工業(yè)控制系統(tǒng)面臨國產(chǎn)比例低、安全防護(hù)措施少、企業(yè)主意識淡薄等威脅。這些都是中國制造業(yè)走向“工業(yè)4.0”必須補(bǔ)上的一課。

隨著問題頻發(fā)，工業(yè)控制系統(tǒng)安全不再是一個輕松的話題，而成為中國智能制造的“攔路虎”。

工業(yè)控制系統(tǒng)是工業(yè)自動化生產(chǎn)線的控制軟件，負(fù)責(zé)“告訴”工業(yè)設(shè)備“硬件”何時動、怎么動。也就是說，工業(yè)控制系統(tǒng)相當(dāng)于“智慧工廠”的大腦，一旦像個人電腦一樣感染網(wǎng)絡(luò)病毒，“智慧工廠”很可能就會失去控制。

目前，盡管“網(wǎng)絡(luò)安全”意識已滲入中國人的日常生活，但工業(yè)控制系統(tǒng)卻還處在“裸奔”的時代。而在近日多地召開的國家網(wǎng)絡(luò)安全宣傳周上，工業(yè)控制系統(tǒng)的安全問題漸成前沿話題。業(yè)界人士呼吁，要強(qiáng)化對工業(yè)控制系統(tǒng)的安全防護(hù)，尤其要“守衛(wèi)”好電力、石化、軌道交通等關(guān)鍵基礎(chǔ)設(shè)施。

21世紀(jì)經(jīng)濟(jì)報(bào)道記者連日走訪了解到，工業(yè)控制系統(tǒng)面臨國產(chǎn)比例低、安全防護(hù)措施少、企業(yè)主意識淡薄等威脅。這些都是中國制造業(yè)走向“工業(yè)4.0”必須補(bǔ)上的一課。

事實(shí)上，國家已經(jīng)注意到工業(yè)控制系統(tǒng)的重要性。2016年5月，公安部首次將工控系統(tǒng)納入國家安全執(zhí)法工作。

關(guān)鍵制造業(yè)易受攻擊

老趙在東莞有一家做注塑機(jī)械手的工廠。9月22日，21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪他的時候，他表示最近剛到廣州找做工業(yè)控制系統(tǒng)的合作伙伴，這樣就能用“互聯(lián)網(wǎng)+”的方式讓他的機(jī)械手“跑”起來。

不過，老趙只管問工業(yè)互聯(lián)網(wǎng)這輛“汽車”能不能跑起來，卻沒有理會“汽車”的安全氣囊。工業(yè)控制系統(tǒng)也需要網(wǎng)絡(luò)防火墻嗎？打算做“智慧工廠”的老趙沒有想過。

但是，這是一個已經(jīng)不能不考慮的問題。

據(jù)21世紀(jì)經(jīng)濟(jì)報(bào)道記者了解，在廣州現(xiàn)場的網(wǎng)絡(luò)安全周上，已有幾家做工業(yè)控制系統(tǒng)安全防護(hù)國產(chǎn)廠家出現(xiàn)。比如北京匡恩網(wǎng)絡(luò)科技有限公司，這是主做網(wǎng)絡(luò)安全系統(tǒng)的企業(yè)，而另一家參展的廣東嘉騰自動化有限公司，則是從自動化機(jī)器人擴(kuò)展至安全軟件領(lǐng)域。

而據(jù)匡恩網(wǎng)絡(luò)早前援引美國機(jī)構(gòu)ICS-CERT發(fā)布的報(bào)告分析，全球工控安全事件由2012年197個上市到2015年的295個，機(jī)會翻了1.5倍。

“國內(nèi)正在智能化改造的工廠，尤其是中小企業(yè)的工廠，不少處于‘裸奔’狀態(tài)。這些工廠的工業(yè)控制缺乏必要的網(wǎng)絡(luò)安全防護(hù)?！?月下旬，賴文杰告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者。他是匡恩網(wǎng)絡(luò)的高級安全顧問，從事工業(yè)控制網(wǎng)絡(luò)安全的研究。

工業(yè)控制系統(tǒng)以往是相對封閉的，但現(xiàn)在已經(jīng)逐漸開放。經(jīng)過“工業(yè)化和信息化融合”、“智能制造”等浪潮后，不少工廠和企業(yè)甚至有許多數(shù)據(jù)存放在云端，以更好實(shí)現(xiàn)“工業(yè)4.0”的柔性化制造。

