工业控制系统面临国产比例低、安全防护措施少、企业主意识淡薄等威胁。这些都是中国制造业走向“工业4.0”必须补上的一课。
随着问题频发,工业控制系统安全不再是一个轻松的话题,而成为中国智能制造的“拦路虎”。
工业控制系统是工业自动化生产线的控制软件,负责“告诉”工业设备“硬件”何时动、怎么动。也就是说,工业控制系统相当于“智慧工厂”的大脑,一旦像个人电脑一样感染网络病毒,“智慧工厂”很可能就会失去控制。
目前,尽管“网络安全”意识已渗入中国人的日常生活,但工业控制系统却还处在“裸奔”的时代。而在近日多地召开的国家网络安全宣传周上,工业控制系统的安全问题渐成前沿话题。业界人士呼吁,要强化对工业控制系统的安全防护,尤其要“守卫”好电力、石化、轨道交通等关键基础设施。
工业控制系统面临国产比例低、安全防护措施少、企业主意识淡薄等威胁。这些都是中国制造业走向“工业4.0”必须补上的一课。
事实上,国家已经注意到工业控制系统的重要性。2016年5月,公安部首次将工控系统纳入国家安全执法工作。
关键制造业易受攻击
老赵在东莞有一家做注塑机械手的工厂。9月22日,记者采访他的时候,他表示最近刚到广州找做工业控制系统的合作伙伴,这样就能用“互联网+”的方式让他的机械手“跑”起来。
不过,老赵只管问工业互联网这辆“汽车”能不能跑起来,却没有理会“汽车”的安全气囊。工业控制系统也需要网络防火墙吗?打算做“智慧工厂”的老赵没有想过。
但是,这是一个已经不能不考虑的问题。
在广州现场的网络安全周上,已有几家做工业控制系统安全防护国产厂家出现。比如北京匡恩网络科技有限公司,这是主做网络安全系统的企业,而另一家参展的广东嘉腾自动化有限公司,则是从自动化机器人扩展至安全软件领域。
而据匡恩网络早前援引美国机构ICS-CERT发布的报告分析,全球工控安全事件由2012年197个上市到2015年的295个,机会翻了1.5倍。
“国内正在智能化改造的工厂,尤其是中小企业的工厂,不少处于‘裸奔’状态。这些工厂的工业控制缺乏必要的网络安全防护。”9月下旬,赖文杰告诉21世纪经济报道记者。他是匡恩网络的高级安全顾问,从事工业控制网络安全的研究。
工业控制系统以往是相对封闭的,但现在已经逐渐开放。经过“工业化和信息化融合”、“智能制造”等浪潮后,不少工厂和企业甚至有许多数据存放在云端,以更好实现“工业4.0”的柔性化制造。
开放,同时意味着网络病毒的入侵有了更多渠道。赖文杰介绍,一旦网络病毒入侵,工业控制系统拦截无效,小则出现工厂某些生产环节停产、失灵,重则整个工厂瘫痪。如果遭受攻击的是电力、石化、轨道交通等关键行业,将有可能影响到国计民生。
这不是危言耸听。ICS-CERT发布的报告表明,遭受工控安全事件,关键制造业所占比重最高,达33%;紧随其后的是能源行业,占比为8%。
中小企业面临两难
而中小企业的情况更加不妙。冯子荣是广东网堤信息安全技术有限公司的销售经理。在9月23日,他告诉记者,一些中小企业并没有网络安全防护的意识,而另一些企业则觉得做工业控制的防火墙是“花冤枉钱”。
“很多人的心态是,我的企业这么小,不会有人注意到我的,也不会闲着没事做攻击我这家小企业的系统。”冯子荣接着说,“但企业遭受攻击的原因极其复杂,有的是商业对手的不正当竞争手段,有的是为了窃取信息做非法用途,甚至有的就是黑客为了炫耀技术。”
如果要构建安全系统,企业到底要花多少钱?多家信息安全企业表示,不同行业、不同安全标准,其花费的规模不尽相同。综合来看,一套工业控制系统较高的比重能占去企业一年经营成本的10%~20%,低的能控制在10%以下,一般能管三到五年,平摊到每年为3%左右。
