撰文/趙龍

隨著工業(yè)化和信息化的深度融合，裝備和工廠實(shí)現(xiàn)互聯(lián)互通，工業(yè)控制系統(tǒng)越來越多地采用信息技術(shù)和通信網(wǎng)絡(luò)技術(shù)，逐漸成為工業(yè)互聯(lián)網(wǎng)的一部分。但是，隨著大量關(guān)鍵信息基礎(chǔ)設(shè)施接入互聯(lián)網(wǎng)，工業(yè)互聯(lián)網(wǎng)安全狀況正日益引起人們的擔(dān)憂。智能設(shè)備作為網(wǎng)絡(luò)的接入點(diǎn)，隨時(shí)暴露在網(wǎng)絡(luò)攻擊之下。全球工業(yè)互聯(lián)網(wǎng)的安全現(xiàn)狀并不樂觀，公開的工業(yè)控制系統(tǒng)漏洞數(shù)量逐年遞增。截止今年9月份，國家信息安全漏洞共享平臺(tái)（CNVD）收錄的工控漏洞數(shù)量已經(jīng)達(dá)到1264個(gè)，公開的安全事件數(shù)量多年來一直居高不下。

“工業(yè)互聯(lián)網(wǎng)雷達(dá)平臺(tái)”是為智能制造企業(yè)和政府監(jiān)管部門等單位提供工業(yè)互聯(lián)網(wǎng)資產(chǎn)探測(cè)、漏洞預(yù)警與宏觀安全態(tài)勢(shì)展現(xiàn)等服務(wù)的平臺(tái)化產(chǎn)品。該平臺(tái)支持Siemens S7、Modbus、IEC 60870-5-104以及DNP3等38種以上的工控協(xié)議指紋識(shí)別，支持工控設(shè)備無損漏洞探測(cè)，實(shí)現(xiàn)全球工控設(shè)備信息和漏洞信息的隱匿探測(cè)及全局采集，同時(shí)準(zhǔn)確定位工控設(shè)備。

“工控系統(tǒng)行業(yè)漏洞庫平臺(tái)”匯總CVE、NVD、CNVD和CNNVD等多個(gè)漏洞庫的數(shù)據(jù)，提供“漏洞檢索”、“漏洞統(tǒng)計(jì)”和“漏洞月報(bào)”等功能，收集工控漏洞解決方案和補(bǔ)丁信息，實(shí)現(xiàn)與監(jiān)管部門、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)間的網(wǎng)絡(luò)安全信息共享，幫助用戶自我發(fā)現(xiàn)并解決工控系統(tǒng)的安全風(fēng)險(xiǎn)。

2012年美國國土安全部通過Project Shine項(xiàng)目搜索暴露在互聯(lián)網(wǎng)上的關(guān)鍵信息基礎(chǔ)設(shè)施，收集了全球范圍內(nèi)超過220萬條數(shù)據(jù)，并確定其中7200個(gè)為美國關(guān)鍵信息基礎(chǔ)設(shè)施。今年10月，美國國土安全部與美國聯(lián)邦調(diào)查局(FBI)發(fā)出聯(lián)合聲明，證實(shí)制造商的工業(yè)控制系統(tǒng)遭受黑客攻擊的案例已經(jīng)擴(kuò)及能源、核能與供水等公用事業(yè)單位。

工業(yè)控制系統(tǒng)信息安全簡(jiǎn)稱工控安全，是對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施上信息安全和防護(hù)的響應(yīng)，屬于工業(yè)互聯(lián)網(wǎng)安全的一部分。對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行有效檢測(cè)評(píng)估、掌握全網(wǎng)信息安全態(tài)勢(shì)以及實(shí)現(xiàn)網(wǎng)絡(luò)安全信息共享，符合國家安全戰(zhàn)略，在《網(wǎng)絡(luò)安全法》中有明確要求。