開放，同時意味著網(wǎng)絡(luò)病毒的入侵有了更多渠道。賴文杰介紹，一旦網(wǎng)絡(luò)病毒入侵，工業(yè)控制系統(tǒng)攔截?zé)o效，小則出現(xiàn)工廠某些生產(chǎn)環(huán)節(jié)停產(chǎn)、失靈，重則整個工廠癱瘓。如果遭受攻擊的是電力、石化、軌道交通等關(guān)鍵行業(yè)，將有可能影響到國計(jì)民生。

這不是危言聳聽。ICS-CERT發(fā)布的報(bào)告表明，遭受工控安全事件，關(guān)鍵制造業(yè)所占比重最高，達(dá)33%；緊隨其后的是能源行業(yè)，占比為8%。

中小企業(yè)面臨兩難

而中小企業(yè)的情況更加不妙。馮子榮是廣東網(wǎng)堤信息安全技術(shù)有限公司的銷售經(jīng)理。在9月23日，他告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者，一些中小企業(yè)并沒有網(wǎng)絡(luò)安全防護(hù)的意識，而另一些企業(yè)則覺得做工業(yè)控制的防火墻是“花冤枉錢”。

“很多人的心態(tài)是，我的企業(yè)這么小，不會有人注意到我的，也不會閑著沒事做攻擊我這家小企業(yè)的系統(tǒng)?！瘪T子榮接著說，“但企業(yè)遭受攻擊的原因極其復(fù)雜，有的是商業(yè)對手的不正當(dāng)競爭手段，有的是為了竊取信息做非法用途，甚至有的就是黑客為了炫耀技術(shù)?！?/p>

如果要構(gòu)建安全系統(tǒng)，企業(yè)到底要花多少錢？多家信息安全企業(yè)表示，不同行業(yè)、不同安全標(biāo)準(zhǔn)，其花費(fèi)的規(guī)模不盡相同。綜合來看，一套工業(yè)控制系統(tǒng)較高的比重能占去企業(yè)一年經(jīng)營成本的10%~20%，低的能控制在10%以下，一般能管三到五年，平攤到每年為3%左右。

但對中小企業(yè)來說，一下子拿出10%的成本并不容易。專門針對信息安全的啟明星辰客戶經(jīng)理佘瑯在9月下旬對記者表示，從未來趨勢看，很可能是電力、石化等關(guān)鍵制造業(yè)和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的企業(yè)率先興起安全意識，布局工業(yè)控制系統(tǒng)的安全防護(hù)體系。

而對老趙這樣的中小企業(yè)主來說，要構(gòu)建全套“智慧工廠”的軟硬件，沒有上百萬搞不定。促使他們接受工業(yè)控制安全理念，其關(guān)鍵是需要有“物美價廉”的安全防護(hù)產(chǎn)品。在國內(nèi)工業(yè)控制系統(tǒng)尚處起步的背景下，國產(chǎn)廠商要提供這樣的產(chǎn)品并不容易。

不過，國內(nèi)已經(jīng)有廠家嘗試改變，試圖通過壓縮使用成本讓中小型工廠用上安全的工業(yè)控制系統(tǒng)。據(jù)21世紀(jì)經(jīng)濟(jì)報(bào)道記者了解，廣東嘉騰自動化有限公司本是一家國內(nèi)自動牽引機(jī)器人（AGV）的明星企業(yè)，近日開始發(fā)布面向中小企業(yè)的工業(yè)控制系統(tǒng)“嘉騰大腦”，其技術(shù)來源于多年AGV控制的經(jīng)驗(yàn)。像智能手機(jī)一樣，“嘉騰大腦”分高中低配置，低配版本低至5萬元，其商業(yè)模式是通過開放共享的互聯(lián)網(wǎng)操作方式，而不是僅僅靠賣產(chǎn)品賺錢。

該公司副總裁陳洪波在9月下旬表示，他們的工程師試圖將工業(yè)控制涉及的各類信息系統(tǒng)放在一起，不僅是該公司的AGV產(chǎn)品可以接入，其他廠家的工業(yè)機(jī)器人也可以接入，其后臺使用類似智能手機(jī)一樣便捷。工程師多年研發(fā)成功攻關(guān)的是，如何讓“嘉騰大腦”這一系統(tǒng)兼容不同廠家機(jī)器人產(chǎn)品的驅(qū)動系統(tǒng)，并保障讓使用者的操作足夠便捷。

