李春水

隨著智慧製造與工業4.0戰略的提出，工業生產的數位化成為一種不可阻擋的未來趨勢，高度融合IT技術的工業自動化將會得到迅速而廣泛的應用，對於工業控制系統的資訊安全的關注將達到前所未有的高度和廣度。

威脅資訊安全的主要包括駭客攻擊、病毒、資料操縱、蠕蟲和特洛伊木馬等技術。資料顯示，駭客的攻擊目標已經從原來的商業互聯網路逐步擴展到工業控制系統，主要目標集中在能源、水利、化工、政府機構以及核設施等領域。資訊安全事件呈逐年上升的趨勢，其背後不乏犯罪、商業間諜、恐怖主義、甚至某些國家贊助的間諜活動。

工業控制系統是工業自動化生產線的控制軟體，負責「告訴」工業設備「硬體」何時動、怎麼動。也就是說，工業控制系統相當於「智慧工廠」的大腦，一旦像個人電腦一樣感染網路病毒，「智慧工廠」很可能就會失去控制。

儘管「網路安全」意識已滲入中國人的日常生活，但工業控制系統卻還處在「裸奔」的時代。業界人士呼籲，要強化對工業控制系統的安全防護，尤其要「守衛」好電力、石化、軌道交通等關鍵基礎設施。

事實上，國家已經注意到工業控制系統的重要性。2016年5月，大陸公安部首次將工控系統納入國家安全執法工作。

安全隱患日趨明顯

不少中小企業主一心想利用「互聯網+」將自己的工廠機械手智慧化起來，急於尋求工業控制系統合作夥伴，卻沒有考慮過工業控制系統是否需要網路防火牆。

但是，這是一個已經不能不考慮的問題。

據了解，在廣州的網路安全週現場，已有幾家做工業控制系統安全防護國產廠家出現了。比如北京匡恩網路科技有限公司，這是主做網路安全系統的企業，而另一家參展的廣東嘉騰自動化有限公司，則是從自動化機器人擴展至安全軟體領域。

據匡恩網路早前援引美國機構CS-CERT發佈的報告分析，全球工控安全事件2015年比2012年翻了1.5倍。

「國內正在智慧化改造的工廠，尤其是中小企業的工廠，不少處於『裸奔』狀態。這些工廠的工業控制缺乏必要的網路安全防護。」9月下旬，賴文傑說。他是匡恩網路的高級安全顧問，從事工業控制網路安全的研究。

工業控制系統以往是相對封閉的，但現在已經逐漸開放。經過「工業化和資訊化融合」、「智慧製造」等浪潮後，不少工廠和企業甚至有許多資料存放在雲端，以更好實現「工業4.0」的柔性化製造。

開放，同時意味著網路病毒的入侵有了更多管道。賴文傑介紹，一旦網路病毒入侵，工業控制系統攔截無效，小則出現工廠某些生產環節停產、失靈，重則整個工廠癱瘓。如果遭受攻擊的是電力、石化、軌道交通等關鍵行業，將有可能影響到國計民生。

ICS-CERT發佈的報告顯示，遭受工控安全事件各行業中關鍵製造業所占比重最高，其次是能源行業。

處境尷尬的中小企業

而「裸奔」中的中小企業在網路安全防護的意識方面相對薄弱，做工業控制的防火牆對不少企業主來說是在花「冤枉錢」。

「很多人的心態是，我的企業這麼小，不會有人注意到我的，也不會閑著沒事做攻擊我這家小企業的系統。」 廣東網堤信息安全技術有限公司的銷售經理馮子榮說。

如果要構建安全系統，企業到底要花多少錢？多家資訊安全企業表示，不同行業、不同安全標準，其花費的規模不盡相同。綜合來看，一套工業控制系統較高的比重能占去企業一年經營成本的10%～20%，低的能控制在10%以下，一般能管三到五年，平攤到每年為3%左右。

