工業(yè)控制系統面臨國產(chǎn)比例低、安全防護措施少、企業(yè)主意識淡薄等威脅。這些都是中國制造業(yè)走向“工業(yè)4.0”必須補上的一課。

 

　　隨著(zhù)問(wèn)題頻發(fā)，工業(yè)控制系統安全不再是一個(gè)輕松的話(huà)題，而成為中國智能制造的“攔路虎”。

 

　　工業(yè)控制系統是工業(yè)自動(dòng)化生產(chǎn)線(xiàn)的控制軟件，負責“告訴”工業(yè)設備“硬件”何時(shí)動(dòng)、怎么動(dòng)。也就是說(shuō)，工業(yè)控制系統相當于“智慧工廠(chǎng)”的大腦，一旦像個(gè)人電腦一樣感染網(wǎng)絡(luò )病毒，“智慧工廠(chǎng)”很可能就會(huì )失去控制。

 

　　目前，盡管“網(wǎng)絡(luò )安全”意識已滲入中國人的日常生活，但工業(yè)控制系統卻還處在“裸奔”的時(shí)代。而在近日多地召開(kāi)的國家網(wǎng)絡(luò )安全宣傳周上，工業(yè)控制系統的安全問(wèn)題漸成前沿話(huà)題。業(yè)界人士呼吁，要強化對工業(yè)控制系統的安全防護，尤其要“守衛”好電力、石化、軌道交通等關(guān)鍵基礎設施。

 

　　工業(yè)控制系統面臨國產(chǎn)比例低、安全防護措施少、企業(yè)主意識淡薄等威脅。這些都是中國制造業(yè)走向“工業(yè)4.0”必須補上的一課。

 

　　事實(shí)上，國家已經(jīng)注意到工業(yè)控制系統的重要性。2016年5月，公安部首次將工控系統納入國家安全執法工作。

 

　　關(guān)鍵制造業(yè)易受攻擊

 

　　老趙在東莞有一家做注塑機械手的工廠(chǎng)。9月22日，記者采訪(fǎng)他的時(shí)候，他表示最近剛到廣州找做工業(yè)控制系統的合作伙伴，這樣就能用“互聯(lián)網(wǎng)+”的方式讓他的機械手“跑”起來(lái)。

 

　　不過(guò)，老趙只管問(wèn)工業(yè)互聯(lián)網(wǎng)這輛“汽車(chē)”能不能跑起來(lái)，卻沒(méi)有理會(huì )“汽車(chē)”的安全氣囊。工業(yè)控制系統也需要網(wǎng)絡(luò )防火墻嗎?打算做“智慧工廠(chǎng)”的老趙沒(méi)有想過(guò)。

 

　　但是，這是一個(gè)已經(jīng)不能不考慮的問(wèn)題。

 

　　在廣州現場(chǎng)的網(wǎng)絡(luò )安全周上，已有幾家做工業(yè)控制系統安全防護國產(chǎn)廠(chǎng)家出現。比如北京匡恩網(wǎng)絡(luò )科技有限公司，這是主做網(wǎng)絡(luò )安全系統的企業(yè)，而另一家參展的廣東嘉騰自動(dòng)化有限公司，則是從自動(dòng)化機器人擴展至安全軟件領(lǐng)域。

 

　　而據匡恩網(wǎng)絡(luò )早前援引美國機構ICS-CERT發(fā)布的報告分析，全球工控安全事件由2012年197個(gè)上市到2015年的295個(gè)，機會(huì )翻了1.5倍。

 

　　“國內正在智能化改造的工廠(chǎng)，尤其是中小企業(yè)的工廠(chǎng)，不少處于‘裸奔’狀態(tài)。這些工廠(chǎng)的工業(yè)控制缺乏必要的網(wǎng)絡(luò )安全防護。”9月下旬，賴(lài)文杰告訴21世紀經(jīng)濟報道記者。他是匡恩網(wǎng)絡(luò )的高級安全顧問(wèn)，從事工業(yè)控制網(wǎng)絡(luò )安全的研究。

 

　　工業(yè)控制系統以往是相對封閉的，但現在已經(jīng)逐漸開(kāi)放。經(jīng)過(guò)“工業(yè)化和信息化融合”、“智能制造”等浪潮后，不少工廠(chǎng)和企業(yè)甚至有許多數據存放在云端，以更好實(shí)現“工業(yè)4.0”的柔性化制造。

