工業(yè)控制系統(tǒng)面臨國產(chǎn)比例低、安全防護措施少、企業(yè)主意識淡薄等威脅。這些都是中國制造業(yè)走向“工業(yè)4.0”必須補上的一課。
隨著問題頻發(fā),工業(yè)控制系統(tǒng)安全不再是一個輕松的話題,而成為中國智能制造的“攔路虎”。
工業(yè)控制系統(tǒng)是工業(yè)自動化生產(chǎn)線的控制軟件,負(fù)責(zé)“告訴”工業(yè)設(shè)備“硬件”何時動、怎么動。也就是說,工業(yè)控制系統(tǒng)相當(dāng)于“智慧工廠”的大腦,一旦像個人電腦一樣感染網(wǎng)絡(luò)病毒,“智慧工廠”很可能就會失去控制。
目前,盡管“網(wǎng)絡(luò)安全”意識已滲入中國人的日常生活,但工業(yè)控制系統(tǒng)卻還處在“裸奔”的時代。而在近日多地召開的國家網(wǎng)絡(luò)安全宣傳周上,工業(yè)控制系統(tǒng)的安全問題漸成前沿話題。業(yè)界人士呼吁,要強化對工業(yè)控制系統(tǒng)的安全防護,尤其要“守衛(wèi)”好電力、石化、軌道交通等關(guān)鍵基礎(chǔ)設(shè)施。
21世紀(jì)經(jīng)濟報道記者連日走訪了解到,工業(yè)控制系統(tǒng)面臨國產(chǎn)比例低、安全防護措施少、企業(yè)主意識淡薄等威脅。這些都是中國制造業(yè)走向“工業(yè)4.0”必須補上的一課。
事實上,國家已經(jīng)注意到工業(yè)控制系統(tǒng)的重要性。2016年5月,公安部首次將工控系統(tǒng)納入國家安全執(zhí)法工作。
關(guān)鍵制造業(yè)易受攻擊
老趙在東莞有一家做注塑機械手的工廠。9月22日,21世紀(jì)經(jīng)濟報道記者采訪他的時候,他表示最近剛到廣州找做工業(yè)控制系統(tǒng)的合作伙伴,這樣就能用“互聯(lián)網(wǎng)+”的方式讓他的機械手“跑”起來。
不過,老趙只管問工業(yè)互聯(lián)網(wǎng)這輛“汽車”能不能跑起來,卻沒有理會“汽車”的安全氣囊。工業(yè)控制系統(tǒng)也需要網(wǎng)絡(luò)防火墻嗎?打算做“智慧工廠”的老趙沒有想過。
但是,這是一個已經(jīng)不能不考慮的問題。
據(jù)21世紀(jì)經(jīng)濟報道記者了解,在廣州現(xiàn)場的網(wǎng)絡(luò)安全周上,已有幾家做工業(yè)控制系統(tǒng)安全防護國產(chǎn)廠家出現(xiàn)。比如北京匡恩網(wǎng)絡(luò)科技有限公司,這是主做網(wǎng)絡(luò)安全系統(tǒng)的企業(yè),而另一家參展的廣東嘉騰自動化有限公司,則是從自動化機器人擴展至安全軟件領(lǐng)域。
而據(jù)匡恩網(wǎng)絡(luò)早前援引美國機構(gòu)ICS-CERT發(fā)布的報告分析,全球工控安全事件由2012年197個上市到2015年的295個,機會翻了1.5倍。
“國內(nèi)正在智能化改造的工廠,尤其是中小企業(yè)的工廠,不少處于‘裸奔’狀態(tài)。這些工廠的工業(yè)控制缺乏必要的網(wǎng)絡(luò)安全防護?!?月下旬,賴文杰告訴21世紀(jì)經(jīng)濟報道記者。他是匡恩網(wǎng)絡(luò)的高級安全顧問,從事工業(yè)控制網(wǎng)絡(luò)安全的研究。
工業(yè)控制系統(tǒng)以往是相對封閉的,但現(xiàn)在已經(jīng)逐漸開放。經(jīng)過“工業(yè)化和信息化融合”、“智能制造”等浪潮后,不少工廠和企業(yè)甚至有許多數(shù)據(jù)存放在云端,以更好實現(xiàn)“工業(yè)4.0”的柔性化制造。
