工業(yè)控制系統(tǒng)安全成為中國智能制造的絆腳石

　　引言：工業(yè)控制系統(tǒng)面臨國產(chǎn)比例低、安全防護措施少、企業(yè)主意識淡薄等威脅。這些都是中國制造業(yè)走向“工業(yè)4.0”必須補上的一課。

　　隨著問題頻發(fā)，工業(yè)控制系統(tǒng)安全不再是一個輕松的話題，而成為中國智能制造的“攔路虎”。

　　工業(yè)控制系統(tǒng)是工業(yè)自動化生產(chǎn)線的控制軟件，負(fù)責(zé)“告訴”工業(yè)設(shè)備“硬件”何時動、怎么動。也就是說，工業(yè)控制系統(tǒng)相當(dāng)于“智慧工廠”的大腦，一旦像個人電腦一樣感染網(wǎng)絡(luò)病毒，“智慧工廠”很可能就會失去控制。

　　目前，盡管“網(wǎng)絡(luò)安全”意識已滲入中國人的日常生活，但工業(yè)控制系統(tǒng)卻還處在“裸奔”的時代。而在近日多地召開的國家網(wǎng)絡(luò)安全宣傳周上，工業(yè)控制系統(tǒng)的安全問題漸成前沿話題。業(yè)界人士呼吁，要強化對工業(yè)控制系統(tǒng)的安全防護，尤其要“守衛(wèi)”好電力、石化、軌道交通等關(guān)鍵基礎(chǔ)設(shè)施。

　　工業(yè)控制系統(tǒng)面臨國產(chǎn)比例低、安全防護措施少、企業(yè)主意識淡薄等威脅。這些都是中國制造業(yè)走向“工業(yè)4.0”必須補上的一課。

　　事實上，國家已經(jīng)注意到工業(yè)控制系統(tǒng)的重要性。2016年5月，公安部首次將工控系統(tǒng)納入國家安全執(zhí)法工作。

　　關(guān)鍵制造業(yè)易受攻擊

　　老趙在東莞有一家做注塑機械手的工廠。9月22日，21世紀(jì)經(jīng)濟報道記者采訪他的時候，他表示最近剛到廣州找做工業(yè)控制系統(tǒng)的合作伙伴，這樣就能用“互聯(lián)網(wǎng)+”的方式讓他的機械手“跑”起來。

　　不過，老趙只管問工業(yè)互聯(lián)網(wǎng)這輛“汽車”能不能跑起來，卻沒有理會“汽車”的安全氣囊。工業(yè)控制系統(tǒng)也需要網(wǎng)絡(luò)防火墻嗎?打算做“智慧工廠”的老趙沒有想過。

　　但是，這是一個已經(jīng)不能不考慮的問題。

　　據(jù)21世紀(jì)經(jīng)濟報道記者了解，在廣州現(xiàn)場的網(wǎng)絡(luò)安全周上，已有幾家做工業(yè)控制系統(tǒng)安全防護國產(chǎn)廠家出現(xiàn)。比如北京匡恩網(wǎng)絡(luò)科技有限公司，這是主做網(wǎng)絡(luò)安全系統(tǒng)的企業(yè)，而另一家參展的廣東嘉騰自動化有限公司，則是從自動化機器人擴展至安全軟件領(lǐng)域。

　　而據(jù)匡恩網(wǎng)絡(luò)早前援引美國機構(gòu)ICS-CERT發(fā)布的報告分析，全球工控安全事件由2012年197個上市到2015年的295個，機會翻了1.5倍。

　　“國內(nèi)正在智能化改造的工廠，尤其是中小企業(yè)的工廠，不少處于‘裸奔’狀態(tài)。這些工廠的工業(yè)控制缺乏必要的網(wǎng)絡(luò)安全防護?！?月下旬，賴文杰告訴21世紀(jì)經(jīng)濟報道記者。他是匡恩網(wǎng)絡(luò)的高級安全顧問，從事工業(yè)控制網(wǎng)絡(luò)安全的研究。

　　工業(yè)控制系統(tǒng)以往是相對封閉的，但現(xiàn)在已經(jīng)逐漸開放。經(jīng)過“工業(yè)化和信息化融合”、“智能制造”等浪潮后，不少工廠和企業(yè)甚至有許多數(shù)據(jù)存放在云端，以更好實現(xiàn)“工業(yè)4.0”的柔性化制造。

