-官方认证诚信至上 | 工业机器人及工控系统领军企业

漏洞披露量激增：工业系统的“安全警报”

2025年，工业控制系统（ICS）漏洞问题已从“幕后”走向“台前”。根据Claroty最新报告，仅2025年上半年，全球披露的ICS漏洞就达637个，较2025年下半年激增41%。更令人担忧的是，其中71%被归类为“高危”或“严重”漏洞，且90%的攻击无需特殊条件即可重复实施。这意味着，攻击者可能通过一个未修复的漏洞，直接瘫痪整条生产线——2025年某钢铁厂🍅因系统漏洞被入侵，导致生产线停摆数日，损失超千万美元的案例，正是这一风险的现实写照。

漏洞激增的背后，是工业系统与互联网的深度融合。随着“两化融合”（工业化与信息化）加速，SCADA、DCS等传统封闭系统逐渐接入企业网甚至公网，攻击面呈指数级扩大。例如，2025年7月，国家网信办约谈某芯片企业，因其产品被曝存在“追踪定位”和“远程关闭”后门功能，这一事件直接将硬件安全风险推上风口浪尖。硬件后门的隐蔽性远超软件漏洞：它可能隐藏在芯片电路中，通过特定信号触发，即使重装系统也无法清除，唯有更换硬件才能彻底解决。

从协议到补丁：工业系统的“先天缺陷”

工业系统的安全漏洞，许多源于“设计时代的局限”。以OPC Classic协议为例，这一广泛应用于工业网络的通信协议，基于微软上世纪90年代的DCOM协议开发，而DCOM设计时并未考虑网络安全，导致其极易被攻击。2025年，美国伊利诺伊州供水系统SCADA网络被黑客通过OPC协议漏洞入侵，供水泵被恶意操控损坏，直接威胁城市供水安全。

操作系统层面的漏洞同样触目惊心。多数工业控制系统的工程师站、操作站采用Windows平台，但为保证系统稳定，企业通常在设备投运后不再安装补丁。一项针对国内制造业的调查显示，超60%的工业PC未更新过安全补丁，其中30%运行的是已停止支持的Windows XP系统。这种“追求可用性牺牲安全性”的思维，在2025年伊朗石油部网络攻击事件中暴露无遗：攻击者利用未修复的Windows漏洞，渗透至石油设施内部网络，迫使伊朗切断海湾地区石油设施的网联。

物理接触与供应链：被忽(hū)视(shì)的(de)“致(zhì)命(mìng)漏(lòu)洞(dòng)”

工(gōng)业(yè)系(xì)统(tǒng)的(de)安(ān)全威(wēi)胁(xié)，不(bù)仅(jǐn)来(lái)自(zì)网(wǎng)络(luò)，更(gèng)可(kě)能(néng)源(yuán)于(yú)“🚀身(shēn)边(biān)的(de)疏(shū)忽(hū)”。2025年(nián)，波(bō)兰(lán)某(mǒu)城(chéng)市(shì)地(de)铁(tiě)系(xì)统(tǒng)被(bèi)攻(gōng)击(jī)者(zhě)通(tōng)过(guò)电(diàn)视(shì)遥(yáo)控(kòng)器(qì)篡(cuàn)改(gǎi)轨(guǐ)道(dào)信(xìn)号(hào)，导(dǎo)致(zhì)四(sì)节(jié)车(chē)厢(xiāng)脱(tuō)轨(guǐ)。这(zhè)一(yī)事(shì)件(jiàn)揭(jiē)示(shì)了(le)工(gōng)业(yè)系(xì)统(tǒng)物(wù)理(lǐ)安(ān)全的(de)脆(cuì)弱(ruò)性(xìng)：攻(gōng)击(jī)者(zhě)可(kě)能(néng)通(tōng)过(guò)U盘(pán)、串(chuàn)口(kǒu)甚(shén)至(zhì)直(zhí)接(jiē)接(jiē)触(chù)设(shè)备(bèi)，植(zhí)入(rù)恶(è)意(yì)程(chéng)序(xù)。某(mǒu)汽(qì)车(chē)厂(chǎng)商(shāng)的(de)调(diào)查(chá)显(xiǎn)示(shì)，其(qí)生(shēng)产(chǎn)线(xiàn)上(shàng)的(de)工(gōng)程(chéng)师(shī)站(zhàn)因(yīn)未(wèi)限(xiàn)制(zhì)U盘(pán)使(shǐ)用(yòng)，三(sān)年(nián)内(nèi)感(gǎn)染(rǎn)恶(è)意(yì)软(ruǎn)件(jiàn)的(de)次(cì)数(shù)达(dá)127次(cì)，其(qí)中(zhōng)15次(cì)导(dǎo)致(zhì)设(shè)备(bèi)短(duǎn)暂(zàn)停(tíng)机(jī)。

