從卡巴斯基實驗室最近針對21個國家的企業(yè)或組織機構(gòu)進行了359次訪談?wù){(diào)查顯示，全球工業(yè)控制系統(tǒng)（ICS）正面臨著特殊的網(wǎng)絡(luò)安全挑戰(zhàn)，對于大多數(shù)工業(yè)控制網(wǎng)絡(luò)來說，包括傳統(tǒng)惡意軟件在內(nèi)的安全事故，將有可能導致產(chǎn)品和服務(wù)質(zhì)量受到影響、專利或機密信息丟失，產(chǎn)量減少或損失等負面結(jié)果。為此，最近互聯(lián)網(wǎng)、工信部、公安部和監(jiān)督管理委員會聯(lián)合發(fā)布《網(wǎng)絡(luò)關(guān)鍵和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》強制認證要求，工控領(lǐng)域的PLC榜上有名。對于工業(yè)聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全問題，越來越引起行業(yè)人士的重視。本期，我們整理了360沈陽研發(fā)中心總經(jīng)理陶耀東、深圳市顧美科技有限公司總經(jīng)理曾小虎關(guān)于工業(yè)互聯(lián)網(wǎng)安全問題的發(fā)言，希望能夠拋磚引玉，為工業(yè)互聯(lián)網(wǎng)建設(shè)思路提供有益的參考。

數(shù)據(jù)驅(qū)動的工業(yè)互聯(lián)網(wǎng)安全防護

當前，工業(yè)互聯(lián)網(wǎng)企業(yè)主要面臨的三大安全困境包括：一是檢測能力的困境，像360這樣的專業(yè)機構(gòu)現(xiàn)在有的病毒樣本庫來說已經(jīng)有一百億了，但普通企業(yè)或者通用的殺毒軟件要發(fā)現(xiàn)這么多的病毒樣本庫是非常困難的事。其次，在響應(yīng)方面，由于邊界擴大，所面臨的問題層次也特別多，企業(yè)內(nèi)部一個安全團隊如何能夠有足夠的安全能力來響應(yīng)不同的問題，這是一個困難點。第三是應(yīng)用安全，對于一個企業(yè)來說，安全漏洞就像是一個篩子，但是對于攻擊者來說，只要從一個洞里進來，那么企業(yè)的網(wǎng)絡(luò)安全可能就會被攻破，這是攻防不稱的問題。

360沈陽研發(fā)中心總經(jīng)理  陶耀東

如何來應(yīng)對這些問題，我們從目前國際技術(shù)發(fā)展中整理出一個技術(shù)趨勢圖：2015年叫“變革”，是面對失敗的防御，主題是基于數(shù)據(jù)與情報來加強檢測能力。2016年變成“連接”，要基于協(xié)同，加強檢測和響應(yīng)能力。到2017年是“機會的力量”，基于聯(lián)合與分享安全共同體，大家一起來協(xié)同防御。

進一步聚焦到工業(yè)互聯(lián)網(wǎng)的安全趨勢來說，人們可能面對的是一個未知的拼圖，工業(yè)互聯(lián)網(wǎng)的安全防御應(yīng)該怎么做無從得知，但首先，應(yīng)該假設(shè)這個“網(wǎng)”是有可能被攻破的，所以，要從應(yīng)急響應(yīng)變成持續(xù)的監(jiān)測響應(yīng)。第二，是要數(shù)據(jù)驅(qū)動，在態(tài)勢感知的基礎(chǔ)上，要有威脅報警，要能夠了解現(xiàn)在都在發(fā)生什么樣的安全事件，如最近這個行業(yè)的勒索軟件爆發(fā)等等。第三是威脅追蹤溯源，一般對企業(yè)的攻擊是不達目標不甘休的，所以要找到源頭，知道對手為什么要做這個事。第四是建立企業(yè)安全運維中心，收集企業(yè)各方面的數(shù)據(jù)，包括安全數(shù)據(jù)和生產(chǎn)數(shù)據(jù)，用工業(yè)大數(shù)據(jù)來發(fā)現(xiàn)異常情況，然后要對里面的用戶和實體進行建模，形成UEBA的安全極限。最后則是安全協(xié)同，要有供應(yīng)鏈協(xié)同、云-地協(xié)同、數(shù)據(jù)協(xié)同和安全即服務(wù)等，這些供應(yīng)商本身應(yīng)該有自己的安全的保障，大家走在一起蓋成這個“大廈”，才能有安全的保障。