開放,同時意味著網(wǎng)絡(luò)病毒的入侵有了更多渠道。賴文杰介紹,一旦網(wǎng)絡(luò)病毒入侵,工業(yè)控制系統(tǒng)攔截?zé)o效,小則出現(xiàn)工廠某些生產(chǎn)環(huán)節(jié)停產(chǎn)、失靈,重則整個工廠癱瘓。如果遭受攻擊的是電力、石化、軌道交通等關(guān)鍵行業(yè),將有可能影響到國計民生。
這不是危言聳聽。ICS-CERT發(fā)布的報告表明,遭受工控安全事件,關(guān)鍵制造業(yè)所占比重最高,達33%;緊隨其后的是能源行業(yè),占比為8%。
中小企業(yè)面臨兩難
而中小企業(yè)的情況更加不妙。馮子榮是廣東網(wǎng)堤信息安全技術(shù)有限公司的銷售經(jīng)理。在9月23日,他告訴21世紀(jì)經(jīng)濟報道記者,一些中小企業(yè)并沒有網(wǎng)絡(luò)安全防護的意識,而另一些企業(yè)則覺得做工業(yè)控制的防火墻是“花冤枉錢”。
“很多人的心態(tài)是,我的企業(yè)這么小,不會有人注意到我的,也不會閑著沒事做攻擊我這家小企業(yè)的系統(tǒng)?!瘪T子榮接著說,“但企業(yè)遭受攻擊的原因極其復(fù)雜,有的是商業(yè)對手的不正當(dāng)競爭手段,有的是為了竊取信息做非法用途,甚至有的就是黑客為了炫耀技術(shù)?!?/p>
如果要構(gòu)建安全系統(tǒng),企業(yè)到底要花多少錢?多家信息安全企業(yè)表示,不同行業(yè)、不同安全標(biāo)準(zhǔn),其花費的規(guī)模不盡相同。綜合來看,一套工業(yè)控制系統(tǒng)較高的比重能占去企業(yè)一年經(jīng)營成本的10%~20%,低的能控制在10%以下,一般能管三到五年,平攤到每年為3%左右。
但對中小企業(yè)來說,一下子拿出10%的成本并不容易。專門針對信息安全的啟明星辰客戶經(jīng)理佘瑯在9月下旬對記者表示,從未來趨勢看,很可能是電力、石化等關(guān)鍵制造業(yè)和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的企業(yè)率先興起安全意識,布局工業(yè)控制系統(tǒng)的安全防護體系。
而對老趙這樣的中小企業(yè)主來說,要構(gòu)建全套“智慧工廠”的軟硬件,沒有上百萬搞不定。促使他們接受工業(yè)控制安全理念,其關(guān)鍵是需要有“物美價廉”的安全防護產(chǎn)品。在國內(nèi)工業(yè)控制系統(tǒng)尚處起步的背景下,國產(chǎn)廠商要提供這樣的產(chǎn)品并不容易。
不過,國內(nèi)已經(jīng)有廠家嘗試改變,試圖通過壓縮使用成本讓中小型工廠用上安全的工業(yè)控制系統(tǒng)。據(jù)21世紀(jì)經(jīng)濟報道記者了解,廣東嘉騰自動化有限公司本是一家國內(nèi)自動牽引機器人(AGV)的明星企業(yè),近日開始發(fā)布面向中小企業(yè)的工業(yè)控制系統(tǒng)“嘉騰大腦”,其技術(shù)來源于多年AGV控制的經(jīng)驗。像智能手機一樣,“嘉騰大腦”分高中低配置,低配版本低至5萬元,其商業(yè)模式是通過開放共享的互聯(lián)網(wǎng)操作方式,而不是僅僅靠賣產(chǎn)品賺錢。
