中國(guó)如何打造工控系統(tǒng)“護(hù)衛(wèi)艦”?
http://www.mozp.cn隨著問(wèn)題頻發(fā),工業(yè)控制系統(tǒng)安全不再是一個(gè)輕松的話題,而成為中國(guó)智能制造的“攔路虎”。
工業(yè)控制系統(tǒng)是工業(yè)自動(dòng)化生產(chǎn)線的控制軟件,負(fù)責(zé)“告訴”工業(yè)設(shè)備“硬件”何時(shí)動(dòng)、怎么動(dòng)。也就是說(shuō),工業(yè)控制系統(tǒng)相當(dāng)于“智慧工廠”的大腦工控系統(tǒng) 一旦像個(gè)人電腦一樣感染網(wǎng)絡(luò)病毒工控系統(tǒng) “智慧工廠”很可能就會(huì)失去控制。
目前,盡管“網(wǎng)絡(luò)安全”意識(shí)已滲入中國(guó)人的日常生活,但工業(yè)控制系統(tǒng)卻還處在“裸奔”的時(shí)代。而在近日多地召開(kāi)的國(guó)家網(wǎng)絡(luò)安全宣傳周上,工業(yè)控制系統(tǒng)的安全問(wèn)題漸成前沿話題。業(yè)界人士呼吁,要強(qiáng)化對(duì)工業(yè)控制系統(tǒng)的安全防護(hù),尤其要“守衛(wèi)”好電力、石化、軌道交通等關(guān)鍵基礎(chǔ)設(shè)施。
記者連日走訪了解到,工業(yè)控制系統(tǒng)面臨國(guó)產(chǎn)比例低、安全防護(hù)措施少、企業(yè)主意識(shí)淡薄等威脅。這些都是中國(guó)制造業(yè)走向“工業(yè)4.0”必須補(bǔ)上的一課。
事實(shí)上,國(guó)家已經(jīng)注意到工業(yè)控制系統(tǒng)的重要性。2016年5月,公安部首次將工控系統(tǒng)納入國(guó)家安全執(zhí)法工作。
關(guān)鍵制造業(yè)易受攻擊
老趙在東莞有一家做注塑機(jī)械手的工廠。9月22日,記者采訪他的時(shí)候,他表示最近剛到廣州找做工業(yè)控制系統(tǒng)的合作伙伴,這樣就能用“互聯(lián)網(wǎng)+”的方式讓他的機(jī)械手“跑”起來(lái)。
不過(guò),老趙只管問(wèn)工業(yè)互聯(lián)網(wǎng)這輛“汽車(chē)”能不能跑起來(lái),卻沒(méi)有理會(huì)“汽車(chē)”的安全氣囊。工業(yè)控制系統(tǒng)也需要網(wǎng)絡(luò)防火墻嗎?打算做“智慧工廠”的老趙沒(méi)有想過(guò)。
但是,這是一個(gè)已經(jīng)不能不考慮的問(wèn)題。
據(jù)記者了解,在廣州現(xiàn)場(chǎng)的網(wǎng)絡(luò)安全周上,已有幾家做工業(yè)控制系統(tǒng)安全防護(hù)國(guó)產(chǎn)廠家出現(xiàn)。比如北京匡恩網(wǎng)絡(luò)科技有限公司,這是主做網(wǎng)絡(luò)安全系統(tǒng)的企業(yè),而另一家參展的廣東嘉騰自動(dòng)化有限公司,則是從自動(dòng)化機(jī)器人擴(kuò)展至安全軟件領(lǐng)域。
而據(jù)匡恩網(wǎng)絡(luò)早前援引美國(guó)機(jī)構(gòu)ICS-CERT發(fā)布的報(bào)告分析,全球工控安全事件由2012年197個(gè)上市到2015年的295個(gè),機(jī)會(huì)翻了1.5倍。
“國(guó)內(nèi)正在智能化改造的工廠,尤其是中小企業(yè)的工廠,不少處于‘裸奔’狀態(tài)。這些工廠的工業(yè)控制缺乏必要的網(wǎng)絡(luò)安全防護(hù)。”9月下旬,賴(lài)文杰告訴記者。他是匡恩網(wǎng)絡(luò)的高級(jí)安全顧問(wèn),從事工業(yè)控制網(wǎng)絡(luò)安全的研究。
工業(yè)控制系統(tǒng)以往是相對(duì)封閉的,但現(xiàn)在已經(jīng)逐漸開(kāi)放。經(jīng)過(guò)“工業(yè)化和信息化融合”、“智能制造”等浪潮后,不少工廠和企業(yè)甚至有許多數(shù)據(jù)存放在云端,以更好實(shí)現(xiàn)“工業(yè)4.0”的柔性化制造。
