網(wǎng)絡(luò)威脅無(wú)處不在 工業(yè)控制系統(tǒng)安全要加強(qiáng)

? 當(dāng)你拿出手機(jī)，安裝一個(gè)輸入法，也許，你就打開(kāi)了一道“惡魔之門”。網(wǎng)絡(luò)威脅沿著你的手機(jī)，潛入到企業(yè)的工控網(wǎng)絡(luò)，斷電、DOWN機(jī)、泄密、停產(chǎn)，紛紛隨之而來(lái)。這不是危言聳聽(tīng)，也不是科幻故事，智能制造時(shí)代，這樣的案例隨時(shí)可能發(fā)生。隨著信息技術(shù)與工業(yè)控制系統(tǒng)深度融合，工控系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題也變得日益嚴(yán)峻。當(dāng)原本孤立、封閉的工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)聯(lián)通后，漏洞、病毒、APT（高級(jí)持續(xù)性威脅）等網(wǎng)絡(luò)威脅也如影隨形而至。
　　

　　記者上周采訪了解到，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全威脅和隱患早已潛伏在我們身邊，但在石化行業(yè)中真正對(duì)這一問(wèn)題有清醒認(rèn)識(shí)和高度重視的企業(yè)并不多，已經(jīng)采取有效防御措施的更是寥寥無(wú)幾。
　　
　　什么讓我們感到不安
　　
　　隨著兩化融合的深入，一些石化企業(yè)實(shí)現(xiàn)了管控一體化，提升了企業(yè)的運(yùn)營(yíng)效率，降低了生產(chǎn)成本，增強(qiáng)了市場(chǎng)競(jìng)爭(zhēng)力。信息化帶來(lái)的技術(shù)進(jìn)步顯而易見(jiàn)。與此同時(shí)，石化企業(yè)生產(chǎn)網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的邊界越來(lái)越模糊，生產(chǎn)自動(dòng)化控制系統(tǒng)正在從孤立的、封閉的空間走向一個(gè)更加開(kāi)放的互聯(lián)網(wǎng)的新天地，企業(yè)生產(chǎn)中的工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越多，呈現(xiàn)出爆發(fā)式的增長(zhǎng)。
　　
　　在5月24～25日舉辦的2016中國(guó)石油石化企業(yè)信息技術(shù)交流大會(huì)上，北京神州綠盟信息安全科技股份有限公司副總裁李晨告訴中國(guó)化工報(bào)記者，在網(wǎng)絡(luò)互聯(lián)的大背景下，工業(yè)控制系統(tǒng)的互聯(lián)是大勢(shì)所趨，通過(guò)網(wǎng)絡(luò)互聯(lián)一方面可以提高生產(chǎn)力和創(chuàng)新能力，減少工業(yè)能源及資源消耗，助力產(chǎn)業(yè)模式轉(zhuǎn)型升級(jí)；另一方面也會(huì)因?yàn)榫W(wǎng)絡(luò)互聯(lián)而誘發(fā)一系列網(wǎng)絡(luò)安全問(wèn)題。工業(yè)控制系統(tǒng)設(shè)計(jì)之初是為了完成各種實(shí)時(shí)控制功能，并沒(méi)有考慮到安全防護(hù)的問(wèn)題，通過(guò)網(wǎng)絡(luò)互聯(lián)將他們暴露在互聯(lián)網(wǎng)上，無(wú)疑將給他們所控制的關(guān)鍵基礎(chǔ)設(shè)施、重要系統(tǒng)等帶來(lái)巨大的安全風(fēng)險(xiǎn)和隱患。
　　
