李春水

隨著智慧製造與工業(yè)4.0戰(zhàn)略的提出，工業(yè)生產(chǎn)的數(shù)位化成為一種不可阻擋的未來趨勢(shì)，高度融合IT技術(shù)的工業(yè)自動(dòng)化將會(huì)得到迅速而廣泛的應(yīng)用，對(duì)於工業(yè)控制系統(tǒng)的資訊安全的關(guān)注將達(dá)到前所未有的高度和廣度。

威脅資訊安全的主要包括駭客攻擊、病毒、資料操縱、蠕蟲和特洛伊木馬等技術(shù)。資料顯示，駭客的攻擊目標(biāo)已經(jīng)從原來的商業(yè)互聯(lián)網(wǎng)路逐步擴(kuò)展到工業(yè)控制系統(tǒng)，主要目標(biāo)集中在能源、水利、化工、政府機(jī)構(gòu)以及核設(shè)施等領(lǐng)域。資訊安全事件呈逐年上升的趨勢(shì)，其背後不乏犯罪、商業(yè)間諜、恐怖主義、甚至某些國家贊助的間諜活動(dòng)。

工業(yè)控制系統(tǒng)是工業(yè)自動(dòng)化生產(chǎn)線的控制軟體，負(fù)責(zé)「告訴」工業(yè)設(shè)備「硬體」何時(shí)動(dòng)、怎麼動(dòng)。也就是說，工業(yè)控制系統(tǒng)相當(dāng)於「智慧工廠」的大腦，一旦像個(gè)人電腦一樣感染網(wǎng)路病毒，「智慧工廠」很可能就會(huì)失去控制。

儘管「網(wǎng)路安全」意識(shí)已滲入中國人的日常生活，但工業(yè)控制系統(tǒng)卻還處在「裸奔」的時(shí)代。業(yè)界人士呼籲，要強(qiáng)化對(duì)工業(yè)控制系統(tǒng)的安全防護(hù)，尤其要「守衛(wèi)」好電力、石化、軌道交通等關(guān)鍵基礎(chǔ)設(shè)施。

事實(shí)上，國家已經(jīng)注意到工業(yè)控制系統(tǒng)的重要性。2016年5月，大陸公安部首次將工控系統(tǒng)納入國家安全執(zhí)法工作。

安全隱患日趨明顯

不少中小企業(yè)主一心想利用「互聯(lián)網(wǎng)+」將自己的工廠機(jī)械手智慧化起來，急於尋求工業(yè)控制系統(tǒng)合作夥伴，卻沒有考慮過工業(yè)控制系統(tǒng)是否需要網(wǎng)路防火牆。

但是，這是一個(gè)已經(jīng)不能不考慮的問題。

據(jù)了解，在廣州的網(wǎng)路安全週現(xiàn)場(chǎng)，已有幾家做工業(yè)控制系統(tǒng)安全防護(hù)國產(chǎn)廠家出現(xiàn)了。比如北京匡恩網(wǎng)路科技有限公司，這是主做網(wǎng)路安全系統(tǒng)的企業(yè)，而另一家參展的廣東嘉騰自動(dòng)化有限公司，則是從自動(dòng)化機(jī)器人擴(kuò)展至安全軟體領(lǐng)域。

據(jù)匡恩網(wǎng)路早前援引美國機(jī)構(gòu)CS-CERT發(fā)佈的報(bào)告分析，全球工控安全事件2015年比2012年翻了1.5倍。

「國內(nèi)正在智慧化改造的工廠，尤其是中小企業(yè)的工廠，不少處於『裸奔』狀態(tài)。這些工廠的工業(yè)控制缺乏必要的網(wǎng)路安全防護(hù)?！?月下旬，賴文傑說。他是匡恩網(wǎng)路的高級(jí)安全顧問，從事工業(yè)控制網(wǎng)路安全的研究。

工業(yè)控制系統(tǒng)以往是相對(duì)封閉的，但現(xiàn)在已經(jīng)逐漸開放。經(jīng)過「工業(yè)化和資訊化融合」、「智慧製造」等浪潮後，不少工廠和企業(yè)甚至有許多資料存放在雲(yún)端，以更好實(shí)現(xiàn)「工業(yè)4.0」的柔性化製造。