但对中小企业来说,一下子拿出10%的成本并不容易。专门针对信息安全的启明星辰客户经理佘琅在9月下旬对记者表示,从未来趋势看,很可能是电力、石化等关键制造业和关键基础设施领域的企业率先兴起安全意识,布局工业控制系统的安全防护体系。
而对老赵这样的中小企业主来说,要构建全套“智慧工厂”的软硬件,没有上百万搞不定。促使他们接受工业控制安全理念,其关键是需要有“物美价廉”的安全防护产品。在国内工业控制系统尚处起步的背景下,国产厂商要提供这样的产品并不容易。
不过,国内已经有厂家尝试改变,试图通过压缩使用成本让中小型工厂用上安全的工业控制系统。据21世纪经济报道记者了解,广东嘉腾自动化有限公司本是一家国内自动牵引机器人(AGV)的明星企业,近日开始发布面向中小企业的工业控制系统“嘉腾大脑”,其技术来源于多年AGV控制的经验。像智能手机一样,“嘉腾大脑”分高中低配置,低配版本低至5万元,其商业模式是通过开放共享的互联网操作方式,而不是仅仅靠卖产品赚钱。
该公司副总裁陈洪波在9月下旬表示,他们的工程师试图将工业控制涉及的各类信息系统放在一起,不仅是该公司的AGV产品可以接入,其他厂家的工业机器人也可以接入,其后台使用类似智能手机一样便捷。工程师多年研发成功攻关的是,如何让“嘉腾大脑”这一系统兼容不同厂家机器人产品的驱动系统,并保障让使用者的操作足够便捷。
国产安全系统尚待发力
多种尝试是必须的。从发展来说,目前中国的工业控制系统“安全锁”还处在初级阶段。
在9月举行的广东网络安全宣传周的高峰论坛上,匡恩网络首席安全顾问肖存峰就专门论及了关键基础设施信息安全的前沿问题。这一问题是工业控制系统的难题。在肖存峰的分析中,除了安全意识“软环境”之外,还有一系列硬性的难题需要攻关。这些难题主要包括,工业设备的高危漏洞和后门、运营维护的安全风险、工业网络病毒、无线技术(Wi-Fi)应用的风险以及高级持续性威胁。高级持续性威胁(Advanced Persistent Threat)是一种以商业和政治为目的的网络犯罪类别,其特点是经过长期经营与策划,并具备高度的隐蔽性,而其攻击往往更难防备。
例如,肖存峰就在调研中发现,某电力企业外资的集散控制系统(DCS)的通讯协议存在设计缺陷,而生产控制大区与管理信息大区之前的网闸,只能观察到告警灯,却无法查询告警信息及溯源。这也就是说,这个系统只能告知有危险,却不告知危险是什么,也就很难解决危险问题。
肖存峰担忧的问题是,目前国内工业控制系统以国外品牌为主导,对国外依赖将加剧。如果不能掌握自主可控的技术,国内的工业控制系统将要承担信息泄露的风险。在广东网络安全宣传周的高峰论坛上,不少学界和业界的发言者也认为“自主可控”应当是方向。
但国产自主的安全装置目前并不好。从信息的传输次序看,“智慧工厂”一般需要经历四个层级:一是信息层,也就是企业和工厂的办公网络,发出生产指令,由于与公共网络连接,最容易受到攻击;二是监测层,也就是工厂监测各种机械手、传送带等设备工作情况的系统;三是控制层,将传输而来的生产信息转化为工业设备工作的参数;最后是设备层,也就是机械手、传送带等装备。赖文杰表示,而目前国内大部分企业能做的是,只会在信息层加上一道网闸,而这样网闸很容易失效。
匡恩网络想要做的改进是,在监测层的设备中植入威胁态势感知平台和漏洞挖掘云服务平台,将一道“安全锁”变成三道。两个平台通过危险侵入和漏洞两个方面的实时监测,一旦发现有安全隐患即可补救。另一家企业的启明星辰的思路也大同小异,强调在线、实时的监测扫描。而这两家企业也代表了国产工控安全系统的崛起方向。
图片来源:找项目网