該公司副總裁陳洪波在9月下旬表示,他們的工程師試圖將工業(yè)控制涉及的各類信息系統(tǒng)放在一起,不僅是該公司的AGV產(chǎn)品可以接入,其他廠家的工業(yè)機器人也可以接入,其后臺使用類似智能手機一樣便捷。工程師多年研發(fā)成功攻關(guān)的是,如何讓“嘉騰大腦”這一系統(tǒng)兼容不同廠家機器人產(chǎn)品的驅(qū)動系統(tǒng),并保障讓使用者的操作足夠便捷。
國產(chǎn)安全系統(tǒng)尚待發(fā)力
多種嘗試是必須的。從發(fā)展來說,目前中國的工業(yè)控制系統(tǒng)“安全鎖”還處在初級階段。
在9月舉行的廣東網(wǎng)絡(luò)安全宣傳周的高峰論壇上,匡恩網(wǎng)絡(luò)首席安全顧問肖存峰就專門論及了關(guān)鍵基礎(chǔ)設(shè)施信息安全的前沿問題。這一問題是工業(yè)控制系統(tǒng)的難題。在肖存峰的分析中,除了安全意識“軟環(huán)境”之外,還有一系列硬性的難題需要攻關(guān)。這些難題主要包括,工業(yè)設(shè)備的高危漏洞和后門、運營維護的安全風(fēng)險、工業(yè)網(wǎng)絡(luò)病毒、無線技術(shù)(Wi-Fi)應(yīng)用的風(fēng)險以及高級持續(xù)性威脅。高級持續(xù)性威脅(AdvancedPersistentThreat)是一種以商業(yè)和政治為目的的網(wǎng)絡(luò)犯罪類別,其特點是經(jīng)過長期經(jīng)營與策劃,并具備高度的隱蔽性,而其攻擊往往更難防備。
例如,肖存峰就在調(diào)研中發(fā)現(xiàn),某電力企業(yè)外資的集散控制系統(tǒng)(DCS)的通訊協(xié)議存在設(shè)計缺陷,而生產(chǎn)控制大區(qū)與管理信息大區(qū)之前的網(wǎng)閘,只能觀察到告警燈,卻無法查詢告警信息及溯源。這也就是說,這個系統(tǒng)只能告知有危險,卻不告知危險是什么,也就很難解決危險問題。
肖存峰擔(dān)憂的問題是,目前國內(nèi)工業(yè)控制系統(tǒng)以國外品牌為主導(dǎo),對國外依賴將加劇。如果不能掌握自主可控的技術(shù),國內(nèi)的工業(yè)控制系統(tǒng)將要承擔(dān)信息泄露的風(fēng)險。在廣東網(wǎng)絡(luò)安全宣傳周的高峰論壇上,不少學(xué)界和業(yè)界的發(fā)言者也認(rèn)為“自主可控”應(yīng)當(dāng)是方向。
但國產(chǎn)自主的安全裝置目前并不好。從信息的傳輸次序看,“智慧工廠”一般需要經(jīng)歷四個層級:一是信息層,也就是企業(yè)和工廠的辦公網(wǎng)絡(luò),發(fā)出生產(chǎn)指令,由于與公共網(wǎng)絡(luò)連接,最容易受到攻擊;二是監(jiān)測層,也就是工廠監(jiān)測各種機械手、傳送帶等設(shè)備工作情況的系統(tǒng);三是控制層,將傳輸而來的生產(chǎn)信息轉(zhuǎn)化為工業(yè)設(shè)備工作的參數(shù);最后是設(shè)備層,也就是機械手、傳送帶等裝備。賴文杰表示,而目前國內(nèi)大部分企業(yè)能做的是,只會在信息層加上一道網(wǎng)閘,而這樣網(wǎng)閘很容易失效。
匡恩網(wǎng)絡(luò)想要做的改進是,在監(jiān)測層的設(shè)備中植入威脅態(tài)勢感知平臺和漏洞挖掘云服務(wù)平臺,將一道“安全鎖”變成三道。兩個平臺通過危險侵入和漏洞兩個方面的實時監(jiān)測,一旦發(fā)現(xiàn)有安全隱患即可補救。另一家企業(yè)的啟明星辰的思路也大同小異,強調(diào)在線、實時的監(jiān)測掃描。而這兩家企業(yè)也代表了國產(chǎn)工控安全系統(tǒng)的崛起方向。