【工業(yè)和信息化部電子科學技術(shù)情報研究所孫軍博士】

孫軍博士展現(xiàn)了工信部電子科學技術(shù)情報研究所某支團隊的研究實例——《針對PLC攻擊的一種新方式研究》。通過研究發(fā)現(xiàn)，工控通訊協(xié)議存在普遍的脆弱性，設(shè)備通常無安全實施策略。以西門子S7系列PLC為研究對象，孫軍所在團隊的還原了攻擊步驟：一、掌握S7協(xié)議，實現(xiàn)了S7協(xié)議功能測試工具；二、通過西門子S7-1200PLC實現(xiàn)內(nèi)網(wǎng)掃描；三、通過西門子S7-1200PLC實現(xiàn)Socket代理；四、實現(xiàn)對不同型號、不同品牌PLC的攻擊。

【機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所教授級高工王玉敏】

王玉敏表示，國際信息安全標準以ISA Secure的嵌入式設(shè)備測試(EDSA)，與IECEE - 工業(yè)自動化認證INDA為代表。而就目前國內(nèi)的信息安全標準而言，我國已相繼制定了《工業(yè)控制系統(tǒng)信息安全分級指南》、《工業(yè)控制系統(tǒng)安全技術(shù)要求》、《工業(yè)控制系統(tǒng)生命周期各階段的測評》等11項國家/行業(yè)標準，通過這些標準的制定我國已初步建立起了系統(tǒng)級的安全要求標準體系。

【工控網(wǎng)（數(shù)據(jù)）技術(shù)有限公司高級項目經(jīng)理李紅】

李紅表示，從gongkong®持續(xù)出版的《工控系統(tǒng)信息安全藍皮書》中可以看出，過去工控系統(tǒng)的安全漏洞集中分布于PLC、DCS、SCADA/IPC等控制系統(tǒng)，以及能源、公共設(shè)施和大型制造業(yè)等領(lǐng)域。未來，隨著“中國制造2025”的逐步推進，必將帶動互聯(lián)網(wǎng)與工業(yè)控制系統(tǒng)的快速融合，工控系統(tǒng)面臨的安全風險將延伸至工業(yè)軟件、網(wǎng)絡(luò)通訊、數(shù)據(jù)庫乃至設(shè)備層。同時，面臨風險的行業(yè)也將從關(guān)鍵基礎(chǔ)領(lǐng)域擴大到更多生產(chǎn)制造領(lǐng)域。

【北京威努特技術(shù)有限公司總經(jīng)理龍國東】

龍國東表示，電力二次系統(tǒng)安全防護應(yīng)遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離和縱向認證”的四大總體防護原則。他特別指出：在以上四大防護原則中橫向隔離尤為關(guān)鍵，應(yīng)該注重生產(chǎn)控制區(qū)與管理信息區(qū)的橫向隔離，生產(chǎn)控制區(qū)內(nèi)不同區(qū)域的橫向隔離以及生產(chǎn)控制區(qū)內(nèi)部系統(tǒng)間的隔離。

【北京匡恩網(wǎng)絡(luò)科技有限責任公司解決方案部技術(shù)總監(jiān)井柯】

井柯表示，目前，工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨五大威脅：工控設(shè)備高危漏洞、外國設(shè)備后門、高級持續(xù)性威脅（APT）、工業(yè)網(wǎng)絡(luò)病毒、無線技術(shù)應(yīng)用的風險。為尋解決之道，匡恩網(wǎng)絡(luò)提出了工業(yè)控制網(wǎng)絡(luò)“4+1”安全保障體系。它由結(jié)構(gòu)安全、本體安全、行為安全、基因安全四大安全，以及時間持續(xù)性全程維護共同組成。

【青島海天煒業(yè)過程控制技術(shù)股份有限公司副總裁劉安正】

劉安正坦言：“工控信息安全體系主要分為管理和技術(shù)兩部分。信息安全不能但靠產(chǎn)品或一次性投入解決信息安全問題，它是風險與投資之間的平衡。在這其中，工控信息安全評估/調(diào)研是制定工控信息安全方案的重要步驟。在工控信息安全評估中，針對由信息安全能導致的生產(chǎn)事故，但無法用信息安全防護手段解決的風險，需要考慮增加功能安全設(shè)計?！?/span>