　　“近年來(lái)，在伊朗核電站、烏克蘭電網(wǎng)、德國(guó)鋼廠等獨(dú)立IT系統(tǒng)頻繁遭遇外界入侵攻擊惡意事件的背后，是網(wǎng)絡(luò)信息安全問(wèn)題變得異常嚴(yán)峻的事實(shí)，而由于自身開(kāi)放性大等原因，移動(dòng)端已成為攻防雙方爭(zhēng)奪的新焦點(diǎn)。工業(yè)控制平臺(tái)和控制手段都開(kāi)始向移動(dòng)設(shè)備、無(wú)線網(wǎng)絡(luò)等方向發(fā)展。工業(yè)設(shè)備和個(gè)人通訊設(shè)備應(yīng)用融合，讓安全邊界更加模糊，石化行業(yè)特別需要注重移動(dòng)工控安全?！卑鸢鸢踩呒?jí)副總裁席曼麗說(shuō)。
　　
　　“事實(shí)上，我國(guó)的工控網(wǎng)絡(luò)安全形勢(shì)已經(jīng)十分嚴(yán)峻，存在大量嚴(yán)重、緊迫、高風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全問(wèn)題，特別是涉及能源和?；返氖袠I(yè)更是需要重點(diǎn)防控的領(lǐng)域。但目前，石化行業(yè)工控系統(tǒng)網(wǎng)絡(luò)信息安全問(wèn)題并未得到充分認(rèn)識(shí)和重視，工藝設(shè)計(jì)人員和控制系統(tǒng)設(shè)計(jì)人員幾乎沒(méi)有任何網(wǎng)絡(luò)安全意識(shí)。而與工控網(wǎng)絡(luò)安全技術(shù)手段缺乏、水平不高相比，感知能力缺失、防范意識(shí)不足更加令人擔(dān)憂?！北本┛锒骶W(wǎng)絡(luò)科技有限責(zé)任公司總裁孫一桉向記者強(qiáng)調(diào)。
　　
　　北京威努特技術(shù)有限公司總經(jīng)理龍國(guó)東也表示，當(dāng)前，數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、過(guò)程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)自動(dòng)化控制系統(tǒng)普遍應(yīng)用于工業(yè)領(lǐng)域以及相關(guān)行業(yè)，這些系統(tǒng)在有效提升生產(chǎn)運(yùn)營(yíng)效率的同時(shí)，也面臨著眾多工業(yè)信息安全威脅。隨著工業(yè)4.0以及兩化融合日漸加快，工控系統(tǒng)和網(wǎng)絡(luò)將更加開(kāi)放，必將帶來(lái)更為嚴(yán)峻的工控安全威脅及挑戰(zhàn)。
　　
　　威脅無(wú)時(shí)無(wú)處不在
　　
　　談到工控系統(tǒng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的危害性，匡恩網(wǎng)絡(luò)總裁孫一桉對(duì)記者表示，其危害性絕不僅僅是對(duì)一個(gè)企業(yè)、一個(gè)行業(yè)的，工控網(wǎng)絡(luò)安全已經(jīng)成為各國(guó)政府所面臨的最嚴(yán)重的國(guó)家安全挑戰(zhàn)之一。工控網(wǎng)絡(luò)安全正在成為網(wǎng)絡(luò)空間對(duì)抗的主戰(zhàn)場(chǎng)和反恐的新戰(zhàn)場(chǎng)，恐怖主義的威脅已經(jīng)滲透到了工業(yè)控制系統(tǒng)，關(guān)鍵基礎(chǔ)設(shè)施成為主要的攻擊對(duì)象。
　　
　　近年來(lái)，走進(jìn)公眾視線的工業(yè)控制網(wǎng)絡(luò)安全問(wèn)題越來(lái)越多。美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT）發(fā)布的2014年關(guān)鍵基礎(chǔ)設(shè)施安全報(bào)告顯示，在2014年共收集167個(gè)工控漏洞報(bào)告，涉及的設(shè)備分布在能源、制造業(yè)等多個(gè)領(lǐng)域；2015年被ICS-CERT收錄的攻擊事件達(dá)到了295件，其中97個(gè)安全事件是關(guān)于關(guān)鍵制造業(yè)的，占到全部事件的33%，關(guān)鍵制造業(yè)成為本年度受攻擊最多的行業(yè)。
