智能製造時代的安全隱患：中國如何打造工控系統「護衛艦」？

隨著問題頻發，工業控制系統安全不再是一個輕鬆的話題，而成為中國智能製造的「攔路虎」。

工業控制系統是工業自動化生產線的控制軟體，負責「告訴」工業設備「硬體」何時動、怎麼動。

也就是說，工業控制系統相當於「智慧工廠」的大腦，一旦像個人電腦一樣感染網絡病毒，「智慧工廠」很可能就會失去控制。

目前，儘管「網絡安全」意識已滲入中國人的日常生活，但工業控制系統卻還處在「裸奔」的時代。

而在近日多地召開的國家網絡安全宣傳周上，工業控制系統的安全問題漸成前沿話題。

業界人士呼籲，要強化對工業控制系統的安全防護，尤其要「守衛」好電力、石化、軌道交通等關鍵基礎設施。

21世紀經濟報導記者連日走訪了解到，工業控制系統面臨國產比例低、安全防護措施少、企業主意識淡薄等威脅。

這些都是中國製造業走向「工業4.0」必須補上的一課。

事實上，國家已經注意到工業控制系統的重要性。

2016年5月，公安部首次將工控系統納入國家安全執法工作。

關鍵製造業易受攻擊

老趙在東莞有一家做注塑機械手的工廠。

9月22日，21世紀經濟報導記者採訪他的時候，他表示最近剛到廣州找做工業控制系統的合作夥伴，這樣就能用「網際網路+」的方式讓他的機械手「跑」起來。

不過，老趙只管問工業網際網路這輛「汽車」能不能跑起來，卻沒有理會「汽車」的安全氣囊。

工業控制系統也需要網絡防火牆嗎？打算做「智慧工廠」的老趙沒有想過。

但是，這是一個已經不能不考慮的問題。

據21世紀經濟報導記者了解，在廣州現場的網絡安全周上，已有幾家做工業控制系統安全防護國產廠家出現。

比如北京匡恩網絡科技有限公司，這是主做網絡安全系統的企業，而另一家參展的廣東嘉騰自動化有限公司，則是從自動化機器人擴展至安全軟體領域。

而據匡恩網絡早前援引美國機構ICS-CERT發布的報告分析，全球工控安全事件由2012年197個上市到2015年的295個，機會翻了1.5倍。

「國內正在智能化改造的工廠，尤其是中小企業的工廠，不少處於『裸奔』狀態。

這些工廠的工業控制缺乏必要的網絡安全防護。

」9月下旬，賴文杰告訴21世紀經濟報導記者。

他是匡恩網絡的高級安全顧問，從事工業控制網絡安全的研究。

工業控制系統以往是相對封閉的，但現在已經逐漸開放。

經過「工業化和信息化融合」、「智能製造」等浪潮後，不少工廠和企業甚至有許多數據存放在雲端，以更好實現「工業4.0」的柔性化製造。

開放，同時意味著網絡病毒的入侵有了更多渠道。

賴文杰介紹，一旦網絡病毒入侵，工業控制系統攔截無效，小則出現工廠某些生產環節停產、失靈，重則整個工廠癱瘓。

如果遭受攻擊的是電力、石化、軌道交通等關鍵行業，將有可能影響到國計民生。

這不是危言聳聽。

ICS-CERT發布的報告表明，遭受工控安全事件，關鍵製造業所占比重最高，達33%；緊隨其後的是能源行業，占比為8%。

中小企業面臨兩難

而中小企業的情況更加不妙。

馮子榮是廣東網堤信息安全技術有限公司的銷售經理。

在9月23日，他告訴21世紀經濟報導記者，一些中小企業並沒有網絡安全防護的意識，而另一些企業則覺得做工業控制的防火牆是「花冤枉錢」。

「很多人的心態是，我的企業這麼小，不會有人注意到我的，也不會閒著沒事做攻擊我這家小企業的系統。

」馮子榮接著說，「但企業遭受攻擊的原因極其複雜，有的是商業對手的不正當競爭手段，有的是為了竊取信息做非法用途，甚至有的就是黑客為了炫耀技術。

」

如果要構建安全系統，企業到底要花多少錢？多家信息安全企業表示，不同行業、不同安全標準，其花費的規模不盡相同。

綜合來看，一套工業控制系統較高的比重能占去企業一年經營成本的10%~20%，低的能控制在10%以下，一般能管三到五年，平攤到每年為3%左右。

但對中小企業來說，一下子拿出10%的成本並不容易。

專門針對信息安全的啟明星辰客戶經理佘琅在9月下旬對記者表示，從未來趨勢看，很可能是電力、石化等關鍵製造業和關鍵基礎設施領域的企業率先興起安全意識，布局工業控制系統的安全防護體系。