開放，同時(shí)意味著網(wǎng)路病毒的入侵有了更多管道。賴文傑介紹，一旦網(wǎng)路病毒入侵，工業(yè)控制系統(tǒng)攔截?zé)o效，小則出現(xiàn)工廠某些生產(chǎn)環(huán)節(jié)停產(chǎn)、失靈，重則整個(gè)工廠癱瘓。如果遭受攻擊的是電力、石化、軌道交通等關(guān)鍵行業(yè)，將有可能影響到國計(jì)民生。

ICS-CERT發(fā)佈的報(bào)告顯示，遭受工控安全事件各行業(yè)中關(guān)鍵製造業(yè)所占比重最高，其次是能源行業(yè)。

處境尷尬的中小企業(yè)

而「裸奔」中的中小企業(yè)在網(wǎng)路安全防護(hù)的意識(shí)方面相對(duì)薄弱，做工業(yè)控制的防火牆對(duì)不少企業(yè)主來說是在花「冤枉錢」。

「很多人的心態(tài)是，我的企業(yè)這麼小，不會(huì)有人注意到我的，也不會(huì)閑著沒事做攻擊我這家小企業(yè)的系統(tǒng)?！?廣東網(wǎng)堤信息安全技術(shù)有限公司的銷售經(jīng)理馮子榮說。

如果要構(gòu)建安全系統(tǒng)，企業(yè)到底要花多少錢？多家資訊安全企業(yè)表示，不同行業(yè)、不同安全標(biāo)準(zhǔn)，其花費(fèi)的規(guī)模不盡相同。綜合來看，一套工業(yè)控制系統(tǒng)較高的比重能占去企業(yè)一年經(jīng)營成本的10%～20%，低的能控制在10%以下，一般能管三到五年，平攤到每年為3%左右。

但對(duì)中小企業(yè)來說，一下子拿出10%的成本並不容易。專門針對(duì)資訊安全的啟明星辰客戶經(jīng)理佘瑯在9月下旬表示，從未來趨勢(shì)看，很可能是電力、石化等關(guān)鍵製造業(yè)和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的企業(yè)率先興起安全意識(shí)，佈局工業(yè)控制系統(tǒng)的安全防護(hù)體系。

促使中小企業(yè)主接受工業(yè)控制安全理念，其關(guān)鍵是需要有「物美價(jià)廉」的安全防護(hù)產(chǎn)品。在大陸工業(yè)控制系統(tǒng)尚處起步的背景下，國產(chǎn)廠商要提供這樣的產(chǎn)品並不容易。

不過，大陸已經(jīng)有廠家嘗試改變，試圖通過壓縮使用成本讓中小型工廠用上安全的工業(yè)控制系統(tǒng)。據(jù)了解，廣東嘉騰自動(dòng)化有限公司本是一家自動(dòng)牽引機(jī)器人（AGV）的明星企業(yè)，近日開始發(fā)佈面向中小企業(yè)的工業(yè)控制系統(tǒng)「嘉騰大腦」，其技術(shù)來源於多年AGV控制的經(jīng)驗(yàn)。像智慧手機(jī)一樣，「嘉騰大腦」分高中低配置，低配版本低至5萬元，其商業(yè)模式是通過開放共用的互聯(lián)網(wǎng)操作方式，而不是僅僅靠賣產(chǎn)品賺錢。

該公司副總裁陳洪波在9月下旬表示，他們的工程師試圖將工業(yè)控制涉及的各類資訊系統(tǒng)放在一起，不僅是該公司的AGV產(chǎn)品可以接入，其他廠家的工業(yè)機(jī)器人也可以接入，其後臺(tái)使用類似智慧手機(jī)一樣便捷。工程師多年研發(fā)成功攻關(guān)的是，如何讓「嘉騰大腦」這一系統(tǒng)相容不同廠家機(jī)器人產(chǎn)品的驅(qū)動(dòng)系統(tǒng)，並保障讓使用者的操作足夠便捷。