開(kāi)放,同時(shí)意味著網(wǎng)絡(luò)病毒的入侵有了更多渠道。賴(lài)文杰介紹,一旦網(wǎng)絡(luò)病毒入侵,工業(yè)控制系統(tǒng)攔截?zé)o效,小則出現(xiàn)工廠某些生產(chǎn)環(huán)節(jié)停產(chǎn)、失靈,重則整個(gè)工廠癱瘓。如果遭受攻擊的是電力、石化、軌道交通等關(guān)鍵行業(yè),將有可能影響到國(guó)計(jì)民生。
這不是危言聳聽(tīng)。ICS-CERT發(fā)布的報(bào)告表明,遭受工控安全事件,關(guān)鍵制造業(yè)所占比重最高,達(dá)33%;緊隨其后的是能源行業(yè),占比為8%。
中小企業(yè)面臨兩難
而中小企業(yè)的情況更加不妙。馮子榮是廣東網(wǎng)堤信息安全技術(shù)有限公司的銷(xiāo)售經(jīng)理。在9月23日,他告訴記者,一些中小企業(yè)并沒(méi)有網(wǎng)絡(luò)安全防護(hù)的意識(shí),而另一些企業(yè)則覺(jué)得做工業(yè)控制的防火墻是“花冤枉錢(qián)”。
“很多人的心態(tài)是,我的企業(yè)這么小,不會(huì)有人注意到我的,也不會(huì)閑著沒(méi)事做攻擊我這家小企業(yè)的系統(tǒng)。”馮子榮接著說(shuō),“但企業(yè)遭受攻擊的原因極其復(fù)雜,有的是商業(yè)對(duì)手的不正當(dāng)競(jìng)爭(zhēng)手段,有的是為了竊取信息做非法用途,甚至有的就是黑客為了炫耀技術(shù)。”
如果要構(gòu)建安全系統(tǒng),企業(yè)到底要花多少錢(qián)?多家信息安全企業(yè)表示,不同行業(yè)、不同安全標(biāo)準(zhǔn),其花費(fèi)的規(guī)模不盡相同。綜合來(lái)看,一套工業(yè)控制系統(tǒng)較高的比重能占去企業(yè)一年經(jīng)營(yíng)成本的10%~20%,低的能控制在10%以下,一般能管三到五年,平攤到每年為3%左右。
但對(duì)中小企業(yè)來(lái)說(shuō),一下子拿出10%的成本并不容易。專(zhuān)門(mén)針對(duì)信息安全的啟明星辰客戶(hù)經(jīng)理佘瑯在9月下旬對(duì)記者表示,從未來(lái)趨勢(shì)看,很可能是電力、石化等關(guān)鍵制造業(yè)和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的企業(yè)率先興起安全意識(shí),布局工業(yè)控制系統(tǒng)的安全防護(hù)體系。
而對(duì)老趙這樣的中小企業(yè)主來(lái)說(shuō),要構(gòu)建全套“智慧工廠”的軟硬件,沒(méi)有上百萬(wàn)搞不定。促使他們接受工業(yè)控制安全理念,其關(guān)鍵是需要有“物美價(jià)廉”的安全防護(hù)產(chǎn)品。在國(guó)內(nèi)工業(yè)控制系統(tǒng)尚處起步的背景下,國(guó)產(chǎn)廠商要提供這樣的產(chǎn)品并不容易。
不過(guò),國(guó)內(nèi)已經(jīng)有廠家嘗試改變,試圖通過(guò)壓縮使用成本讓中小型工廠用上安全的工業(yè)控制系統(tǒng)。據(jù)記者了解,廣東嘉騰自動(dòng)化有限公司本是一家國(guó)內(nèi)自動(dòng)牽引機(jī)器人(AGV)的明星企業(yè),近日開(kāi)始發(fā)布面向中小企業(yè)的工業(yè)控制系統(tǒng)“嘉騰大腦”,其技術(shù)來(lái)源于多年AGV控制的經(jīng)驗(yàn)。像智能手機(jī)一樣,“嘉騰大腦”分高中低配置,低配版本低至5萬(wàn)元,其商業(yè)模式是通過(guò)開(kāi)放共享的互聯(lián)網(wǎng)操作方式,而不是僅僅靠賣(mài)產(chǎn)品賺錢(qián)。
該公司副總裁陳洪波在9月下旬表示,他們的工程師試圖將工業(yè)控制涉及的各類(lèi)信息系統(tǒng)放在一起,不僅是該公司的AGV產(chǎn)品可以接入,其他廠家的工業(yè)機(jī)器人也可以接入,其后臺(tái)使用類(lèi)似智能手機(jī)一樣便捷。工程師多年研發(fā)成功攻關(guān)的是,如何讓“嘉騰大腦”這一系統(tǒng)兼容不同廠家機(jī)器人產(chǎn)品的驅(qū)動(dòng)系統(tǒng),并保障讓使用者的操作足夠便捷。