　　
　　孫一桉介紹，匡恩網(wǎng)絡(luò)在一份工控安全報(bào)告中總結(jié)了我國(guó)工控網(wǎng)絡(luò)安全行業(yè)當(dāng)前面臨著三大主要問(wèn)題。一是重要工業(yè)制造業(yè)領(lǐng)域大量使用國(guó)外工控設(shè)備，這些設(shè)備普遍存在未知的漏洞以及可能的后門，嚴(yán)重漏洞難以及時(shí)處理是我國(guó)國(guó)家安全的重大隱患。
　　
　　二是工業(yè)制造業(yè)企業(yè)對(duì)工控網(wǎng)絡(luò)威脅感知不足。在我國(guó)，對(duì)于工控網(wǎng)絡(luò)安全的認(rèn)識(shí)還處于初級(jí)階段，無(wú)論是政府層面還是企業(yè)層面，對(duì)潛在的工控網(wǎng)絡(luò)安全威脅認(rèn)識(shí)不到位，對(duì)國(guó)家關(guān)鍵工業(yè)生產(chǎn)安全重視不夠，由此造成了眾多工業(yè)生產(chǎn)系統(tǒng)沒(méi)有及時(shí)部署針對(duì)工控系統(tǒng)漏洞和網(wǎng)絡(luò)攻擊的有效防護(hù)系統(tǒng)，在網(wǎng)絡(luò)攻擊來(lái)臨時(shí)無(wú)法察覺(jué)，在遭受攻擊后無(wú)法追蹤。
　　
　　三是針對(duì)工控網(wǎng)絡(luò)威脅的持續(xù)防護(hù)能力缺失。工控網(wǎng)絡(luò)安全是一個(gè)全新的領(lǐng)域，它不是傳統(tǒng)信息安全行業(yè)的延伸，而是基于兩化融合框架下的跨界領(lǐng)域。針對(duì)工控網(wǎng)絡(luò)的高級(jí)持續(xù)威脅是一種嚴(yán)密的組織化行為，因此防護(hù)能力建設(shè)也必須大力投入、持續(xù)投入、深度開(kāi)發(fā)。目前我國(guó)工業(yè)和基礎(chǔ)設(shè)施智能化發(fā)展很快，針對(duì)工控網(wǎng)絡(luò)安全的防護(hù)能力建設(shè)嚴(yán)重滯后，不足以保障兩化融合戰(zhàn)略的穩(wěn)步推進(jìn)。
　　
　　面對(duì)如此嚴(yán)峻的挑戰(zhàn)，我們的應(yīng)對(duì)能力又是怎樣的呢？北京神舟綠盟信息安全科技股份有限公司首席技術(shù)官趙糧給出了一組時(shí)間數(shù)字：一次網(wǎng)絡(luò)攻擊大概幾分鐘就完成了，盜竊數(shù)據(jù)快的可以在幾小時(shí)內(nèi)完成，而系統(tǒng)的檢測(cè)時(shí)間卻要以周或月來(lái)計(jì)。攻防雙方的實(shí)力完全不在一個(gè)數(shù)量級(jí)上，工控網(wǎng)絡(luò)的脆弱性以及潛在風(fēng)險(xiǎn)由此可見(jiàn)一斑。
　　
　　保平安要走自己的路
　　
　　不同于普通的信息系統(tǒng)網(wǎng)絡(luò)安全，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全顯得更加復(fù)雜和困難。過(guò)去，石化行業(yè)的工業(yè)控制系統(tǒng)首先要保證系統(tǒng)的可用性，即生產(chǎn)設(shè)備可以正常運(yùn)轉(zhuǎn)；其次是可靠性，就是要長(zhǎng)周期穩(wěn)定運(yùn)行；最后才是安全性。但進(jìn)入互聯(lián)網(wǎng)時(shí)代，安全性卻被提到更高的層面。
　　
　　“在智能化不斷升級(jí)的大背景下，工業(yè)網(wǎng)絡(luò)安全是使制造業(yè)實(shí)現(xiàn)智能化的基本保障。萬(wàn)物互聯(lián)時(shí)代，一個(gè)企業(yè)如果缺乏了安全本能、安全意識(shí)以及安全保障能力，智能化也只能是空中樓閣?！睂O一桉對(duì)記者表示。
　　