而對老趙這樣的中小企業主來說，要構建全套「智慧工廠」的軟硬體，沒有上百萬搞不定。

促使他們接受工業控制安全理念，其關鍵是需要有「物美價廉」的安全防護產品。

在國內工業控制系統尚處起步的背景下，國產廠商要提供這樣的產品並不容易。

不過，國內已經有廠家嘗試改變，試圖通過壓縮使用成本讓中小型工廠用上安全的工業控制系統。

據21世紀經濟報導記者了解，廣東嘉騰自動化有限公司本是一家國內自動牽引機器人（AGV）的明星企業，近日開始發布面向中小企業的工業控制系統「嘉騰大腦」，其技術來源於多年AGV控制的經驗。

像智慧型手機一樣，「嘉騰大腦」分高中低配置，低配版本低至5萬元，其商業模式是通過開放共享的網際網路操作方式，而不是僅僅靠賣產品賺錢。

該公司副總裁陳洪波在9月下旬表示，他們的工程師試圖將工業控制涉及的各類信息系統放在一起，不僅是該公司的AGV產品可以接入，其他廠家的工業機器人也可以接入，其後台使用類似智慧型手機一樣便捷。

工程師多年研發成功攻關的是，如何讓「嘉騰大腦」這一系統兼容不同廠家機器人產品的驅動系統，並保障讓使用者的操作足夠便捷。

國產安全系統尚待發力

多種嘗試是必須的。

從發展來說，目前中國的工業控制系統「安全鎖」還處在初級階段。

在9月舉行的廣東網絡安全宣傳周的高峰論壇上，匡恩網絡首席安全顧問肖存峰就專門論及了關鍵基礎設施信息安全的前沿問題。

這一問題是工業控制系統的難題。

在肖存峰的分析中，除了安全意識「軟環境」之外，還有一系列硬性的難題需要攻關。

這些難題主要包括，工業設備的高危漏洞和後門、運營維護的安全風險、工業網絡病毒、無線技術（Wi-Fi）應用的風險以及高級持續性威脅。

高級持續性威脅（Advanced Persistent Threat）是一種以商業和政治為目的的網絡犯罪類別，其特點是經過長期經營與策劃，並具備高度的隱蔽性，而其攻擊往往更難防備。

例如，肖存峰就在調研中發現，某電力企業外資的集散控制系統（DCS）的通訊協議存在設計缺陷，而生產控制大區與管理信息大區之前的網閘，只能觀察到告警燈，卻無法查詢告警信息及溯源。

這也就是說，這個系統只能告知有危險，卻不告知危險是什麼，也就很難解決危險問題。

肖存峰擔憂的問題是，目前國內工業控制系統以國外品牌為主導，對國外依賴將加劇。

如果不能掌握自主可控的技術，國內的工業控制系統將要承擔信息泄露的風險。

在廣東網絡安全宣傳周的高峰論壇上，不少學界和業界的發言者也認為「自主可控」應當是方向。

但國產自主的安全裝置目前並不好。

從信息的傳輸次序看，「智慧工廠」一般需要經歷四個層級：一是信息層，也就是企業和工廠的辦公網絡，發出生產指令，由於與公共網絡連接，最容易受到攻擊；二是監測層，也就是工廠監測各種機械手、傳送帶等設備工作情況的系統；三是控制層，將傳輸而來的生產信息轉化為工業設備工作的參數；最後是設備層，也就是機械手、傳送帶等裝備。

賴文杰表示，而目前國內大部分企業能做的是，只會在信息層加上一道網閘，而這樣網閘很容易失效。

匡恩網絡想要做的改進是，在監測層的設備中植入威脅態勢感知平台和漏洞挖掘雲服務平台，將一道「安全鎖」變成三道。

兩個平台通過危險侵入和漏洞兩個方面的實時監測，一旦發現有安全隱患即可補救。

另一家企業的啟明星辰的思路也大同小異，強調在線、實時的監測掃描。

而這兩家企業也代表了國產工控安全系統的崛起方向。

（編輯：陳潔，如有建議意見請聯繫：[email protected]，[email protected]）