威努特行業(yè)解決方案技術(shù)總監(jiān)姜立群表示，我國工控網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)問題長(zhǎng)期得不到解決。過去幾十年我國建設(shè)了大量關(guān)鍵基礎(chǔ)設(shè)施、重大工業(yè)控制系統(tǒng)，大部分是依靠國外廠商的設(shè)備和技術(shù)建立起來的?？刂圃O(shè)備普遍存在的已知漏洞、未知漏洞以及可能存在后門，成為阻礙我國制造業(yè)快速發(fā)展的絆腳石，也是國家安全的重大隱患。通過 “工業(yè)互聯(lián)網(wǎng)雷達(dá)平臺(tái)”和“工控系統(tǒng)行業(yè)漏洞庫平臺(tái)”，企業(yè)可以掌握自身工控資產(chǎn)網(wǎng)絡(luò)暴露情況，感知工控網(wǎng)絡(luò)威脅態(tài)勢(shì)；監(jiān)管機(jī)構(gòu)可以實(shí)時(shí)了解接入互聯(lián)網(wǎng)的工控設(shè)備數(shù)量及地理位置分布，掌握重要工控漏洞的影響態(tài)勢(shì)，進(jìn)行工控網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)。

發(fā)布會(huì)后，姜立群接受本刊采訪。

智能制造：一些企業(yè)的業(yè)務(wù)部門對(duì)工業(yè)網(wǎng)絡(luò)安全威脅缺乏充分認(rèn)識(shí)，您對(duì)企業(yè)工控安全建設(shè)有哪些建議？威努特能為企業(yè)提供怎樣的幫助？

姜立群：工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全由于是保障性的，并不像建設(shè)業(yè)務(wù)系統(tǒng)那樣立竿見影，因此沒有得到一些企業(yè)充分重視。像電力、石油石化、軌道交通和智能制造等很多行業(yè)的工業(yè)控制系統(tǒng)，都屬于國家關(guān)鍵信息基礎(chǔ)設(shè)施，2017年6月1日正式實(shí)行的國家《網(wǎng)絡(luò)安全法》，對(duì)其信息安全是有明確要求的；2017年7月1日起施行的工信部《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》，對(duì)工控系統(tǒng)安全監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)都有了詳細(xì)規(guī)定。落實(shí)法規(guī)政策，將是這些企業(yè)接下來的一項(xiàng)重要工作。

但是，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)也不可能一蹴而就，如果選擇的方案和產(chǎn)品與業(yè)務(wù)系統(tǒng)兼容性不夠，沒有經(jīng)過充分的驗(yàn)證性測(cè)試，將對(duì)業(yè)務(wù)系統(tǒng)的正常運(yùn)行產(chǎn)生不可控的后果。所以，我建議企業(yè)在考慮工控安全建設(shè)時(shí)，按如下步驟進(jìn)行。

先做安全自查，使用我們本次發(fā)布的兩款平臺(tái)產(chǎn)品，通過“工業(yè)互聯(lián)網(wǎng)雷達(dá)平臺(tái)”自我檢查企業(yè)工業(yè)控制系統(tǒng)有無暴露在互聯(lián)網(wǎng)上的設(shè)備，通過“工控系統(tǒng)行業(yè)漏洞庫平臺(tái)”查找使用的設(shè)備型號(hào)有無已知漏洞存在，來對(duì)企業(yè)自身安全狀況有個(gè)初步認(rèn)識(shí)。

再做安全服務(wù)，包括安全培訓(xùn)、現(xiàn)狀調(diào)研、風(fēng)險(xiǎn)評(píng)估以及安全測(cè)評(píng)等服務(wù)，增強(qiáng)人員的安全意識(shí)，了解國家政策法規(guī)對(duì)本行業(yè)工控安全的要求；摸清本企業(yè)工控系統(tǒng)的安全現(xiàn)狀，以及與政策法規(guī)要求的差距，為后續(xù)網(wǎng)絡(luò)安全建設(shè)提供現(xiàn)實(shí)依據(jù)。

最后做安全建設(shè)和實(shí)施，根據(jù)前期調(diào)研和評(píng)估的情況，選擇適用于本企業(yè)的網(wǎng)絡(luò)安全解決方案，選擇經(jīng)本企業(yè)工控系統(tǒng)或類似工控系統(tǒng)驗(yàn)證過的網(wǎng)絡(luò)安全產(chǎn)品，并選擇專業(yè)的實(shí)施團(tuán)隊(duì)進(jìn)行部署實(shí)施，以保障網(wǎng)絡(luò)安全建設(shè)在保護(hù)工控系統(tǒng)的同時(shí)，不會(huì)對(duì)業(yè)務(wù)系統(tǒng)產(chǎn)生影響。