　　多位業(yè)內(nèi)專家認(rèn)為，互聯(lián)網(wǎng)和工控網(wǎng)兩者之間存在著巨大的差別，石化行業(yè)要做好工控安全工作還要探索一條適合行業(yè)特點(diǎn)的道路。
　　
　　首先是要依靠我國(guó)自主開(kāi)發(fā)的設(shè)備與技術(shù)。目前國(guó)內(nèi)石化企業(yè)在工業(yè)控制領(lǐng)域大量使用國(guó)外設(shè)備，存在大量的漏洞和后門，形成了嚴(yán)重的安全隱患?！斑@就像是自家的房門鑰匙拿在別人的手里一樣。”中國(guó)航天系統(tǒng)工程有限公司信息中心副主任曾偉兵這樣形容工控網(wǎng)絡(luò)安全領(lǐng)域的現(xiàn)狀。
　　
　　其次要大力開(kāi)發(fā)與石化行業(yè)高度匹配的專業(yè)性強(qiáng)的安全產(chǎn)品和技術(shù)。工業(yè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)、辦公網(wǎng)有很大的差異，除了網(wǎng)絡(luò)通訊協(xié)議不同、對(duì)系統(tǒng)穩(wěn)定性要求不同、系統(tǒng)運(yùn)行環(huán)境不同外，工業(yè)網(wǎng)絡(luò)的系統(tǒng)還具有更新代價(jià)高、網(wǎng)絡(luò)結(jié)構(gòu)和行為穩(wěn)定性高的特點(diǎn)。而石化行業(yè)又是典型的流程行業(yè)，“安穩(wěn)長(zhǎng)滿優(yōu)”是企業(yè)生產(chǎn)的基本保障，在工控安全產(chǎn)品的開(kāi)發(fā)上一定要充分考慮工控環(huán)境的特殊性，在實(shí)時(shí)性、故障響應(yīng)速度以及系統(tǒng)升級(jí)上都有較高的要求。北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司解決方案總監(jiān)井柯就提出：“從整個(gè)系統(tǒng)考慮工業(yè)控制系統(tǒng)安全的時(shí)候，找到幾個(gè)漏洞并不重要，而發(fā)現(xiàn)這些漏洞有沒(méi)有被利用的行為才是最重要的?！?br/>　　
　　采訪中記者了解到，近兩年來(lái)，國(guó)內(nèi)陸續(xù)出臺(tái)了有關(guān)工控系統(tǒng)網(wǎng)絡(luò)安全的政策和法規(guī)，引導(dǎo)和鼓勵(lì)行業(yè)重視工控網(wǎng)絡(luò)安全問(wèn)題。一批信息安全企業(yè)也將注意力更多地投向了工業(yè)控制領(lǐng)域，加大力度開(kāi)發(fā)針對(duì)石化、化工、能源等行業(yè)的定制化解決方案，以期為行業(yè)的智能化升級(jí)保駕護(hù)航。
　　
　　北京力控華康科技有限公司工程師王曉旭告訴記者，目前石化企業(yè)中主動(dòng)對(duì)工控系統(tǒng)采取安全防控措施的還不多，但隨著媒體宣傳力度加大以及國(guó)內(nèi)外一些典型工控安全事件的驅(qū)動(dòng)，越來(lái)越多的石化企業(yè)開(kāi)始重視這項(xiàng)工作，并從信息化項(xiàng)目設(shè)計(jì)之初就將工控安全一并考慮進(jìn)去。
　　
　　青島海天煒業(yè)過(guò)程控制技術(shù)股份有限公司營(yíng)銷中心總經(jīng)理辛太表示，針對(duì)石化行業(yè)網(wǎng)絡(luò)當(dāng)前的安全隱患，企業(yè)能提供網(wǎng)絡(luò)分區(qū)、通訊管控、集中管理、預(yù)警分析等解決方案，為石化企業(yè)確保工控安全提供支持。
　　
　　三大石油公司信息部門的負(fù)責(zé)人也紛紛表示，“十三五”期間，他們將重點(diǎn)加強(qiáng)工控系統(tǒng)網(wǎng)絡(luò)安全平臺(tái)建設(shè)，根據(jù)企業(yè)自身特點(diǎn)，在原有基礎(chǔ)上進(jìn)一步完善和提高工控系統(tǒng)安全水平，為企業(yè)智能化發(fā)展提供必要的安全屏障?！?/p>