不出事就是好事，這也許是安全議題的一貫衡量標(biāo)準(zhǔn)。而艾默生過程管理公司全球石油石化業(yè)務(wù)負責(zé)人Larry先生對此的新近觀點讓人耳目一新。衡量工業(yè)信息安全的ROI(投入產(chǎn)出比)要從大處著眼。企業(yè)要實現(xiàn)的是生產(chǎn)、商業(yè)一體化，構(gòu)建面向未來的物聯(lián)網(wǎng)、大數(shù)據(jù)的智能決策平臺，此愿景價值不可限量。作為實現(xiàn)這一目標(biāo)必需的投資細節(jié)組成部分，工業(yè)信息安全投資量非常有限。

四、工控信息安全防護的未來之路

        從需要改革的角度看，工控信息安全發(fā)展主要有3個方向：

       1、從定制化向通用平臺的轉(zhuǎn)變。早期工業(yè)控制系統(tǒng)針對特定應(yīng)用需求研發(fā)，各系統(tǒng)之間的軟硬件產(chǎn)品通用性差;反觀現(xiàn)有控制系統(tǒng)，其集成化程度越來越高，越來越多地采用通用的軟硬件產(chǎn)品(芯片、操作系統(tǒng)等)。

        2、純硬件向軟硬結(jié)合的轉(zhuǎn)變，這降低了攻擊工控系統(tǒng)的技術(shù)門檻。早期的工業(yè)控制系統(tǒng)主要依賴硬件實現(xiàn)，系統(tǒng)可擴展性差，現(xiàn)有控制系統(tǒng)在通用硬件計算平臺基礎(chǔ)上，大量采用軟件方式實現(xiàn);網(wǎng)絡(luò)攻擊的實施在某種程度上也是在原有系統(tǒng)平臺上擴展實現(xiàn)新的功能，工業(yè)控制系統(tǒng)的可擴展性也決定了其攻擊實現(xiàn)的難易程度。

        3、單一設(shè)備控制向網(wǎng)絡(luò)互聯(lián)的轉(zhuǎn)變。早期的工業(yè)控制系統(tǒng)主要在單一、獨立的設(shè)備中實現(xiàn)，現(xiàn)在的工業(yè)控制系統(tǒng)則將大量設(shè)備互聯(lián)，工業(yè)控制系統(tǒng)甚至與互聯(lián)網(wǎng)相連，系統(tǒng)越來越復(fù)雜;同時網(wǎng)絡(luò)互聯(lián)使系統(tǒng)暴露更多的漏洞，為攻擊的實現(xiàn)提供了更多潛在的技術(shù)渠道，也為攻擊造成大規(guī)模破壞提供了條件。

        從發(fā)展趨勢來看，工控信息安全主要有以下三個方面：

       一是高穩(wěn)定性要求帶來的系統(tǒng)技術(shù)陳舊。工業(yè)控制系統(tǒng)對系統(tǒng)的穩(wěn)定性有很高的要求，一般情況下，一套系統(tǒng)建設(shè)完成之后，系統(tǒng)內(nèi)的設(shè)備、平臺不會輕易地做更新?lián)Q代，造成當(dāng)下很多的共控制系統(tǒng)仍在采用Dos、WindowsXP等操作系統(tǒng)平臺;而對于已發(fā)現(xiàn)的安全漏洞若無法充分地驗證，評估補丁程序?qū)刂葡到y(tǒng)穩(wěn)定性的影響，企業(yè)也會更傾向于選擇不打補丁。不會像個人電腦一樣，下載補丁后立刻打上。在這種條件下，如何保障信息系統(tǒng)安全穩(wěn)定運行，是個很有難度的事情。

        二是高實時性要求帶來的防護系統(tǒng)性能挑戰(zhàn)。互聯(lián)網(wǎng)中我們也很強調(diào)性能，但跟工業(yè)控制系統(tǒng)相比就是小巫見大巫了。工業(yè)控制系統(tǒng)對系統(tǒng)的實時響應(yīng)要求是普通互聯(lián)網(wǎng)無法比擬的，因此也對各類防護系統(tǒng)提出了更高的性能要求。這造成一系列復(fù)雜的、智能化的分析、檢測算法都無法滿足工業(yè)控制系統(tǒng)的安全防護要求，限制了防護方法的應(yīng)用。

       三是高可靠性要求帶來的檢測高準(zhǔn)確性目標(biāo)。工業(yè)控制系統(tǒng)同時具有高可靠性要求，這樣也要求防護系統(tǒng)的分析檢測結(jié)果要具有明確的確定性，從而造成當(dāng)前基于模糊匹配、聚類分析等智能算法的入侵檢測、計算機免疫等各類模糊檢測方法無法應(yīng)用。

結(jié)語：

        其實不管是工控企業(yè)還是傳統(tǒng)企業(yè)，隨著信息化的深入，企業(yè)或多或少會遇到信息安全的問題，而隨著數(shù)據(jù)價值的不斷的提高，這種影響對于企業(yè)來說也會越來越明顯。所以保護企業(yè)的核心數(shù)據(jù)安全是未來所有企業(yè)的大方向，而面對不同企業(yè)不同的防護需求，采用靈活企業(yè)具有針對性的加密軟件進行數(shù)據(jù)本源的防護或許是最好的選擇。