我們威努特除了本次發(fā)布的兩款平臺(tái)可用于企業(yè)安全檢查外，還能夠提供專業(yè)的安全服務(wù)，包括安全培訓(xùn)、安全調(diào)查、風(fēng)險(xiǎn)評(píng)估、安全滲透、安全測(cè)評(píng)和安全體系規(guī)劃設(shè)計(jì)，協(xié)助企業(yè)遵守法律規(guī)定要求，做好網(wǎng)絡(luò)安全頂層規(guī)劃和設(shè)計(jì)，為后續(xù)技術(shù)改造提供理論基礎(chǔ)。

威努特還提供與業(yè)務(wù)系統(tǒng)深度融合的技術(shù)方案。我們對(duì)很多行業(yè)的業(yè)務(wù)流程和網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行深入研究，基于不同行業(yè)的業(yè)務(wù)模型設(shè)計(jì)網(wǎng)絡(luò)安全方案，并且已經(jīng)在很多行業(yè)部署實(shí)施，在全國有上百家案例，產(chǎn)品已經(jīng)在電力、石油、石化、燃?xì)庖约败壍澜煌ǖ榷鄠€(gè)行業(yè)廣泛應(yīng)用。

智能制造：目前工業(yè)網(wǎng)絡(luò)安全解決方案實(shí)施過程中主要存在哪些難點(diǎn)？

姜立群：談到工控網(wǎng)絡(luò)安全解決方案實(shí)施過程中的難點(diǎn)，首先我們要明白工業(yè)網(wǎng)絡(luò)的要求和辦公信息網(wǎng)絡(luò)的要求是不同的。

工業(yè)網(wǎng)絡(luò)對(duì)可用性要求高，傳統(tǒng)信息安全要實(shí)現(xiàn)三個(gè)目標(biāo)，即保密性、完整性和可用性，通常都將保密性放在首位考慮的，而工業(yè)網(wǎng)絡(luò)安全的目標(biāo)順序正好相反，工業(yè)網(wǎng)絡(luò)安全首要考慮的是所有系統(tǒng)部件的可用性，然后再考慮完整性和保密性。所以傳統(tǒng)信息安全的技術(shù)可借鑒，但不能直接使用。

工業(yè)網(wǎng)絡(luò)對(duì)實(shí)時(shí)性要求高，控制系統(tǒng)要求響應(yīng)時(shí)間大多在幾十毫秒以內(nèi)，而辦公信息系統(tǒng)的實(shí)時(shí)性可接受秒級(jí)的響應(yīng)。所以在選擇工業(yè)網(wǎng)絡(luò)安全方案和產(chǎn)品時(shí)，需要充分評(píng)估安全方案對(duì)業(yè)務(wù)實(shí)時(shí)性的影響，嚴(yán)格選擇實(shí)時(shí)性較好的安全產(chǎn)品，導(dǎo)致可選擇的方案和產(chǎn)品較少。

工業(yè)網(wǎng)絡(luò)的個(gè)性化定制多，工業(yè)控制系統(tǒng)有很多行業(yè)屬性，不同行業(yè)有不同行業(yè)的業(yè)務(wù)場(chǎng)景、應(yīng)用協(xié)議和軟硬件架構(gòu)。所以每個(gè)行業(yè)在網(wǎng)絡(luò)安全建設(shè)時(shí)，常常面臨著無產(chǎn)品可選，無方案可用的尷尬情況，需要與安全廠商深度合作開發(fā)才能找到真正適合自己業(yè)務(wù)場(chǎng)景的安全方案和產(chǎn)品。

工業(yè)互聯(lián)網(wǎng)建設(shè)最大的瓶頸就是安全問題，安全問題不解決，企業(yè)很難將工業(yè)網(wǎng)絡(luò)互聯(lián)互通，很難將生產(chǎn)數(shù)據(jù)共享匯集，很難將業(yè)務(wù)流程智能優(yōu)化。要建設(shè)工業(yè)互聯(lián)網(wǎng)，首先得打消業(yè)務(wù)部門對(duì)安全的顧慮，找出不影響業(yè)務(wù)的安全解決方案。另外，解決工業(yè)互聯(lián)網(wǎng)智能和安全的融合，也是企業(yè)深入實(shí)施的一個(gè)難點(diǎn)。企業(yè)的智能化和網(wǎng)絡(luò)安全系統(tǒng)往往是各自發(fā)展的兩條線，彼此之間沒有包容。比如智能機(jī)床，計(jì)算資源本來就緊張，如何在不影響性能的情況下解決安全問題？威努特在這方面已經(jīng)做出了巨大突破，和智能云科合作，面對(duì)極大的困難考驗(yàn)，成功把安全融入到智能機(jī)床設(shè)備，為行業(yè)做出了從0到1的示范。