　　開放，同時意味著網(wǎng)絡(luò)病毒的入侵有了更多渠道。賴文杰介紹，一旦網(wǎng)絡(luò)病毒入侵，工業(yè)控制系統(tǒng)攔截?zé)o效，小則出現(xiàn)工廠某些生產(chǎn)環(huán)節(jié)停產(chǎn)、失靈，重則整個工廠癱瘓。如果遭受攻擊的是電力、石化、軌道交通等關(guān)鍵行業(yè)，將有可能影響到國計民生。

　　這不是危言聳聽。ICS-CERT發(fā)布的報告表明，遭受工控安全事件，關(guān)鍵制造業(yè)所占比重最高，達33%;緊隨其后的是能源行業(yè)，占比為8%。

　　中小企業(yè)面臨兩難

　　而中小企業(yè)的情況更加不妙。馮子榮是廣東網(wǎng)堤信息安全技術(shù)有限公司的銷售經(jīng)理。在9月23日，他告訴21世紀(jì)經(jīng)濟報道記者，一些中小企業(yè)并沒有網(wǎng)絡(luò)安全防護的意識，而另一些企業(yè)則覺得做工業(yè)控制的防火墻是“花冤枉錢”。

　　“很多人的心態(tài)是，我的企業(yè)這么小，不會有人注意到我的，也不會閑著沒事做攻擊我這家小企業(yè)的系統(tǒng)。”馮子榮接著說，“但企業(yè)遭受攻擊的原因極其復(fù)雜，有的是商業(yè)對手的不正當(dāng)競爭手段，有的是為了竊取信息做非法用途，甚至有的就是黑客為了炫耀技術(shù)?！?/P>

　　如果要構(gòu)建安全系統(tǒng)，企業(yè)到底要花多少錢?多家信息安全企業(yè)表示，不同行業(yè)、不同安全標(biāo)準(zhǔn)，其花費的規(guī)模不盡相同。綜合來看，一套工業(yè)控制系統(tǒng)較高的比重能占去企業(yè)一年經(jīng)營成本的10%~20%，低的能控制在10%以下，一般能管三到五年，平攤到每年為3%左右。

　　但對中小企業(yè)來說，一下子拿出10%的成本并不容易。專門針對信息安全的啟明星辰客戶經(jīng)理佘瑯在9月下旬對記者表示，從未來趨勢看，很可能是電力、石化等關(guān)鍵制造業(yè)和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的企業(yè)率先興起安全意識，布局工業(yè)控制系統(tǒng)的安全防護體系。

　　而對老趙這樣的中小企業(yè)主來說，要構(gòu)建全套“智慧工廠”的軟硬件，沒有上百萬搞不定。促使他們接受工業(yè)控制安全理念，其關(guān)鍵是需要有“物美價廉”的安全防護產(chǎn)品。在國內(nèi)工業(yè)控制系統(tǒng)尚處起步的背景下，國產(chǎn)廠商要提供這樣的產(chǎn)品并不容易。

　　不過，國內(nèi)已經(jīng)有廠家嘗試改變，試圖通過壓縮使用成本讓中小型工廠用上安全的工業(yè)控制系統(tǒng)。據(jù)21世紀(jì)經(jīng)濟報道記者了解，廣東嘉騰自動化有限公司本是一家國內(nèi)自動牽引機器人(AGV)的明星企業(yè)，近日開始發(fā)布面向中小企業(yè)的工業(yè)控制系統(tǒng)“嘉騰大腦”，其技術(shù)來源于多年AGV控制的經(jīng)驗。像智能手機一樣，“嘉騰大腦”分高中低配置，低配版本低至5萬元，其商業(yè)模式是通過開放共享的互聯(lián)網(wǎng)操作方式，而不是僅僅靠賣產(chǎn)品賺錢。

