工業安全盲點日趨嚴重 未來工業控制風險有哪些？

去年圣誕節前，烏克蘭電網遭到黑客攻擊，造成了大規模停電，影響到140萬名居民。黑客利用欺騙手段讓電力公司員工下載了一款名為BlackEnergy的惡意軟件，攻擊了約60座變電站。

同樣的，2014年10月至2015年9月，美國發生了295起入侵關鍵基礎設施的黑客攻擊案件，如機場、隧道和煉油廠等。在世界各地，還有許多攻擊事件未被曝光。

對于傳統互聯網安全軟件而言，工業安全領域依舊是一個盲點。國內人口密集，電力、交通情況更為復雜，供電、供水這些基礎設施的核心控制器件是工控系統，如果遭遇黑客攻擊，會面臨更大面積的癱瘓。

而一些創業者正在圍繞“這一盲點”嘗試著創業。

“工業控制系統與傳統IT系統存在很大的差異，工控協議類型繁多、適用于不同的控制環境，我們在對這些協議進行深度解析之后，推出了工控檢測審計系統，這些軟件需要部署在客戶網絡的網關處，能記錄正在發生的網絡行為，并檢測到異常行為。”北京匡恩網絡科技高級副總裁李江力告訴鈦媒體。

匡恩網絡在工業控制系統網絡安全領域探索多年，今年完成B輪融資，曾牽頭制定“工控網絡監測”、“工控漏洞挖掘”、“智慧城市安全”、“數控安全”等多項國家和行業標準。最近，該公司發布了面向工業控制系統和物聯網安全的威脅態勢感知平臺和漏洞挖掘云服務平臺，試圖解決工業控制系統網絡安全和物聯網安全的問題。

智能制造時代的創業機遇

中國過去以工業制造為核心的產業結構正在改變，早已經不再是“世界工廠”，國家開始把“智能制造”作為國家產業轉型升級的一個必然的方向。

國內一些企業已經加入智能制造的浪潮，海爾這兩年先后建造了7家智能工廠，這對于匡恩網絡這樣的創業公司，是一個機遇。

在國家發改委提出的《智能制造2025白皮書》中，從價值鏈、生命周期和系統架構三個緯度定義智能制造。李江力告訴鈦媒體：其中，系統架構產業鏈包括設備層、控制層、管理層、企業層、網絡層，在設備層和控制層，尤其需要植入工業控制網絡安全基因。

在傳統工業控制網絡中，底層是設備層，包括儀表、電動機、機床等等，上一層是PLC、DCS，統控制機器運行；再往上是操作層，比如工作站、服務器等；然后是企業管理、企業數據；最頂端是企業層，比如企業OA、企業郵。

前三層和傳統IT相關，四、五層是工業控制領域一個被忽視的地方。李江力說：

“智能制造時代，底層的智能設備，實際上是控制層和設備層的一個智能化融合，很多控制器件和我們的設備融為一體了，比如機器人。”

機器人本身是自帶智能控制的，同時它又是一個執行終端，而智能儀表，智能電機等還具有感知功能，把數據往上傳，部分代替工業物聯網的感知層。從感知層到管理層、企業層、云端，都需要工業控制系統的安全保護。

所有底層設備，要實現自動化與智能化，必須依靠工業控制系統，工控系統一旦遭遇黑客攻擊，像烏克蘭的電力系統一樣崩潰，網絡戰爭的爆發會變得非常容易。

解決這些問題，是創業公司的機遇。

未來的工業控制風險有哪些？

美國工業互聯網應急響應中心統計全球工控安全事件，基本上呈逐年遞增態勢，2015年是295件，2014年是245起。

再來看來自工信部互聯網響應中心的數據：國內的漏洞，大概有65%以上是屬于中高危的，有33%是屬于高危的，漏洞的性質大部分還是一些信息泄露、跨站攻擊、安全繞過。

李江力對鈦媒體表示，他們向有關部門提出兩個問題，一是工控設備的國產化率需要增加，第二個進口設備的安全檢測需要有手段，發現漏洞他們需要解決辦法。工控環境的風險，在現場控制層、監控層、生產層、運營層都存在。

比如，各網段之間可能缺乏有效的隔離，一些主機設備可能是一些弱口令，還有一些服務沒有口令就可以登陸。一些OPC服務器配置錯誤造成數據被越權讀取，很多設備的日志安全問題沒有解決等等。

一個工業控制安全距離的案例是：Havex病毒是針對OPC的漏洞的，Havex病毒首先干擾目標機，然后非法獲取OPC的一些數據，黑客拿到數據之后會上傳到數據端，進行非法操作。

李江力為工業控制系統的安全問題做了歸納：

首先是工控設備漏洞，其次是外國設備存在后門，比如說遠程維護功能，一旦遠程維護功能被人惡意利用，可能就是一個安全風險；以及針對工控環境的APT攻擊，比如烏克蘭電力事件，是典型的APT攻擊事件。

其他還有無線技術的應用，比如說3G、4G、Wi-Fi，在方便現場使用的同時，也會帶來安全的風險和數據丟失。

一個完整的安全網絡體系是什么樣？

匡恩網絡試圖搭建一個安全網絡體系。工業網絡安全保障體系需要考慮結構安全、本體安全、行為安全、基因安全和時間持續性保護。李江力說，匡恩網絡的安全設計包括這幾塊：

首先是本體安全是指設備本身的安全性能，保證漏洞不出問題，有一個方法是原廠商直接打補丁，其次是給它額外加修補措施。

在結構安全方面，通過合理的區域劃分，保障每個區域的安全。而烏克蘭電力事件是黑客不斷掃描嘗試，最后達成攻擊，這是很多行為的組合，需要安全保障系統對這些行為進行綜合分析和統計。

基因安全是設備本身的安全屬性，也被稱為自主可控的安全性。這需要有國產的CPU、國產的操作系統、國產的芯片，還要加上輔助器件。此外還需要持續的安全管理和安全運營。

談到時間持續性保護，就是建立長效的安全防護機制，在持續對抗中保障工業控制系統安全。從技術、設備、人員、管理等多個維度，實現綜合安全服務能力，保障工業控制系統及關鍵基礎設施全生命周期的安全性。

據李江力介紹，在不同的場合、區域之間，需要加入工業防火墻或工業網閘進行網絡隔離，以及一些工業控制審計系統來審核網絡行為的風險，由此得出報告，告訴用戶什么地方出了問題、有異常流量需要怎么解決。

在底層，通過國產化CPU國產化器件、國產化的數據庫和可信計算技術保證系統自主安全可控。

“匡恩網絡解決方案這幾年在能源電力、機械制造、軌道交通、冶金、煙草等行業廣泛實施，隨著智能制造進程的加深，未來我們會進入更多領域。”他說。