國產(chǎn)安全系統(tǒng)尚待發(fā)力

多種嘗試是必須的。從發(fā)展來說，目前中國的工業(yè)控制系統(tǒng)“安全鎖”還處在初級階段。

在9月舉行的廣東網(wǎng)絡(luò)安全宣傳周的高峰論壇上，匡恩網(wǎng)絡(luò)首席安全顧問肖存峰就專門論及了關(guān)鍵基礎(chǔ)設(shè)施信息安全的前沿問題。這一問題是工業(yè)控制系統(tǒng)的難題。在肖存峰的分析中，除了安全意識“軟環(huán)境”之外，還有一系列硬性的難題需要攻關(guān)。這些難題主要包括，工業(yè)設(shè)備的高危漏洞和后門、運(yùn)營維護(hù)的安全風(fēng)險(xiǎn)、工業(yè)網(wǎng)絡(luò)病毒、無線技術(shù)（Wi-Fi）應(yīng)用的風(fēng)險(xiǎn)以及高級持續(xù)性威脅。高級持續(xù)性威脅（AdvancedPersistentThreat）是一種以商業(yè)和政治為目的的網(wǎng)絡(luò)犯罪類別，其特點(diǎn)是經(jīng)過長期經(jīng)營與策劃，并具備高度的隱蔽性，而其攻擊往往更難防備。

例如，肖存峰就在調(diào)研中發(fā)現(xiàn)，某電力企業(yè)外資的集散控制系統(tǒng)（DCS）的通訊協(xié)議存在設(shè)計(jì)缺陷，而生產(chǎn)控制大區(qū)與管理信息大區(qū)之前的網(wǎng)閘，只能觀察到告警燈，卻無法查詢告警信息及溯源。這也就是說，這個系統(tǒng)只能告知有危險(xiǎn)，卻不告知危險(xiǎn)是什么，也就很難解決危險(xiǎn)問題。

肖存峰擔(dān)憂的問題是，目前國內(nèi)工業(yè)控制系統(tǒng)以國外品牌為主導(dǎo)，對國外依賴將加劇。如果不能掌握自主可控的技術(shù)，國內(nèi)的工業(yè)控制系統(tǒng)將要承擔(dān)信息泄露的風(fēng)險(xiǎn)。在廣東網(wǎng)絡(luò)安全宣傳周的高峰論壇上，不少學(xué)界和業(yè)界的發(fā)言者也認(rèn)為“自主可控”應(yīng)當(dāng)是方向。

但國產(chǎn)自主的安全裝置目前并不好。從信息的傳輸次序看，“智慧工廠”一般需要經(jīng)歷四個層級：一是信息層，也就是企業(yè)和工廠的辦公網(wǎng)絡(luò)，發(fā)出生產(chǎn)指令，由于與公共網(wǎng)絡(luò)連接，最容易受到攻擊；二是監(jiān)測層，也就是工廠監(jiān)測各種機(jī)械手、傳送帶等設(shè)備工作情況的系統(tǒng)；三是控制層，將傳輸而來的生產(chǎn)信息轉(zhuǎn)化為工業(yè)設(shè)備工作的參數(shù)；最后是設(shè)備層，也就是機(jī)械手、傳送帶等裝備。賴文杰表示，而目前國內(nèi)大部分企業(yè)能做的是，只會在信息層加上一道網(wǎng)閘，而這樣網(wǎng)閘很容易失效。

匡恩網(wǎng)絡(luò)想要做的改進(jìn)是，在監(jiān)測層的設(shè)備中植入威脅態(tài)勢感知平臺和漏洞挖掘云服務(wù)平臺，將一道“安全鎖”變成三道。兩個平臺通過危險(xiǎn)侵入和漏洞兩個方面的實(shí)時監(jiān)測，一旦發(fā)現(xiàn)有安全隱患即可補(bǔ)救。另一家企業(yè)的啟明星辰的思路也大同小異，強(qiáng)調(diào)在線、實(shí)時的監(jiān)測掃描。而這兩家企業(yè)也代表了國產(chǎn)工控安全系統(tǒng)的崛起方向。