導讀

　　隨著工業信息化進程的快速推進，信息、網絡技術在工業控制領域得到了廣泛的應用。工業控制系統逐漸打破了以往的封閉性，這使得工業控制系統也必將面臨黑客入侵等傳統的信息安全威脅。

　　北京匡恩網絡科技有限責任公司技術總監 井柯

　　記者：隨著智能工廠的實施，企業工業控制網絡會面臨哪些新的安全需求？

　　井柯：隨著“中國制造2025”戰略的加速推進，我國智能工廠建設和使用方興未艾。可以說，智能工廠是“中國制造2025”標志性趨勢之一。

　　智能工廠，將先進而成熟的信息技術、互聯網技術、物聯網技術以及傳感器技術等信息化技術手段聚合融合，實現工廠制造流程的網絡化管理，以及工藝設計、工藝分解與加工任務執行的自動化。

　　要實現真正的智能工廠，必然要打通“筋脈”，開放自身的網絡，開放工業控制網絡，使其與設計網互聯互通，最大程度滿足產品設計與生產的自動化需求。同時，高度開放的工業控制網絡將面臨更為嚴峻的安全挑戰，也向我們提出了更多更新的非常具體的安全防護需求，具體主要表現為以下幾個方面：

　　1）工控網絡邊界防護需求更為突出。在智能工廠建設和應用中，如何做好企業設計網與智能工廠工業控制網絡間的網絡隔離與數據交換，最大程度的防范來自設計網對工業控制網絡的非法侵入與破壞，保護工業控制網絡的安全顯得尤為重要。

　　2）智能工廠核心控制器的防護有待加強。不論是產線上核心控制器，還是物流配送的控制器，一但被攻擊或被劫持，都將導致生產環節出現故障，甚至生產癱瘓。因此，對核心控制器的安全防護迫切需要加強。

　　3）存儲核心加工數據的工控主機、數據服務器的安全防護需求更加突出，它們的抗攻擊、抗非法訪問能力有待提高。

　　4）“三建設”構筑立體化工控網絡安全防御體系。所謂“三建設”，即加強安全防護系統的建設；加強安全風險的發現、管理與動態處置能力的建設；加強深度防御，及安全事件的關聯分析與安全預警機制的建設，形成安全事件的快速反應、快速處置，進而保護工業生產控制網絡的安全。

　　記者：您認為保障工業控制網絡安全的核心環節是什么？

　　井柯：保障工業控制網絡安全的核心，即實現工業控制系統內在安全和體系防護的有機統一。基于此，匡恩網絡創新性的提出面向智能工業體系的“4+1”安全防護體系，即結構安全、本體安全、行為安全、基因安全，以及時間持續性防護。

　　具體而言，“四個安全性”嚴格意義上可以稱為“免疫性安全”。結構安全和行為安全是工控安全體系的主體，是實現工控系統體系防護的關鍵因素，也是我們對工業控制系統進行安全改造和加固的切入點；基因安全和本體安全關系到工控安全體系的本質安全，其根本的解決之道是自主可控，由于我國工業控制在裝系統80%以上是國外設備，因此針對本體安全性的檢測和補償性防護措施尤為重要。

　　此外，工控網絡安全防護還需建立長效的安全防護機制，在持續對抗中從技術、設備、人員、管理等多個維度，保障工業控制系統及關鍵基礎設施全生命周期的安全性。

　　記者：智能制造時代，企業應該如何選擇符合要求的工控網絡安全產品？

　　井柯：企業對于工控網絡安全產品的選擇，首先要明確從工業網絡與傳統信息網絡的區別，兩者存在本質差異，主要表現為：

　　1)工控系統以“可靠性”、“穩定性”為首要需求，工控網絡安全誤報等同于攻擊；而傳統的信息安全系統則以“保密性”為首要需求。

　　2)網絡通訊協議不同，工控系統采用大量的私有協議。

　　3)工業控制網絡運行環境相對單一，網絡數據也相對單一；傳統信息網絡是一個基礎的網絡與計算資源的綜合構成體，其網絡中存在非常復雜的組網結構與系統運行環境，它們為多樣化的應用服務提供支撐。