但對中小企業來說，一下子拿出10%的成本並不容易。專門針對資訊安全的啟明星辰客戶經理佘瑯在9月下旬表示，從未來趨勢看，很可能是電力、石化等關鍵製造業和關鍵基礎設施領域的企業率先興起安全意識，佈局工業控制系統的安全防護體系。

促使中小企業主接受工業控制安全理念，其關鍵是需要有「物美價廉」的安全防護產品。在大陸工業控制系統尚處起步的背景下，國產廠商要提供這樣的產品並不容易。

不過，大陸已經有廠家嘗試改變，試圖通過壓縮使用成本讓中小型工廠用上安全的工業控制系統。據了解，廣東嘉騰自動化有限公司本是一家自動牽引機器人（AGV）的明星企業，近日開始發佈面向中小企業的工業控制系統「嘉騰大腦」，其技術來源於多年AGV控制的經驗。像智慧手機一樣，「嘉騰大腦」分高中低配置，低配版本低至5萬元，其商業模式是通過開放共用的互聯網操作方式，而不是僅僅靠賣產品賺錢。

該公司副總裁陳洪波在9月下旬表示，他們的工程師試圖將工業控制涉及的各類資訊系統放在一起，不僅是該公司的AGV產品可以接入，其他廠家的工業機器人也可以接入，其後台使用類似智慧手機一樣便捷。工程師多年研發成功攻關的是，如何讓「嘉騰大腦」這一系統相容不同廠家機器人產品的驅動系統，並保障讓使用者的操作足夠便捷。

國產安全系統尚待發力

多種嘗試是必須的。從發展來說，目前中國的工業控制系統「安全鎖」還處在初級階段。

在9月舉行的廣東網路安全宣傳週的高峰論壇上，匡恩網路首席安全顧問肖存峰就專門論及了關鍵基礎設施資訊安全的前沿問題。這一問題是工業控制系統的難題。在肖存峰的分析中，除了安全意識「軟環境」之外，還有一系列硬性的難題需要攻關。這些難題主要包括，工業設備的高危漏洞和後門、運營維護的安全風險、工業網路病毒、無線技術（Wi-Fi）應用的風險以及高級持續性威脅。高級持續性威脅（Advanced Persistent Threat）是一種以商業和政治為目的的網路犯罪類別，其特點是經過長期經營與策劃，並具備高度的隱蔽性，而其攻擊往往更難防備。

他舉例，某電力企業外資的集散控制系統（DCS）的通訊協定存在設計缺陷，而生產控制大區與管理資訊大區之前的網閘，只能觀察到告警燈，卻無法查詢告警資訊及溯源。這也就是說，這個系統只能告知有危險，卻不告知危險是什麼，也就很難解決危險問題。

肖存峰擔憂的問題是，目前大陸工業控制系統以國外品牌為主導，對國外依賴將加劇。如果不能掌握自主可控的技術，國內的工業控制系統將要承擔資訊洩露的風險。在廣東網路安全宣傳週的高峰論壇上，不少學界和業界的發言者也認為「自主可控」應當是方向。

但國產自主的安全裝置目前並不好。從資訊的傳輸次序看，「智慧工廠」一般需要經歷四個層級：一是資訊層，也就是企業和工廠的辦公網路，發出生產指令，由於與公共網路連接，最容易受到攻擊；二是監測層，也就是工廠監測各種機械手、傳送帶等設備工作情況的系統；三是控制層，將傳輸而來的生產資訊轉化為工業設備工作的參數；最後是設備層，也就是機械手、傳送帶等裝備。賴文傑表示，而目前大陸大部分企業能做的是，只會在資訊層加上一道網閘，而這樣網閘很容易失效。

匡恩網路想要做的改進是，在監測層的設備中植入威脅態勢感知平台和漏洞挖掘雲服務平台，將一道「安全鎖」變成三道。兩個平台通過危險侵入和漏洞兩個方面的即時監測，一旦發現有安全隱患即可補救。另一家企業的啟明星辰的思路也大同小異，強調線上、即時的監測掃描。而這兩家企業也代表了國產工控安全系統的崛起方向。