導(dǎo)讀

　　隨著工業(yè)信息化進程的快速推進，信息、網(wǎng)絡(luò)技術(shù)在工業(yè)控制領(lǐng)域得到了廣泛的應(yīng)用。工業(yè)控制系統(tǒng)逐漸打破了以往的封閉性，這使得工業(yè)控制系統(tǒng)也必將面臨黑客入侵等傳統(tǒng)的信息安全威脅。

　　北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司技術(shù)總監(jiān) 井柯

　　記者：隨著智能工廠的實施，企業(yè)工業(yè)控制網(wǎng)絡(luò)會面臨哪些新的安全需求？

　　井柯：隨著“中國制造2025”戰(zhàn)略的加速推進，我國智能工廠建設(shè)和使用方興未艾。可以說，智能工廠是“中國制造2025”標志性趨勢之一。

　　智能工廠，將先進而成熟的信息技術(shù)、互聯(lián)網(wǎng)技術(shù)、物聯(lián)網(wǎng)技術(shù)以及傳感器技術(shù)等信息化技術(shù)手段聚合融合，實現(xiàn)工廠制造流程的網(wǎng)絡(luò)化管理，以及工藝設(shè)計、工藝分解與加工任務(wù)執(zhí)行的自動化。

　　要實現(xiàn)真正的智能工廠，必然要打通“筋脈”，開放自身的網(wǎng)絡(luò)，開放工業(yè)控制網(wǎng)絡(luò)，使其與設(shè)計網(wǎng)互聯(lián)互通，最大程度滿足產(chǎn)品設(shè)計與生產(chǎn)的自動化需求。同時，高度開放的工業(yè)控制網(wǎng)絡(luò)將面臨更為嚴峻的安全挑戰(zhàn)，也向我們提出了更多更新的非常具體的安全防護需求，具體主要表現(xiàn)為以下幾個方面：

　　1）工控網(wǎng)絡(luò)邊界防護需求更為突出。在智能工廠建設(shè)和應(yīng)用中，如何做好企業(yè)設(shè)計網(wǎng)與智能工廠工業(yè)控制網(wǎng)絡(luò)間的網(wǎng)絡(luò)隔離與數(shù)據(jù)交換，最大程度的防范來自設(shè)計網(wǎng)對工業(yè)控制網(wǎng)絡(luò)的非法侵入與破壞，保護工業(yè)控制網(wǎng)絡(luò)的安全顯得尤為重要。

　　2）智能工廠核心控制器的防護有待加強。不論是產(chǎn)線上核心控制器，還是物流配送的控制器，一但被攻擊或被劫持，都將導(dǎo)致生產(chǎn)環(huán)節(jié)出現(xiàn)故障，甚至生產(chǎn)癱瘓。因此，對核心控制器的安全防護迫切需要加強。

　　3）存儲核心加工數(shù)據(jù)的工控主機、數(shù)據(jù)服務(wù)器的安全防護需求更加突出，它們的抗攻擊、抗非法訪問能力有待提高。

　　4）“三建設(shè)”構(gòu)筑立體化工控網(wǎng)絡(luò)安全防御體系。所謂“三建設(shè)”，即加強安全防護系統(tǒng)的建設(shè)；加強安全風(fēng)險的發(fā)現(xiàn)、管理與動態(tài)處置能力的建設(shè)；加強深度防御，及安全事件的關(guān)聯(lián)分析與安全預(yù)警機制的建設(shè)，形成安全事件的快速反應(yīng)、快速處置，進而保護工業(yè)生產(chǎn)控制網(wǎng)絡(luò)的安全。

　　記者：您認為保障工業(yè)控制網(wǎng)絡(luò)安全的核心環(huán)節(jié)是什么？

　　井柯：保障工業(yè)控制網(wǎng)絡(luò)安全的核心，即實現(xiàn)工業(yè)控制系統(tǒng)內(nèi)在安全和體系防護的有機統(tǒng)一?；诖?，匡恩網(wǎng)絡(luò)創(chuàng)新性的提出面向智能工業(yè)體系的“4+1”安全防護體系，即結(jié)構(gòu)安全、本體安全、行為安全、基因安全，以及時間持續(xù)性防護。