國產(chǎn)安全系統(tǒng)尚待發(fā)力

多種嘗試是必須的。從發(fā)展來說，目前中國的工業(yè)控制系統(tǒng)「安全鎖」還處在初級(jí)階段。

在9月舉行的廣東網(wǎng)路安全宣傳週的高峰論壇上，匡恩網(wǎng)路首席安全顧問肖存峰就專門論及了關(guān)鍵基礎(chǔ)設(shè)施資訊安全的前沿問題。這一問題是工業(yè)控制系統(tǒng)的難題。在肖存峰的分析中，除了安全意識(shí)「軟環(huán)境」之外，還有一系列硬性的難題需要攻關(guān)。這些難題主要包括，工業(yè)設(shè)備的高危漏洞和後門、運(yùn)營維護(hù)的安全風(fēng)險(xiǎn)、工業(yè)網(wǎng)路病毒、無線技術(shù)（Wi-Fi）應(yīng)用的風(fēng)險(xiǎn)以及高級(jí)持續(xù)性威脅。高級(jí)持續(xù)性威脅（Advanced Persistent Threat）是一種以商業(yè)和政治為目的的網(wǎng)路犯罪類別，其特點(diǎn)是經(jīng)過長期經(jīng)營與策劃，並具備高度的隱蔽性，而其攻擊往往更難防備。

他舉例，某電力企業(yè)外資的集散控制系統(tǒng)（DCS）的通訊協(xié)定存在設(shè)計(jì)缺陷，而生產(chǎn)控制大區(qū)與管理資訊大區(qū)之前的網(wǎng)閘，只能觀察到告警燈，卻無法查詢告警資訊及溯源。這也就是說，這個(gè)系統(tǒng)只能告知有危險(xiǎn)，卻不告知危險(xiǎn)是什麼，也就很難解決危險(xiǎn)問題。

肖存峰擔(dān)憂的問題是，目前大陸工業(yè)控制系統(tǒng)以國外品牌為主導(dǎo)，對(duì)國外依賴將加劇。如果不能掌握自主可控的技術(shù)，國內(nèi)的工業(yè)控制系統(tǒng)將要承擔(dān)資訊洩露的風(fēng)險(xiǎn)。在廣東網(wǎng)路安全宣傳週的高峰論壇上，不少學(xué)界和業(yè)界的發(fā)言者也認(rèn)為「自主可控」應(yīng)當(dāng)是方向。

但國產(chǎn)自主的安全裝置目前並不好。從資訊的傳輸次序看，「智慧工廠」一般需要經(jīng)歷四個(gè)層級(jí)：一是資訊層，也就是企業(yè)和工廠的辦公網(wǎng)路，發(fā)出生產(chǎn)指令，由於與公共網(wǎng)路連接，最容易受到攻擊；二是監(jiān)測(cè)層，也就是工廠監(jiān)測(cè)各種機(jī)械手、傳送帶等設(shè)備工作情況的系統(tǒng)；三是控制層，將傳輸而來的生產(chǎn)資訊轉(zhuǎn)化為工業(yè)設(shè)備工作的參數(shù)；最後是設(shè)備層，也就是機(jī)械手、傳送帶等裝備。賴文傑表示，而目前大陸大部分企業(yè)能做的是，只會(huì)在資訊層加上一道網(wǎng)閘，而這樣網(wǎng)閘很容易失效。

匡恩網(wǎng)路想要做的改進(jìn)是，在監(jiān)測(cè)層的設(shè)備中植入威脅態(tài)勢(shì)感知平臺(tái)和漏洞挖掘雲(yún)服務(wù)平臺(tái)，將一道「安全鎖」變成三道。兩個(gè)平臺(tái)通過危險(xiǎn)侵入和漏洞兩個(gè)方面的即時(shí)監(jiān)測(cè)，一旦發(fā)現(xiàn)有安全隱患即可補(bǔ)救。另一家企業(yè)的啟明星辰的思路也大同小異，強(qiáng)調(diào)線上、即時(shí)的監(jiān)測(cè)掃描。而這兩家企業(yè)也代表了國產(chǎn)工控安全系統(tǒng)的崛起方向。