國(guó)產(chǎn)安全系統(tǒng)尚待發(fā)力
多種嘗試是必須的。從發(fā)展來(lái)說(shuō),目前中國(guó)的工業(yè)控制系統(tǒng)“安全鎖”還處在初級(jí)階段。
在9月舉行的廣東網(wǎng)絡(luò)安全宣傳周的高峰論壇上,匡恩網(wǎng)絡(luò)首席安全顧問(wèn)肖存峰就專(zhuān)門(mén)論及了關(guān)鍵基礎(chǔ)設(shè)施信息安全的前沿問(wèn)題。這一問(wèn)題是工業(yè)控制系統(tǒng)的難題。在肖存峰的分析中,除了安全意識(shí)“軟環(huán)境”之外,還有一系列硬性的難題需要攻關(guān)。這些難題主要包括,工業(yè)設(shè)備的高危漏洞和后門(mén)、運(yùn)營(yíng)維護(hù)的安全風(fēng)險(xiǎn)、工業(yè)網(wǎng)絡(luò)病毒、無(wú)線技術(shù)(Wi-Fi)應(yīng)用的風(fēng)險(xiǎn)以及高級(jí)持續(xù)性威脅。高級(jí)持續(xù)性威脅(Advanced Persistent Threat)是一種以商業(yè)和政治為目的的網(wǎng)絡(luò)犯罪類(lèi)別,其特點(diǎn)是經(jīng)過(guò)長(zhǎng)期經(jīng)營(yíng)與策劃,并具備高度的隱蔽性,而其攻擊往往更難防備。
例如,肖存峰就在調(diào)研中發(fā)現(xiàn),某電力企業(yè)外資的集散控制系統(tǒng)(DCS)的通訊協(xié)議存在設(shè)計(jì)缺陷,而生產(chǎn)控制大區(qū)與管理信息大區(qū)之前的網(wǎng)閘,只能觀察到告警燈,卻無(wú)法查詢(xún)告警信息及溯源。這也就是說(shuō),這個(gè)系統(tǒng)只能告知有危險(xiǎn),卻不告知危險(xiǎn)是什么,也就很難解決危險(xiǎn)問(wèn)題。
肖存峰擔(dān)憂的問(wèn)題是,目前國(guó)內(nèi)工業(yè)控制系統(tǒng)以國(guó)外品牌為主導(dǎo),對(duì)國(guó)外依賴(lài)將加劇。如果不能掌握自主可控的技術(shù),國(guó)內(nèi)的工業(yè)控制系統(tǒng)將要承擔(dān)信息泄露的風(fēng)險(xiǎn)。在廣東網(wǎng)絡(luò)安全宣傳周的高峰論壇上,不少學(xué)界和業(yè)界的發(fā)言者也認(rèn)為“自主可控”應(yīng)當(dāng)是方向。
但國(guó)產(chǎn)自主的安全裝置目前并不好。從信息的傳輸次序看,“智慧工廠”一般需要經(jīng)歷四個(gè)層級(jí):一是信息層,也就是企業(yè)和工廠的辦公網(wǎng)絡(luò),發(fā)出生產(chǎn)指令,由于與公共網(wǎng)絡(luò)連接,最容易受到攻擊;二是監(jiān)測(cè)層,也就是工廠監(jiān)測(cè)各種機(jī)械手、傳送帶等設(shè)備工作情況的系統(tǒng);三是控制層,將傳輸而來(lái)的生產(chǎn)信息轉(zhuǎn)化為工業(yè)設(shè)備工作的參數(shù);最后是設(shè)備層,也就是機(jī)械手、傳送帶等裝備。賴(lài)文杰表示,而目前國(guó)內(nèi)大部分企業(yè)能做的是,只會(huì)在信息層加上一道網(wǎng)閘,而這樣網(wǎng)閘很容易失效。
匡恩網(wǎng)絡(luò)想要做的改進(jìn)是,在監(jiān)測(cè)層的設(shè)備中植入威脅態(tài)勢(shì)感知平臺(tái)和漏洞挖掘云服務(wù)平臺(tái),將一道“安全鎖”變成三道。兩個(gè)平臺(tái)通過(guò)危險(xiǎn)侵入和漏洞兩個(gè)方面的實(shí)時(shí)監(jiān)測(cè),一旦發(fā)現(xiàn)有安全隱患即可補(bǔ)救。另一家企業(yè)的啟明星辰的思路也大同小異,強(qiáng)調(diào)在線、實(shí)時(shí)的監(jiān)測(cè)掃描。而這兩家企業(yè)也代表了國(guó)產(chǎn)工控安全系統(tǒng)的崛起方向。