　　具體而言，“四個安全性”嚴格意義上可以稱為“免疫性安全”。結(jié)構(gòu)安全和行為安全是工控安全體系的主體，是實現(xiàn)工控系統(tǒng)體系防護的關(guān)鍵因素，也是我們對工業(yè)控制系統(tǒng)進行安全改造和加固的切入點；基因安全和本體安全關(guān)系到工控安全體系的本質(zhì)安全，其根本的解決之道是自主可控，由于我國工業(yè)控制在裝系統(tǒng)80%以上是國外設(shè)備，因此針對本體安全性的檢測和補償性防護措施尤為重要。

　　此外，工控網(wǎng)絡(luò)安全防護還需建立長效的安全防護機制，在持續(xù)對抗中從技術(shù)、設(shè)備、人員、管理等多個維度，保障工業(yè)控制系統(tǒng)及關(guān)鍵基礎(chǔ)設(shè)施全生命周期的安全性。

　　記者：智能制造時代，企業(yè)應(yīng)該如何選擇符合要求的工控網(wǎng)絡(luò)安全產(chǎn)品？

　　井柯：企業(yè)對于工控網(wǎng)絡(luò)安全產(chǎn)品的選擇，首先要明確從工業(yè)網(wǎng)絡(luò)與傳統(tǒng)信息網(wǎng)絡(luò)的區(qū)別，兩者存在本質(zhì)差異，主要表現(xiàn)為：

　　1)工控系統(tǒng)以“可靠性”、“穩(wěn)定性”為首要需求，工控網(wǎng)絡(luò)安全誤報等同于攻擊；而傳統(tǒng)的信息安全系統(tǒng)則以“保密性”為首要需求。

　　2)網(wǎng)絡(luò)通訊協(xié)議不同，工控系統(tǒng)采用大量的私有協(xié)議。

　　3)工業(yè)控制網(wǎng)絡(luò)運行環(huán)境相對單一，網(wǎng)絡(luò)數(shù)據(jù)也相對單一；傳統(tǒng)信息網(wǎng)絡(luò)是一個基礎(chǔ)的網(wǎng)絡(luò)與計算資源的綜合構(gòu)成體，其網(wǎng)絡(luò)中存在非常復(fù)雜的組網(wǎng)結(jié)構(gòu)與系統(tǒng)運行環(huán)境，它們?yōu)槎鄻踊膽?yīng)用服務(wù)提供支撐。

　　4)工控系統(tǒng)更新代價高，常見于傳統(tǒng)信息安全領(lǐng)域通過補丁來解決安全問題，在工控領(lǐng)域行不通。

　　因此對工控安全產(chǎn)品也提出更為明確的要求，主要體現(xiàn)為以下幾個方面：

　　1)工控網(wǎng)絡(luò)安全產(chǎn)品要具有高穩(wěn)定低時延的品質(zhì)。工業(yè)控制網(wǎng)絡(luò)對穩(wěn)定性與低時延性要求非常高，不穩(wěn)定的系統(tǒng)或高時延極有可能導(dǎo)致工業(yè)企業(yè)生產(chǎn)混沌，使其蒙受經(jīng)濟損失。相比之下，傳統(tǒng)信息網(wǎng)絡(luò)對網(wǎng)絡(luò)的穩(wěn)定性與時延性要求反而不那么高，比如web服務(wù)宕機或重啟只會造成信息的不連續(xù)性。

　　2)工控網(wǎng)絡(luò)安全產(chǎn)品需要具有工業(yè)協(xié)議的深度解決能力。傳統(tǒng)信息網(wǎng)絡(luò)所使用的通信協(xié)議大部分都是標準而開放的協(xié)議，而工業(yè)控制網(wǎng)絡(luò)使用的大部分都是私有協(xié)議，協(xié)議的私密性對安全產(chǎn)品提出較高的要求，只有安全產(chǎn)品能夠針對工業(yè)控制協(xié)議進行細粒度的解析，才能實現(xiàn)細粒度的安全防護能力與功能。

