“美國供水、供電等重要社會基礎設施服務企業的控制系統發生異常，并受到來自網絡的惡意攻擊的危險性越來越高。”2013年5月9日，美國華盛頓郵報報道，美國國土安全部在5月7日發出了上述警告。

　　據稱，美國政府高官對國外敵對勢力最近幾個月間控制水廠、電廠、化工廠的計算機系統進行了調查，對破壞性網絡攻擊極為擔憂。而且，攻擊者的目的不僅僅局限于竊取生產制造的知識產權，還擴展到使生產控制過程發生異常等破壞性行為。

美國國土安全部網站

　　2010年9月，伊朗納坦茲的鈾燃料濃縮施設被稱為“Stuxnet”的超級工廠病毒進行網絡攻擊。這是對控制系統進行網絡攻擊的最著名案例(圖2)。

　　專家分析，該攻擊中，Stuxnet通過干擾控制濃縮鈾遠心分離機的運行速度以及狀態，來妨礙鈾濃縮過程。Stuxnet利用了德國西門子開發的Step7控制系統軟件中的漏洞。

　Stuxnet入侵控制系統

　　美國Symantec公司認為，由于局域網和工廠內的控制系統是獨立的，所以該病毒應該是以U盤為介質來傳播的，并推測出，是由5～10人團隊用半年時間開發了Stuxnet病毒。

　　生產制造型工廠也被盯上

　　2012年8月，沙特阿拉伯國營石油公司Aramco受到了網絡攻擊。據紐約時報報道，攻擊者的目標為制油/制氣工程。通過使工程中止，讓石油/天然氣的生產發生異常。

　　這個攻擊中使用了“Shamoon”計算機病毒，所幸沒有造成生產異常，但是卻影響了該公司3萬多臺計算機，Aramco公司為此中斷了一周內部網絡訪問。

　　控制系統安全專家、日本VirtualEngineeringCompany(VEC)秘書長村上正志明確表示，“全球范圍內存在著許多利用網絡攻擊的犯罪組織”。這些組織為了實現對企業進行恐嚇、操縱股價等，從事有針對性的對控制系統的網絡攻擊。

　　村上正志進一步指出，“我們擔憂這種行為將會越來越多，許多網站出售網絡攻擊工具，無需高級技術就能進行攻擊的時代已經到來了。”這些組織或網站的存在，意味著工廠等控制系統受到攻擊將極為現實。

　　就像恐怖襲擊的攻擊那樣，其目的在于使社會混亂。對基礎設施的網絡攻擊今后將不斷出現，而對于從事普通生產工業產品企業的控制系統來說，也并非事不關己。

　　某日本企業每5分鐘受到一次攻擊

　　在日本，對制造業的網絡攻擊案例也在增多。村上正志稱，最近半年，有20多家日本企業咨詢過網絡攻擊應對解決方案。

　　據他介紹，某個日本企業每5分鐘就遭受一次網絡攻擊。而且，每5分鐘的攻擊來源并不相同。為此，制造新產品或者產品重新組裝的時候，需要輸入必要的生產信息、生產配方等工作網絡，一定要從控制系統中剝離。

　　為此，在生產現場需要用手工來輸入那些信息。這樣雖然有可能增加工人的工作量，提升制造成本，但是從安全角度來看，似乎沒有更好的辦法。

　　讓生產中止的計算機病毒

　　網絡攻擊對于工廠等運行著控制系統的企業來說，已經不再是事不關己了。而且，不僅僅要防范網絡攻擊，還要將視野擴大到計算機病毒造成的破壞，這方面的影響也在大幅擴大。

　　日本控制系統安全中心(CSSC)理事長新誠一稱，“許多工廠都曾因設備故障停產過幾天。軟件故障還是設置錯誤呢？還是計算機病毒造成的呢？由于沒弄清楚，最初就當作設備故障停產。”

　　“但是，通過分析發現，其中大部分是計算機病毒造成的。這種案例并非剛剛出現，多年前就開始持續了。”可見，控制系統的安全對策已經成為當今的緊迫課題。

　　圖3控制系統安全中心(CSSC)日本東北多賀城總部的檢測

中左圖為監視座位，右圖為工廠自動化(PA)模擬工廠。

　　新誠一稱，CSSC將從2013年開始，開展ISASecurityComplianceInstitute(ISCI)運營的控制設備(嵌入式設備)安全認證“EDSA”(EmbeddedDeviceSecurityAssurance)的認證。CSSC著手從事的此項工作，受到日本經濟產業省的扶持。目前，已經有3家公司報名，檢測帶進該總部的設備能否抗攻擊。

　　2014年三四月間，CSCC計劃開始開展控制設備的自主安全認證“CSSC認證”。新誠一稱，交換了備忘錄，CSSC認證將與國際認證相互認證。實施之后，企業就可以在日本國內獲得與控制設備安全相關的國際認證了。