智能制造：企業(yè)在籌劃工業(yè)網(wǎng)絡(luò)安全方案時(shí)，除了選擇常規(guī)的安全產(chǎn)品和技術(shù)，還有哪些更先進(jìn)的產(chǎn)品和技術(shù)可以考慮？

姜立群：目前很多企業(yè)做網(wǎng)絡(luò)安全方案時(shí)，考慮更多的是合規(guī)要求，選擇工業(yè)防火墻、監(jiān)測(cè)審計(jì)、主機(jī)防護(hù)等常規(guī)類安全產(chǎn)品進(jìn)行方案部署和實(shí)施，研究型和態(tài)勢(shì)感知類產(chǎn)品目前較少選擇。工業(yè)控制系統(tǒng)一般都屬于關(guān)鍵信息基礎(chǔ)設(shè)施范圍，網(wǎng)絡(luò)安全法對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施要求在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)，所以企業(yè)還應(yīng)該考慮如何實(shí)行重點(diǎn)保護(hù)。前面提到的《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》中，對(duì)工控安全應(yīng)急技術(shù)機(jī)構(gòu)有明確要求，負(fù)責(zé)工控安全風(fēng)險(xiǎn)監(jiān)測(cè)、態(tài)勢(shì)研判、威脅預(yù)警、事件處置等工作，這個(gè)要求對(duì)其他規(guī)模較大、技術(shù)實(shí)力較強(qiáng)的工業(yè)企業(yè)也有較強(qiáng)的借鑒意義。我的意見，企業(yè)在選擇常規(guī)安全產(chǎn)品和技術(shù)以外，應(yīng)該逐步選擇一些監(jiān)測(cè)預(yù)警、態(tài)勢(shì)研判類產(chǎn)品和技術(shù)，使自己逐步具備較強(qiáng)的安全事件應(yīng)急處理能力。

此次工博會(huì)威努特發(fā)布了兩款引領(lǐng)工控安全新方向的平臺(tái)類產(chǎn)品就是此種類型，一個(gè)是工業(yè)互聯(lián)網(wǎng)雷達(dá)平臺(tái)，另一個(gè)是工控系統(tǒng)行業(yè)漏洞庫平臺(tái)。工業(yè)互聯(lián)網(wǎng)雷達(dá)平臺(tái)主要用于探測(cè)暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備、工業(yè)系統(tǒng)的工作站和服務(wù)器、組建工業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備，并深入探測(cè)這些設(shè)備的漏洞情況，提供基于地理區(qū)域、工控設(shè)備類型、工控協(xié)議等多維度進(jìn)行態(tài)勢(shì)分析，提供企業(yè)版用于企業(yè)自身內(nèi)部部署。工控系統(tǒng)行業(yè)漏洞庫平臺(tái)用于收集、整理和分析工控系統(tǒng)的漏洞信息。目前該平臺(tái)是國內(nèi)工控漏洞最全面的平臺(tái)，為關(guān)注工控的用戶提供詳實(shí)的漏洞數(shù)據(jù)和分析數(shù)據(jù)。

智能制造：威努特工業(yè)網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)目前的市場(chǎng)情況如何？具有哪些優(yōu)勢(shì)？

姜立群：近年來威努特一直在工控安全領(lǐng)域深耕細(xì)作，獲得多個(gè)政府部門和眾多客戶的高度認(rèn)可。是國家工控安全實(shí)驗(yàn)室理事單位，工控安全相關(guān)國家標(biāo)準(zhǔn)制定的重要參與者和推動(dòng)者。被公安部授予工控安全技術(shù)支撐單位，參與了2016年全國網(wǎng)絡(luò)安全大檢查，受邀保障杭州“G20峰會(huì)”、“一帶一路”國際合作高峰論壇和十九大。威努特在國內(nèi)首家提出工業(yè)網(wǎng)絡(luò)安全“白環(huán)境”解決方案，迄今已有百余家成功案例，落地項(xiàng)目及市場(chǎng)占有率在國內(nèi)遙遙領(lǐng)先。