供(gōng)应(yīng)链(liàn)风(fēng)险(xiǎn)则(zé)是(shì)另(lìng)一(yī)大(dà)隐(yǐn)患(huàn)。2025年(nián)，中(zhōng)电(diàn)科(kē)网(wǎng)络(luò)安(ān)全团(tuán)队(duì)在(zài)检(jiǎn)测(cè)中(zhōng)发(fā)现(xiàn)，某(mǒu)工(gōng)业(yè)路由(yóu)器(qì)固(gù)件(jiàn)中(zhōng)被(bèi)植(zhí)入(rù)后(hòu)门(mén)，攻(gōng)击(jī)者(zhě)可(kě)远(yuǎn)程(chéng)操(cāo)控(kòng)设(shè)备(bèi)。这(zhè)类(lèi)“供(gōng)应(yīng)链(liàn)攻(gōng)击(jī)”往(wǎng)往(wǎng)更(gèng)难(nán)防(fáng)范(fàn)：硬(yìng)件(jiàn)在(zài)生(shēng)产(chǎn)、运(yùn)输(shū)环(huán)节(jié)被(bèi)篡(cuàn)改(gǎi)，或(huò)固(gù)件(jiàn)中(zhōng)预(yù)留(liú)调(diào)试(shì)接(jiē)口(kǒu)被(bèi)恶(è)意(yì)利(lì)用(yòng)。例(lì)如(rú)，某(mǒu)车(chē)载(zài)终(zhōng)端(duān)的(de)“工(gōng)程(chéng)模(mó)式(shì)”本(běn)用(yòng)于(yú)调(diào)试(shì)，却(què)被(bèi)发(fā)现(xiàn)可(kě)被(bèi)远(yuǎn)程(chéng)激(jī)活(huó)，导(dǎo)致(zhì)车(chē)辆(liàng)被(bèi)非(fēi)法(fǎ)控(kòng)制(zhì)。对(duì)此(cǐ)，专(zhuān)家(jiā)建(jiàn)议(yì)企(qǐ)业(yè)建(jiàn)立(lì)“全生(shēng)命(mìng)周(zhōu)期(qī)⚽️安(ān)全验(yàn)证(zhèng)”机(jī)制(zhì)，从(cóng)芯(xīn)片(piàn)到(dào)设(shè)备(bèi)部(bù)署(shǔ)，每(měi)环(huán)节(jié)均(jūn)需(xū)通(tōng)过(guò)安(ān)全检(jiǎn)测(cè)。

防(fáng)御(yù)升(shēng)级(jí)：从(cóng)“被(bèi)动(dòng)补(bǔ)漏(lòu)”到(dào)“主动(dòng)免(miǎn)疫(yì)”

面(miàn)对(duì)日(rì)益(yì)复(fù)杂(zá)的(de)威(wēi)胁(xié)，工(gōng)业(yè)系(xì)统(tǒng)的(de)安(ān)全防(fáng)御(yù)需(xū)从(cóng)“打(dǎ)补(bǔ)丁(dīng)”转(zhuǎn)向(xiàng)“体(tǐ)系(xì)化(huà)防(fáng)护(hù)”。参(cān)照(zhào)IEC 62443国(guó)际(jì)标(biāo)准(zhǔn)，企(qǐ)业(yè)可(kě)将(jiāng)控(kòng)制(zhì)设(shè)备(bèi)按(àn)功(gōng)能(néng)划(huà)分(fēn)安(ān)全区(qū)域，区(qū)域间(jiān)部(bù)署(shǔ)工(gōng)业(yè)防(fáng)火(huǒ)墙(qiáng)，限(xiàn)制(zhì)非(fēi)法(fǎ)通(tōng)信。例如，针对PLC与数据采集网的交互，可部署专业防火墙模块，过滤不匹配组态规则的通信；对关键控制器，则通过工业防火墙阻止来自操作站的非法访问。

技术层面，硬件安全检测需向“芯片级”延伸。传统漏洞扫描已无法应对硬件后门，需结合逆向工程、侧信道分析等技术，主动识别潜在威胁。中电科网安团队开发的硬件🆘安全检测平台，已能检测出芯片设计阶段的“逻辑炸弹”等隐蔽后门。此外，企业应建立“安全运营中心”（SOC），实时监控网络流量，结合AI分析异常行为，实现从“被动响应”到“主动预警”的转变。

工业控制系统的安全，早已不是“技术问题”，而是关乎国家安全、经济稳定的“战略命题”。从漏洞披露量的激增，到硬件后门的曝光，再到供应链风险的蔓延，每一次安全事件都在提醒我们：工业系统的“免疫系统”建设，已刻不容缓。唯有将安全理念融入设计、生产、运维的全流程，才能在这场没有硝烟的战争中，守住工业生产的“生命线”。