（本文刊发于《中国经济周刊》2016年第16期）

2014年我国成立中央网络安全和信息化领导小组，标志着中国进入了全面防护网络空间安全的战略时期。

2015年6月、7月，我国相继颁布了《中华人民共和国网络安全法（草案）》和第29号主席令《中华人民共和国国家安全法》，全面阐述了我国网络安全战略、规划，网络安全运行的原则和要求，使我国网络安全立法达到了前所未有的高度。

匡恩网络总裁孙一桉告诉《中国经济周刊》：我国的工控网络安全行业起步晚，发展快，虽然面临着不小的挑战，但也蕴含着巨大的机遇。

“这几年，我们去了十几个行业进行调研和对接，听到的最多的词就是‘裸奔’。许多企业是假定没有人来攻击自己，花了很大的精力做生产安全，但没有网络安全规划，也没有相关预算，验收只做功能验收，没有做网络安全验收。比如烟草行业，项目建设周期是四到五年，进进出出的人比较复杂，设备供应商、运维人员，都带电脑、带设备，四五年以后验收了，没人管里面是不是已经被病毒感染了，被控制了，是不是有后门没关上。直到发生事故了，才想起来。有一个烟厂，2012年发生过一次病毒攻击事件，造成两天停产；还有一次，设备被远程关闭了。这些案例是很典型的，国内的一些基础设施也会发生类似情况。例如：地铁综合监控系统传统上大家都认为是一个相对比较封闭的，自成一体的网络系统，随着地铁企业管理决策层越来越依赖数据决策时，综合监控系统和上层企业ERP系统的对接将不断推进，综合监控系统也面临着来自信息网络的恶意代码的攻击。除了轨道交通，在城市燃气、智能汽车与车联网、石油化工、冶金、数控机床等行业，随着两化融合的不断深入，传统的生产控制网络都面临着同样的问题。工控系统网络安全的防范意识、规划、验收都没有，裸奔状态比较常见。”孙一桉说。

孙一桉告诉《中国经济周刊》，这些企业为什么会形成“裸奔”的状态？一个最大的误区就是潜意识里认为“隔离就安全了”。“其实从‘震网’病毒事件发生以来，大家就意识到简单的物理隔离是解决不了安全问题的。现在的攻击手段有一整套方法都是针对隔离系统进行的。而且因为有了隔离，隔离就成了‘马奇诺防线’，大家认为有了隔离，系统里面就不用防了，所以系统内部其实非常脆弱。最典型的恶性事件就是沙特阿拉伯的一家石油公司，听了设备供应商的建议，做了工业4.0改造，把40个炼油厂全部联网、智能化了，生产效率是极大提高了，但是他忽略了一点，在此之前，它的内部网因为是完全隔离的，所以就完全不设防，结果联网没多久就遭到一次攻击，3万台电脑、40个炼油厂全部停产损失不可计量。”

2015年，随着“互联网+”、中国制造2025等国家战略方针的出台，随着“两化融合”政策的深入推进，国内工业控制网络的网络化、智能化水平迅速提高。同时，工业控制网络的信息安全持续2014年的热度，继续被政府部门、科研机构、安全厂商、自动化厂商密切关注。虽然国内工控系统相对较弱，整体安全形势不容乐观，但各方都在积极推进国内工控安全的发展。

我国工业规模大，具备完整的现代工业体系，拥有全球最大的工业智能化市场，信息化、智能化建设存在后发优势，比如我国工业新建系统多，自动化水平高等。

“恰恰因为我们基础设施大，又在做智能化，而且我们的国有经济体量大、执行力强，我们在工控安全领域反而会形成一个发展的机遇，弯道超车也好，超越也好，是很有可能的。”孙一桉说。“关键的问题是，我们要建立威胁感知能力，要培育持续的防御能力、防御体系。”

————————————————————————————————————————