　　3)工業(yè)控制網(wǎng)絡(luò)安全產(chǎn)品要基于白名單機制實現(xiàn)安全防護。目前，工控廠商的產(chǎn)品漏洞升級意識薄弱。在工業(yè)漏洞被發(fā)現(xiàn)后，工控廠商不得不面對漏洞無法及時升級的尷尬局面。這就要求，對于工控安全產(chǎn)品的選擇，要考慮產(chǎn)品安全防護的細粒度與精準性，不僅要從協(xié)議層做訪問控制，還要基于行為與工控指令級的合規(guī)性檢查與訪問控制，建立白名單機制，對違規(guī)或異常數(shù)據(jù)進行精確阻斷，有效控制漏洞無法及時升級所帶來的風(fēng)險，這也是選擇工業(yè)控制安全產(chǎn)品的重要指標。

　　4)工控網(wǎng)絡(luò)安全產(chǎn)品要具有基于行為的合規(guī)性檢查與控制功能。在傳統(tǒng)信息網(wǎng)絡(luò)中，部署安全系統(tǒng)、設(shè)備更多采用黑名單機制的安全產(chǎn)品進行安全防護。這樣的產(chǎn)品需要強大的硬件計算資源，并不適用于工業(yè)控制網(wǎng)絡(luò)。工控網(wǎng)絡(luò)安全產(chǎn)品需要基于私有協(xié)議的深度解析，基于白名單的機制，實現(xiàn)對工業(yè)數(shù)據(jù)單一行為進行細粒度的行為合規(guī)性檢查、審計與控制，這樣既可以實現(xiàn)安全防護的精準控制，又可實現(xiàn)安全系統(tǒng)的穩(wěn)定性要求。

　　記者：隨著去IOE化及國家智能制造的要求，國內(nèi)工控安全系統(tǒng)廠商將面臨哪些機會和挑戰(zhàn)？

　　井柯：隨著以網(wǎng)絡(luò)化、智能化、數(shù)字化為主要特征的新一輪工業(yè)變革的推進，上至國產(chǎn)數(shù)控機床和工業(yè)控制器，下至廣泛應(yīng)用于智慧終端的芯片的受制于人，也讓我們看到中國工控系統(tǒng)網(wǎng)絡(luò)安全之路任重而道遠。

　　目前，我國工業(yè)控制系統(tǒng)80%采用國外技術(shù)和產(chǎn)品。這些工控設(shè)備中存在的高危漏洞、設(shè)備后門等風(fēng)險猶如高懸于傳統(tǒng)工業(yè)企業(yè)之上的利劍。因此，在去IOE化和國家“智能制造”的浪潮中，工業(yè)控制系統(tǒng)安全將成為國產(chǎn)化安全、自主、可控的重要杠桿，它將有力撬動傳統(tǒng)工業(yè)格局，打破其技術(shù)壁壘，推動、促進本土工控產(chǎn)品的創(chuàng)新與技術(shù)升級，進而替代國外技術(shù)和產(chǎn)品。

　　從2010年至今，短短6年間工控系統(tǒng)網(wǎng)絡(luò)安全成為眾所關(guān)注的焦點，工控網(wǎng)絡(luò)安全產(chǎn)業(yè)快速成長。從產(chǎn)業(yè)規(guī)模而言，不容忽視的是我國現(xiàn)代工業(yè)規(guī)模為世界之最，具備完整的現(xiàn)代工業(yè)體系，因此在工業(yè)化、智能化建設(shè)中，中國工業(yè)更具后發(fā)優(yōu)勢。從需求而言，當(dāng)網(wǎng)絡(luò)化已成為企業(yè)轉(zhuǎn)型升級的重要平臺與助推器，保障工業(yè)生產(chǎn)安全，加強工控網(wǎng)絡(luò)安全防范迫切性的日趨凸顯，工控系統(tǒng)網(wǎng)絡(luò)安全正在成為企業(yè)剛需。

　　從現(xiàn)實挑戰(zhàn)來看，我國工控網(wǎng)絡(luò)安全面臨前所未有的嚴峻挑戰(zhàn)：工業(yè)控制基礎(chǔ)硬件安全問題長期存在，工控系統(tǒng)運行環(huán)境存在大量漏洞和隱患，工控網(wǎng)絡(luò)安全感知、防護體系有待建立健全，工控網(wǎng)絡(luò)安全標準有待完善。綜合上述因素，我國工控網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展挑戰(zhàn)與機遇并存，我國工控網(wǎng)絡(luò)安全產(chǎn)業(yè)前景廣闊，工控網(wǎng)絡(luò)安全產(chǎn)業(yè)與工控企業(yè)成長空間巨大。