　　該公司副總裁陳洪波在9月下旬表示，他們的工程師試圖將工業(yè)控制涉及的各類信息系統(tǒng)放在一起，不僅是該公司的AGV產(chǎn)品可以接入，其他廠家的工業(yè)機器人也可以接入，其后臺使用類似智能手機一樣便捷。工程師多年研發(fā)成功攻關(guān)的是，如何讓“嘉騰大腦”這一系統(tǒng)兼容不同廠家機器人產(chǎn)品的驅(qū)動系統(tǒng)，并保障讓使用者的操作足夠便捷。

　　國產(chǎn)安全系統(tǒng)尚待發(fā)力

　　多種嘗試是必須的。從發(fā)展來說，目前中國的工業(yè)控制系統(tǒng)“安全鎖”還處在初級階段。

　　在9月舉行的廣東網(wǎng)絡(luò)安全宣傳周的高峰論壇上，匡恩網(wǎng)絡(luò)首席安全顧問肖存峰就專門論及了關(guān)鍵基礎(chǔ)設(shè)施信息安全的前沿問題。這一問題是工業(yè)控制系統(tǒng)的難題。在肖存峰的分析中，除了安全意識“軟環(huán)境”之外，還有一系列硬性的難題需要攻關(guān)。這些難題主要包括，工業(yè)設(shè)備的高危漏洞和后門、運營維護的安全風(fēng)險、工業(yè)網(wǎng)絡(luò)病毒、無線技術(shù)(Wi-Fi)應(yīng)用的風(fēng)險以及高級持續(xù)性威脅。高級持續(xù)性威脅(AdvancedPersistentThreat)是一種以商業(yè)和政治為目的的網(wǎng)絡(luò)犯罪類別，其特點是經(jīng)過長期經(jīng)營與策劃，并具備高度的隱蔽性，而其攻擊往往更難防備。

　　例如，肖存峰就在調(diào)研中發(fā)現(xiàn)，某電力企業(yè)外資的集散控制系統(tǒng)(DCS)的通訊協(xié)議存在設(shè)計缺陷，而生產(chǎn)控制大區(qū)與管理信息大區(qū)之前的網(wǎng)閘，只能觀察到告警燈，卻無法查詢告警信息及溯源。這也就是說，這個系統(tǒng)只能告知有危險，卻不告知危險是什么，也就很難解決危險問題。

　　肖存峰擔(dān)憂的問題是，目前國內(nèi)工業(yè)控制系統(tǒng)以國外品牌為主導(dǎo)，對國外依賴將加劇。如果不能掌握自主可控的技術(shù)，國內(nèi)的工業(yè)控制系統(tǒng)將要承擔(dān)信息泄露的風(fēng)險。在廣東網(wǎng)絡(luò)安全宣傳周的高峰論壇上，不少學(xué)界和業(yè)界的發(fā)言者也認(rèn)為“自主可控”應(yīng)當(dāng)是方向。

　　但國產(chǎn)自主的安全裝置目前并不好。從信息的傳輸次序看，“智慧工廠”一般需要經(jīng)歷四個層級：一是信息層，也就是企業(yè)和工廠的辦公網(wǎng)絡(luò)，發(fā)出生產(chǎn)指令，由于與公共網(wǎng)絡(luò)連接，最容易受到攻擊;二是監(jiān)測層，也就是工廠監(jiān)測各種機械手、傳送帶等設(shè)備工作情況的系統(tǒng);三是控制層，將傳輸而來的生產(chǎn)信息轉(zhuǎn)化為工業(yè)設(shè)備工作的參數(shù);最后是設(shè)備層，也就是機械手、傳送帶等裝備。賴文杰表示，而目前國內(nèi)大部分企業(yè)能做的是，只會在信息層加上一道網(wǎng)閘，而這樣網(wǎng)閘很容易失效。

　　匡恩網(wǎng)絡(luò)想要做的改進是，在監(jiān)測層的設(shè)備中植入威脅態(tài)勢感知平臺和漏洞挖掘云服務(wù)平臺，將一道“安全鎖”變成三道。兩個平臺通過危險侵入和漏洞兩個方面的實時監(jiān)測，一旦發(fā)現(xiàn)有安全隱患即可補救。另一家企業(yè)的啟明星辰的思路也大同小異，強調(diào)在線、實時的監(jiān)測掃描。而這兩家企業(yè)也代表了國產(chǎn)工控安全系統(tǒng)的崛起方向。

（轉(zhuǎn)載）