椒图科技常务副总经理李科在此前接受媒体专访时表示，“工业控制系统的安全性并非只是应对陈旧系统所面临新挑战的问题，而实质上是源自传统信息安全问题在工业控制领域的进一步延伸与发展。”他强调，目前信息技术已经渗透并广泛运用于石油、化工、电力等诸多关键领域，这不仅为传统工业控制系统的优化升级提供了强有力的支持，同时也带来了网络环境下的信息安全隐患。诸如蠕虫、木马以及黑客攻击等网络威胁对工业控制系统的冲击正呈现出日益加剧的趋势。

    近些年来，伴随着经济全球化进程的不断深化，国际间的竞争日趋白热化。工业控制系统作为能源、制造业乃至军工等关乎国计民生的关键行业的重要基础设施，在信息攻防战的阴霾之下，其所处的运行环境中的安全风险正在持续攀升。据相关数据显示，仅在过去的一年里，国家信息安全漏洞共享平台便收录了超过100个对我国产生广泛影响的工业控制系统软件安全漏洞，相较于2010年的数量，增幅高达近10倍之多。这些漏洞涵盖了西门子、北京亚控以及北京三维力控等国内外知名工业控制系统制造商的产品。安全漏洞的频繁出现无疑为工业控制系统增添了新的风险因素，从而可能导致生产秩序的混乱，甚至威胁到人员的生命健康以及公共财产的安全。

    椒图科技常务副总经理李科向记者解释道，“当我们提及工业控制系统的安全问题时，许多人可能会简单地将其理解为直接用于控制的实时操作系统设备的安全。”然而，从整体架构来看，工业控制系统实际上是由服务器、终端以及前端的实时操作系统等多个部分共同组成的复杂网络体系，其中同样涉及到了物理层、网络层、主机层以及应用层等传统信息安全问题。在整个工业控制系统中，绝大部分的工控软件都是运行在通用操作系统之上，如操作员站通常采用Linux或Windows平台。为了保证系统运行的稳定性，一旦系统投入使用，往往不会再对Linux或Windows平台进行补丁修复。此外，多数工业控制网络均属于专用内部网络，并不与互联网连接，因此即便安装有反病毒软件，也难以实现病毒数据库的实时更新，且对于未知病毒和恶意代码的防范能力有限。操作系统漏洞的不可避免性，加上传统防御技术和手段的滞后性，为病毒、恶意代码的传播与扩散创造了可乘之机。以2010年震惊全球工业界的“震网”事件为例，该病毒正是借助Windows操作系统的漏洞成功入侵系统，随后加载攻击模块，搜索并定位在Windows平台上运行的工业控制系统，最终对系统发起直接攻击。

    据我们所知，在2010年发生的“震网”攻击事件中，这一病毒使得伊朗用于铀浓缩的离心机无法运作，直接重创了该国的核工业。这揭示了这样一个事实，那就是针对工业控制系统的各种恶意行为，已经开始对各国的经济发展以及社会稳定带来深远的影响。不仅如此，类似于“震网”(Stuxnet)这样的知名恶意软件，近些年来不断涌现出来，例如“毒区”(Duqu)、“火焰”(Flame)等，它们都将攻击的重点转向了石油、电力等关乎国家命脉的重要行业领域，使得工业控制系统所面临的安全威胁日益严重。为了提高工业控制系统的安全防护水平，国际上的相关组织共同制定了《工业过程测量、控制和自动化 网络与系统信息安全》(IEC 62443)系列标准，为系统集成商、产品供应商等进行安全性评估提供了明确的指导。在这些标准中，特别强调了信息安全的重要性，IEC 62443明确指出，“基于计算机系统的能力，应该确保非授权人员和系统既不能修改软件及其数据，也不能访问系统功能；同时，也要保证授权人员和系统不会受到任何阻碍。”

    有专家表示，在工业控制网络体系中，作为主机的服务器是至关重要的设备之一，因为服务器上运行的操作系统平台承担着核心业务系统的运行任务，对于前端实时操作系统能否正常运转有着举足轻重的影响。因此，在工控安全的整体架构中，服务器操作系统平台的安全防护是必不可少的组成部分。