 

　　開(kāi)放，同時(shí)意味著(zhù)網(wǎng)絡(luò )病毒的入侵有了更多渠道。賴(lài)文杰介紹，一旦網(wǎng)絡(luò )病毒入侵，工業(yè)控制系統攔截無(wú)效，小則出現工廠(chǎng)某些生產(chǎn)環(huán)節停產(chǎn)、失靈，重則整個(gè)工廠(chǎng)癱瘓。如果遭受攻擊的是電力、石化、軌道交通等關(guān)鍵行業(yè)，將有可能影響到國計民生。

 

　　這不是危言聳聽(tīng)。ICS-CERT發(fā)布的報告表明，遭受工控安全事件，關(guān)鍵制造業(yè)所占比重最高，達33%;緊隨其后的是能源行業(yè)，占比為8%。

 

　　中小企業(yè)面臨兩難

 

　　而中小企業(yè)的情況更加不妙。馮子榮是廣東網(wǎng)堤信息安全技術(shù)有限公司的銷(xiāo)售經(jīng)理。在9月23日，他告訴記者，一些中小企業(yè)并沒(méi)有網(wǎng)絡(luò )安全防護的意識，而另一些企業(yè)則覺(jué)得做工業(yè)控制的防火墻是“花冤枉錢(qián)”。

 

　　“很多人的心態(tài)是，我的企業(yè)這么小，不會(huì )有人注意到我的，也不會(huì )閑著(zhù)沒(méi)事做攻擊我這家小企業(yè)的系統。”馮子榮接著(zhù)說(shuō)，“但企業(yè)遭受攻擊的原因極其復雜，有的是商業(yè)對手的不正當競爭手段，有的是為了竊取信息做非法用途，甚至有的就是黑客為了炫耀技術(shù)。”

 

　　如果要構建安全系統，企業(yè)到底要花多少錢(qián)?多家信息安全企業(yè)表示，不同行業(yè)、不同安全標準，其花費的規模不盡相同。綜合來(lái)看，一套工業(yè)控制系統較高的比重能占去企業(yè)一年經(jīng)營(yíng)成本的10%~20%，低的能控制在10%以下，一般能管三到五年，平攤到每年為3%左右。

 

　　但對中小企業(yè)來(lái)說(shuō)，一下子拿出10%的成本并不容易。專(zhuān)門(mén)針對信息安全的啟明星辰客戶(hù)經(jīng)理佘瑯在9月下旬對記者表示，從未來(lái)趨勢看，很可能是電力、石化等關(guān)鍵制造業(yè)和關(guān)鍵基礎設施領(lǐng)域的企業(yè)率先興起安全意識，布局工業(yè)控制系統的安全防護體系。

 

　　而對老趙這樣的中小企業(yè)主來(lái)說(shuō)，要構建全套“智慧工廠(chǎng)”的軟硬件，沒(méi)有上百萬(wàn)搞不定。促使他們接受工業(yè)控制安全理念，其關(guān)鍵是需要有“物美價(jià)廉”的安全防護產(chǎn)品。在國內工業(yè)控制系統尚處起步的背景下，國產(chǎn)廠(chǎng)商要提供這樣的產(chǎn)品并不容易。

 

　　不過(guò)，國內已經(jīng)有廠(chǎng)家嘗試改變，試圖通過(guò)壓縮使用成本讓中小型工廠(chǎng)用上安全的工業(yè)控制系統。據21世紀經(jīng)濟報道記者了解，廣東嘉騰自動(dòng)化有限公司本是一家國內自動(dòng)牽引機器人(AGV)的明星企業(yè)，近日開(kāi)始發(fā)布面向中小企業(yè)的工業(yè)控制系統“嘉騰大腦”，其技術(shù)來(lái)源于多年AGV控制的經(jīng)驗。像智能手機一樣，“嘉騰大腦”分高中低配置，低配版本低至5萬(wàn)元，其商業(yè)模式是通過(guò)開(kāi)放共享的互聯(lián)網(wǎng)操作方式，而不是僅僅靠賣(mài)產(chǎn)品賺錢(qián)。

 