威努特的優(yōu)勢(shì)有以下幾點(diǎn)：一是解決方案覆蓋全，擁有電力、石油、石化、市政、煙草、化工、軍工、軌道交通等十幾個(gè)主流行業(yè)的定制化解決方案；二是團(tuán)隊(duì)技術(shù)實(shí)力強(qiáng)，擁有一支由資深安全專家、自動(dòng)化專家、高級(jí)產(chǎn)品研發(fā)工程師、優(yōu)秀企業(yè)管理人才組成的專業(yè)化團(tuán)隊(duì)；三是專注，自成立以來，一直堅(jiān)持在工控安全領(lǐng)域深耕細(xì)作，堅(jiān)持主航道不動(dòng)搖，有戰(zhàn)略定力，做到專注專業(yè)專心，也成功收獲了客戶的贊譽(yù)和認(rèn)可。

智能制造：您認(rèn)為工業(yè)網(wǎng)絡(luò)安全的發(fā)展態(tài)勢(shì)和未來技術(shù)趨勢(shì)是什么？

姜立群：工業(yè)網(wǎng)絡(luò)的發(fā)展，會(huì)逐漸打破傳統(tǒng)各個(gè)工業(yè)企業(yè)的信息孤島狀態(tài)，工業(yè)互聯(lián)網(wǎng)時(shí)代，會(huì)極大的縮短最終消費(fèi)者需求和產(chǎn)品開發(fā)間的距離。工業(yè)網(wǎng)絡(luò)安全的發(fā)展，從應(yīng)用場(chǎng)景角度分析，應(yīng)該是以控制系統(tǒng)的核心安全為基礎(chǔ)，向業(yè)務(wù)系統(tǒng)整體安全發(fā)展，再到整個(gè)工業(yè)互聯(lián)網(wǎng)安全的趨勢(shì)。目前做工業(yè)網(wǎng)絡(luò)安全大多數(shù)方案還局限于保護(hù)整個(gè)工業(yè)流程里面的一個(gè)環(huán)節(jié)、一個(gè)子系統(tǒng)的安全，對(duì)于不同業(yè)務(wù)系統(tǒng)對(duì)接考慮較少，對(duì)于互聯(lián)網(wǎng)接入環(huán)節(jié)考慮的更少；未來隨著工業(yè)互聯(lián)網(wǎng)技術(shù)發(fā)展，在保護(hù)基于底層關(guān)鍵控制系統(tǒng)基礎(chǔ)上，會(huì)結(jié)合業(yè)務(wù)全流程模型，構(gòu)建業(yè)務(wù)系統(tǒng)整體安全防護(hù)體系，即由工控網(wǎng)絡(luò)向工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)變。

未來的技術(shù)趨勢(shì)，應(yīng)該是在當(dāng)前常規(guī)安全防護(hù)產(chǎn)品和技術(shù)的基礎(chǔ)上，向工控威脅情報(bào)收集和態(tài)勢(shì)感知的方向發(fā)展。常規(guī)安全產(chǎn)品是軀干和四肢，是執(zhí)行單元；而威脅情報(bào)和態(tài)勢(shì)分析是神經(jīng)和大腦，是決策單元。威努特正在做這方面的技術(shù)研發(fā)，本次工博會(huì)發(fā)布的這兩個(gè)平臺(tái)產(chǎn)品就是在掃描互聯(lián)網(wǎng)上的安全態(tài)勢(shì)，為常規(guī)安全產(chǎn)品的策略部署提供決策依據(jù)。

后記：

安全是發(fā)展的前提和保障。安全的工業(yè)互聯(lián)網(wǎng)平臺(tái)對(duì)于促進(jìn)“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”的發(fā)展具有重要的作用。10月30日，國務(wù)院常務(wù)會(huì)審議通過《深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》。安全保障方面，重點(diǎn)加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全技術(shù)手段建設(shè)，形成國家、行業(yè)、企業(yè)協(xié)調(diào)聯(lián)動(dòng)的工業(yè)互聯(lián)網(wǎng)安全工作格局，建設(shè)覆蓋產(chǎn)業(yè)全生命周期的安全保障體系。