綜上所述，數(shù)據(jù)驅(qū)動的工業(yè)互聯(lián)網(wǎng)的安全防護，需要建立起一個多級響應(yīng)體系，同一個區(qū)域可能會有很多工業(yè)互聯(lián)網(wǎng)的企業(yè)，或者是一個產(chǎn)業(yè)或者一個行業(yè)要有自己的安全體系的建設(shè)，其中具備安全模板、服務(wù)和安全培訓、云服務(wù)、本地數(shù)據(jù)服務(wù)，以及本地監(jiān)測等內(nèi)容；再建立區(qū)域或行業(yè)中心，以便接受來自其他體系更全面的威脅情報和數(shù)據(jù)支持，這樣就會形成一個工業(yè)互聯(lián)網(wǎng)企業(yè)良性的網(wǎng)絡(luò)安全監(jiān)測響應(yīng)生態(tài)圈。

強制安全認證，筑起工業(yè)網(wǎng)絡(luò)的第一道屏障

近期，互聯(lián)網(wǎng)、工信部、公安部和監(jiān)督管理委員會聯(lián)合發(fā)布《網(wǎng)絡(luò)關(guān)鍵和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》強制認證要求，工控領(lǐng)域的PLC榜上有名。

根據(jù)調(diào)查，工業(yè)計算機受攻擊的比例從去年7月的17%上升到12月份的24%，黑客可以利用網(wǎng)絡(luò)和軟件的漏洞工攻擊工業(yè)網(wǎng)絡(luò)，竊取生產(chǎn)流程信息，甚至降低生產(chǎn)效率。有相關(guān)專家組還發(fā)現(xiàn)，2016年下半年，惡意軟件下載和訪問釣魚網(wǎng)頁產(chǎn)生堵塞的工業(yè)計算機超過22%。這意味著，有五分之一的工業(yè)計算機面臨著一次感染風險，而且網(wǎng)絡(luò)罪犯可以從工業(yè)控制系統(tǒng)提供的多個入口發(fā)動攻擊。由此可見，工業(yè)網(wǎng)絡(luò)的安全性對于整個工業(yè)生產(chǎn)是極其重要。

深圳市顧美科技有限公司總經(jīng)理  曾小虎

在工控領(lǐng)域，PLC不僅是數(shù)控機床的控制核心，也是工控行業(yè)控制系統(tǒng)的“CPU”。當下，在PLC產(chǎn)業(yè)發(fā)展迅速的同時，PLC面對的安全隱患也不容忽視。例如，目前市場上有的PLC幾乎沒有采取任何安全措施就直接接入互聯(lián)網(wǎng)，存在很大的安全隱患。從2010年的Stuxnet（震網(wǎng)）、2011年的duqu木馬、2013年的EnergeticBear、2014年的Havex，再到2016年的高仿版震網(wǎng)病毒——IRONGATE，病毒一個比一個“牛”，防不勝防。如果對PLC系統(tǒng)的安全性不加以控制，PLC系統(tǒng)很有可能遭遇病毒入侵。安全性的缺失除了會給PLC本身帶來重大隱患，還極有可能發(fā)展成威脅公司的生產(chǎn)網(wǎng)絡(luò)的“后門”。因此，PLC的安全性對于整個工業(yè)網(wǎng)絡(luò)來說是第一道防火墻。在顧美目前開發(fā)的技術(shù)中，顧美PLC和PLC一體機都設(shè)置了加密技術(shù)，一旦設(shè)置了密碼，任何程序都不能被破解，這樣可以有效防止病毒入侵。

另一方面，此次PLC被國家規(guī)定為網(wǎng)絡(luò)安全專用產(chǎn)品進入強制認證名錄（控制器指令執(zhí)行時間≤0.08微秒），將有助于提高國內(nèi)PLC技術(shù)和應(yīng)用水平。為此，有部分人士認為：“此舉將觸發(fā)新一輪的PLC市場格局的洗牌”，也有利于國內(nèi)的PLC行業(yè)的快速成長，對國內(nèi)的PLC市場有一定的促進作用。

因此，新目錄的出臺，最終目的是逐步將市場上銷售的所有高性能網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品都納入到目錄中，實現(xiàn)對目錄中所列產(chǎn)品安全檢測或安全認證結(jié)果跨部委的互認。新目錄的出臺也將會提高PLC的質(zhì)量和技術(shù)水平，從而加固PLC的安全性。與此同時，用戶在挑選工業(yè)控制產(chǎn)品及系統(tǒng)時，應(yīng)選用經(jīng)國家相關(guān)管理部門檢測認定并經(jīng)國家認證的PLC或設(shè)備，工業(yè)控制產(chǎn)品經(jīng)有資質(zhì)的機構(gòu)檢測認定不存在網(wǎng)絡(luò)安全方面的問題。