系，并确定工业控制系统技术产品的审查范围和内容。

4.2 加强工业控制技术支撑能力建设

一是要建立工控信息安全标准体系，并纳入国家网络安全标准化体系建设。针对工业控制系统，应尽快建立包括安全分级、安全基本要求、安全防护要求和能力评估各层面的技术标准；对于工业控制技术和产品，应建立覆盖访问控制、授权、审计、评估等技术门类的安全技术要求，用以指导相关技术产品的研发、检测和审查评估工作。二是建设安全态势感知与验证、通报预警和应急处置等共性技术设施，为相关技术产品研发、验证和评估提供试验平台。三是建设提升网络安全审查专业机构对工业控制技术产品和服务的漏洞挖掘、病毒分析、软件逆向、代码分析、渗透测试等方面检测评估能力，为工业控制领域的安全审查提供专业技术支撑。

4.3 加紧工业控制自主产业体系建设

一方面，针对我国工业自动化自主产业体系较为薄弱的现状，应加大对核心控制设备和产品的自主研发力度，特别是加大对工控核心芯片、高端工业软件、关键装备等重要软硬件的攻关，强化科研成果在重点领域的示范应用和成果转化，逐步实现工业控制系统国产替代，保障工业控制产业供应链安全。

同时，打造工业控制安全产业生态链。聚集工业互联网设备、控制、网络、平台、数据的安全需求，突破工业网络攻防、安全隔离、工业协议解析和漏洞挖掘等关键技术，形成覆盖工业网络不同层面的各类安全防护产品体系；并强化重要工业软件和大型工业装备的安全设计和安全技术集成，融合工控系统安全需求与生产企业装备产品的设计目标，提升软件和装备自身可靠性和安全性，为国家工业控制领域的网络安全审查工作提供良好样本。

4.4 加快工业控制专业人才队伍建设

无论是工业控制安全防护还是网络安全审查工作，都需要大量的安全专业人才。在人才教育方面，既需要在网络安全学科中补充工业控制自动化知识的教学，也需要在自动化专业中融合网络安全知识教学。同时，强化工业控制领域的安全技能职业教育培训，鼓励企业与院校合作，联合培养跨学科、跨专业的复合型工控安全专门人才。极力培育工控系统网络安全保障专家队伍和安全审查评估的可靠人才，为工业控制领域安全审查提供专业化的智力和技术支持。

[1]2016中国PLC市场分析[EB/OL].[2016-06-06].http://www.gongkong.com/news/201606/343866.html.

[2]中国PLC未来市场前景广阔，物联网发展带来新机遇[EB/OL].(2016-03-01).http://www.gongkong.com/news/201603/338779.html.

[3]工业软件成智造核心，构建工业技术体系势 在 必 行 [EB/OL].（2017-10-13）.http://gongkong.ofweek.com/2017-10/ART-310000-8420-30170677.html.

[4]两大巨头占据中高档数控机床控制器80%份额[EB/OL].(2013-01-07).http://www.gkong.com/item/news/2013/01/71083.html.

[5]国家工业信息安全产业发展联盟（NISIA）.工业信息安全态势白皮书（2017年）[R].2017.12.

[6]顾伟，刘振宇.英美网络安全审查机制及其启示[J].信息安全与通信保密，2017（03）：72-76.

[7]徐芳，张梦迪.欧盟体制下的外国投资国家安全审查制度探析[J].吉林工商学院学报，2015（3）：81-82.

[8]崔占华，左晓栋.我国信息安全认证认可事业回顾与展望[J].信息网络安全，2010（09）：8-10.

[9]王珞.美国网络安全审查制度的战略效应[J].中国信息安全，2015（03）：52-55.

[10]马宁.浅析《国家安全法》中的网络安全审查制度[J].中国信息安全，2015（08）40-42.