　　4)工控系統更新代價高，常見于傳統信息安全領域通過補丁來解決安全問題，在工控領域行不通。

　　因此對工控安全產品也提出更為明確的要求，主要體現為以下幾個方面：

　　1)工控網絡安全產品要具有高穩定低時延的品質。工業控制網絡對穩定性與低時延性要求非常高，不穩定的系統或高時延極有可能導致工業企業生產混沌，使其蒙受經濟損失。相比之下，傳統信息網絡對網絡的穩定性與時延性要求反而不那么高，比如web服務宕機或重啟只會造成信息的不連續性。

　　2)工控網絡安全產品需要具有工業協議的深度解決能力。傳統信息網絡所使用的通信協議大部分都是標準而開放的協議，而工業控制網絡使用的大部分都是私有協議，協議的私密性對安全產品提出較高的要求，只有安全產品能夠針對工業控制協議進行細粒度的解析，才能實現細粒度的安全防護能力與功能。

　　3)工業控制網絡安全產品要基于白名單機制實現安全防護。目前，工控廠商的產品漏洞升級意識薄弱。在工業漏洞被發現后，工控廠商不得不面對漏洞無法及時升級的尷尬局面。這就要求，對于工控安全產品的選擇，要考慮產品安全防護的細粒度與精準性，不僅要從協議層做訪問控制，還要基于行為與工控指令級的合規性檢查與訪問控制，建立白名單機制，對違規或異常數據進行精確阻斷，有效控制漏洞無法及時升級所帶來的風險，這也是選擇工業控制安全產品的重要指標。

　　4)工控網絡安全產品要具有基于行為的合規性檢查與控制功能。在傳統信息網絡中，部署安全系統、設備更多采用黑名單機制的安全產品進行安全防護。這樣的產品需要強大的硬件計算資源，并不適用于工業控制網絡。工控網絡安全產品需要基于私有協議的深度解析，基于白名單的機制，實現對工業數據單一行為進行細粒度的行為合規性檢查、審計與控制，這樣既可以實現安全防護的精準控制，又可實現安全系統的穩定性要求。

　　記者：隨著去IOE化及國家智能制造的要求，國內工控安全系統廠商將面臨哪些機會和挑戰？

　　井柯：隨著以網絡化、智能化、數字化為主要特征的新一輪工業變革的推進，上至國產數控機床和工業控制器，下至廣泛應用于智慧終端的芯片的受制于人，也讓我們看到中國工控系統網絡安全之路任重而道遠。

　　目前，我國工業控制系統80%采用國外技術和產品。這些工控設備中存在的高危漏洞、設備后門等風險猶如高懸于傳統工業企業之上的利劍。因此，在去IOE化和國家“智能制造”的浪潮中，工業控制系統安全將成為國產化安全、自主、可控的重要杠桿，它將有力撬動傳統工業格局，打破其技術壁壘，推動、促進本土工控產品的創新與技術升級，進而替代國外技術和產品。

　　從2010年至今，短短6年間工控系統網絡安全成為眾所關注的焦點，工控網絡安全產業快速成長。從產業規模而言，不容忽視的是我國現代工業規模為世界之最，具備完整的現代工業體系，因此在工業化、智能化建設中，中國工業更具后發優勢。從需求而言，當網絡化已成為企業轉型升級的重要平臺與助推器，保障工業生產安全，加強工控網絡安全防范迫切性的日趨凸顯，工控系統網絡安全正在成為企業剛需。

　　從現實挑戰來看，我國工控網絡安全面臨前所未有的嚴峻挑戰：工業控制基礎硬件安全問題長期存在，工控系統運行環境存在大量漏洞和隱患，工控網絡安全感知、防護體系有待建立健全，工控網絡安全標準有待完善。綜合上述因素，我國工控網絡安全產業發展挑戰與機遇并存，我國工控網絡安全產業前景廣闊，工控網絡安全產業與工控企業成長空間巨大。