　　該公司副總裁陳洪波在9月下旬表示，他們的工程師試圖將工業(yè)控制涉及的各類(lèi)信息系統放在一起，不僅是該公司的AGV產(chǎn)品可以接入，其他廠(chǎng)家的工業(yè)機器人也可以接入，其后臺使用類(lèi)似智能手機一樣便捷。工程師多年研發(fā)成功攻關(guān)的是，如何讓“嘉騰大腦”這一系統兼容不同廠(chǎng)家機器人產(chǎn)品的驅動(dòng)系統，并保障讓使用者的操作足夠便捷。

 

　　國產(chǎn)安全系統尚待發(fā)力

 

　　多種嘗試是必須的。從發(fā)展來(lái)說(shuō)，目前中國的工業(yè)控制系統“安全鎖”還處在初級階段。

 

　　在9月舉行的廣東網(wǎng)絡(luò )安全宣傳周的高峰論壇上，匡恩網(wǎng)絡(luò )首席安全顧問(wèn)肖存峰就專(zhuān)門(mén)論及了關(guān)鍵基礎設施信息安全的前沿問(wèn)題。這一問(wèn)題是工業(yè)控制系統的難題。在肖存峰的分析中，除了安全意識“軟環(huán)境”之外，還有一系列硬性的難題需要攻關(guān)。這些難題主要包括，工業(yè)設備的高危漏洞和后門(mén)、運營(yíng)維護的安全風(fēng)險、工業(yè)網(wǎng)絡(luò )病毒、無(wú)線(xiàn)技術(shù)(Wi-Fi)應用的風(fēng)險以及高級持續性威脅。高級持續性威脅(Advanced Persistent Threat)是一種以商業(yè)和政治為目的的網(wǎng)絡(luò )犯罪類(lèi)別，其特點(diǎn)是經(jīng)過(guò)長(cháng)期經(jīng)營(yíng)與策劃，并具備高度的隱蔽性，而其攻擊往往更難防備。

 

　　例如，肖存峰就在調研中發(fā)現，某電力企業(yè)外資的集散控制系統(DCS)的通訊協(xié)議存在設計缺陷，而生產(chǎn)控制大區與管理信息大區之前的網(wǎng)閘，只能觀(guān)察到告警燈，卻無(wú)法查詢(xún)告警信息及溯源。這也就是說(shuō)，這個(gè)系統只能告知有危險，卻不告知危險是什么，也就很難解決危險問(wèn)題。

 

　　肖存峰擔憂(yōu)的問(wèn)題是，目前國內工業(yè)控制系統以國外品牌為主導，對國外依賴(lài)將加劇。如果不能掌握自主可控的技術(shù)，國內的工業(yè)控制系統將要承擔信息泄露的風(fēng)險。在廣東網(wǎng)絡(luò )安全宣傳周的高峰論壇上，不少學(xué)界和業(yè)界的發(fā)言者也認為“自主可控”應當是方向。

 

　　但國產(chǎn)自主的安全裝置目前并不好。從信息的傳輸次序看，“智慧工廠(chǎng)”一般需要經(jīng)歷四個(gè)層級：一是信息層，也就是企業(yè)和工廠(chǎng)的辦公網(wǎng)絡(luò )，發(fā)出生產(chǎn)指令，由于與公共網(wǎng)絡(luò )連接，最容易受到攻擊;二是監測層，也就是工廠(chǎng)監測各種機械手、傳送帶等設備工作情況的系統;三是控制層，將傳輸而來(lái)的生產(chǎn)信息轉化為工業(yè)設備工作的參數;最后是設備層，也就是機械手、傳送帶等裝備。賴(lài)文杰表示，而目前國內大部分企業(yè)能做的是，只會(huì )在信息層加上一道網(wǎng)閘，而這樣網(wǎng)閘很容易失效。

 

　　匡恩網(wǎng)絡(luò )想要做的改進(jìn)是，在監測層的設備中植入威脅態(tài)勢感知平臺和漏洞挖掘云服務(wù)平臺，將一道“安全鎖”變成三道。兩個(gè)平臺通過(guò)危險侵入和漏洞兩個(gè)方面的實(shí)時(shí)監測，一旦發(fā)現有安全隱患即可補救。另一家企業(yè)的啟明星辰的思路也大同小異，強調在線(xiàn)、實(shí)時(shí)的監測掃描。而這兩家企業(yè)也代表了國產(chǎn)工控安全系統的崛起方向。

圖片來(lái)源：找項目網(wǎng)