“抓一把，一把都是漏洞。”國際領(lǐng)先的工控安全測試公司科諾康中國區(qū)首席代表張威表示。張威提供的數(shù)據(jù)顯示，記錄到的工控領(lǐng)域共計(jì)2010年有幾十起，而到2013年已呈現(xiàn)幾何數(shù)量上升。

       政策層面，多個相關(guān)文件早已出爐，其中最主要的工控系統(tǒng)信息安全的政策來自工信部2011年451號文(《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》 )，而近期工信部信息安全專項(xiàng)中也專門提及到工控領(lǐng)域安全問題。

       451號文明確，重點(diǎn)加強(qiáng)核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、鐵路、民航、城市供水供氣供熱等領(lǐng)域的工業(yè)控制系統(tǒng)信息安全管理，落實(shí)安全管理要求。

        張威(科諾康)認(rèn)為，國內(nèi)工業(yè)控制領(lǐng)域使用了很多國外產(chǎn)品，“我們也不知道會不會有問題，下一步國家在此領(lǐng)域會加強(qiáng)”。而上海信息安全協(xié)會副秘書長王懷賓表示，核心工業(yè)領(lǐng)域很多部分使用西門子等國外產(chǎn)品，還是有非常大的隱患。

       工控安全問題明顯，但解決卻很困難。信息安全領(lǐng)域咨詢公司安言咨詢技術(shù)總監(jiān)張威表示，“有很好的解決方案么，我認(rèn)為無解，風(fēng)險(xiǎn)通過技術(shù)控制能到什么程度，也很難講”。

       由于工業(yè)控制領(lǐng)域不同于普通IT設(shè)備，操作系統(tǒng)升級、漏洞補(bǔ)丁添加都是很困難的，“工控系統(tǒng)一上線就是10至20幾年持續(xù)使用，沒有升級，也沒法升級，其中補(bǔ)丁問題絕對是一個痛”，張威(安言咨詢)表示。

       由于停擺對工業(yè)生產(chǎn)領(lǐng)域影響極大，所以工業(yè)控制領(lǐng)域?qū)τ诔掷m(xù)運(yùn)作要求很高，這就直接導(dǎo)致了無法對系統(tǒng)漏洞進(jìn)行修補(bǔ)，“裸奔”被一位專家用來形容工控系統(tǒng)的現(xiàn)狀。與此同時，傳統(tǒng)的物理隔離方法也正日益失去效力，“工控網(wǎng)絡(luò)和管理網(wǎng)絡(luò)等完全脫離已經(jīng)不現(xiàn)實(shí)了”。

       日前的論壇中，多名來自航天航空、煙草、電力等企業(yè)代表參加，與會多方都表示國內(nèi)工控安全落后歐美十余年，目前也沒有較好的總體解決方案，大家都在各自嘗試，但“摸石頭過河”，前景仍不明朗。

        國內(nèi)上市公司中，涉及工控安全領(lǐng)域公司極少。