工業(yè)4.0風(fēng)暴來(lái)襲，我們追求不僅是成功起飛，還要安全著(zhù)陸

    隨著(zhù)工業(yè)信息化、工業(yè)物聯(lián)網(wǎng)的快速發(fā)展以及工業(yè)4.0時(shí)代的到來(lái)，工業(yè)化與信息化的融合趨勢越來(lái)越明顯，工業(yè)控制系統也在利用最新的計算機網(wǎng)絡(luò )技術(shù)來(lái)提高系統間的集成、互聯(lián)以及信息化管理水平。繼蒸汽機、大規模生產(chǎn)和自動(dòng)化之后，一場(chǎng)智能工業(yè)革命風(fēng)暴席卷而來(lái)，引領(lǐng)整個(gè)工業(yè)行業(yè)向著(zhù)高度信息化、自動(dòng)化、智能化方向發(fā)展，業(yè)界稱(chēng)之為“第四次工業(yè)革命”。展望整個(gè)發(fā)展趨勢，不難發(fā)現里面有太多和互聯(lián)網(wǎng)千絲萬(wàn)縷的聯(lián)系。小米總裁雷軍曾說(shuō)過(guò)“只要站在風(fēng)口，豬也能飛起來(lái)”。泛工業(yè)4.0概念在世界各國已經(jīng)達成共識，并在不同國家衍生出不同的戰略、規劃版本，如德國的工業(yè)4.0戰略、美國的工業(yè)互聯(lián)網(wǎng)、中國的兩化融合等，以國內為例，各行業(yè)單位、自動(dòng)化領(lǐng)軍企業(yè)、研究機構也在迅速行動(dòng)、大力布局，以此達成了產(chǎn)、學(xué)、研高度共識的未來(lái)發(fā)展藍圖。由此看來(lái)，中國以制造業(yè)為代表的工業(yè)領(lǐng)域借工業(yè)4.0的東風(fēng)順利起飛似乎已不成問(wèn)題。

    然而套用一句流行語(yǔ)“退潮后，才知道誰(shuí)在裸泳”，2000年互聯(lián)網(wǎng)泡沫破滅引起經(jīng)濟衰退的傷痕尚在隱隱作痛，約有50%的網(wǎng)絡(luò )公司沒(méi)有活過(guò)2004年，當概念的熱度退卻后沒(méi)有強有效安全保障體制的公司大多沒(méi)有挺過(guò)這一波嚴冬，迎接真正互聯(lián)網(wǎng)時(shí)代的到來(lái)。對網(wǎng)絡(luò )信息安全風(fēng)險的抵御能力是工業(yè)4.0時(shí)代企業(yè)安全保障體制的重要一環(huán)，工控安全專(zhuān)業(yè)廠(chǎng)商威努特公司CEO龍國東先生說(shuō)：“面對工業(yè)4.0風(fēng)暴，業(yè)界更該思考、準備的是風(fēng)過(guò)后，如何安全著(zhù)陸。到那時(shí)，誰(shuí)有降落傘，誰(shuí)有安全繩才一目了然。”以智能化為核心特征的工業(yè)4.0，工控安全無(wú)疑是這個(gè)安全繩上最粗的一股。

    工控安全，即工業(yè)控制系統網(wǎng)絡(luò )安全。工業(yè)控制系統網(wǎng)絡(luò )是由工業(yè)自動(dòng)化生產(chǎn)設備，如PLC、RTU、DCS系統等組成的網(wǎng)絡(luò )，不同于IT網(wǎng)絡(luò )，工控網(wǎng)絡(luò )有著(zhù)專(zhuān)有的通信協(xié)議和通信機制。由于歷史上相對封閉的使用環(huán)境，工業(yè)控制系統多重視系統的功能實(shí)現，對安全的關(guān)注相對缺乏。因此工業(yè)控制系統存在大量的安全缺陷，這些缺陷使工控系統極其脆弱，給安全生產(chǎn)帶來(lái)重大隱患。隨著(zhù)工業(yè)4.0的深入，工控網(wǎng)絡(luò )會(huì )越來(lái)越開(kāi)放，不可能完全的隔離，所以工控安全防護已經(jīng)不能只考慮簡(jiǎn)單的辦公網(wǎng)信息網(wǎng)、生產(chǎn)網(wǎng)與控制網(wǎng)間的物理隔離，而是需要從一個(gè)整體去考慮。而且由于工業(yè)控制系統多被應用在電力、交通、石油、化工、核工業(yè)等國家命脈行業(yè)中，其安全事故造成的社會(huì )影響和經(jīng)濟損失尤為嚴重。出于政治、軍事、經(jīng)濟、信仰等諸多目的，敵對的國家、勢力以及恐怖犯罪分子都可能把工業(yè)控制系統作為達成其目的的攻擊目標。

    工控安全事件只是冰山一角，更多的威脅潛伏在我們身邊

    工業(yè)控制網(wǎng)絡(luò )安全事故數量逐年大幅上升，據來(lái)源于美國國土安全部的工業(yè)控制系統網(wǎng)絡(luò )應急響應小組(ICS-CERT)和OSVDB工控網(wǎng)絡(luò )安全數據庫的數據表明，自2010年起，重大工業(yè)控制網(wǎng)絡(luò )安全事件呈現爆炸式增長(cháng)，由2010年的39起增長(cháng)為2013年的256起。2013年間對中國各個(gè)行業(yè)的黑客攻擊較2009年增長(cháng)15倍以上，30%是針對國家基礎設施。近年來(lái)，根據各個(gè)工業(yè)行業(yè)頻發(fā)的信息安全事故表明，一直以來(lái)被認為相對安全、相對封閉的工業(yè)控制系統已經(jīng)成為不法組織和黑客的攻擊目標，黑客攻擊正在從開(kāi)放的互聯(lián)網(wǎng)向相對封閉的工控網(wǎng)蔓延，攻擊手段和惡意工具也日新月異，如從大家耳熟能詳的Stuxnet“震網(wǎng)”蠕蟲(chóng)、Flame“火焰”病毒到2014年出現的Dragonfly“超級電廠(chǎng)”病毒等。而這些還只是浮上水面的“冰山一角”，更多的潛在威脅和漏洞隱藏在看似安全的工控網(wǎng)絡(luò )中，通過(guò)如SHODAN這類(lèi)搜索引擎我們就可以找到很多毫不設防的工控設備。在工業(yè)4.0時(shí)代，管理網(wǎng)和生產(chǎn)控制網(wǎng)的雙向信息交互更是成為常態(tài)，到那時(shí)工控網(wǎng)絡(luò )面臨的安全威脅會(huì )千百倍的激增。

    工控系統不是世外桃源，打造可信“白環(huán)境”才能常保平安

    傳統的工控網(wǎng)絡(luò )，可以類(lèi)比傳說(shuō)中的“世外桃源”，安全防護多采用的是隔離網(wǎng)關(guān)加殺毒軟件的方式：控制網(wǎng)對外基本“與世隔絕”，內部被認為是一個(gè)完全可靠的安全網(wǎng)絡(luò )；各功能區域之間很少信息傳遞——“雞犬之聲相聞，老死不相往來(lái)”；各個(gè)主機由于系統漏洞長(cháng)期不打補丁、殺毒軟件病毒特征庫長(cháng)期得不到升級，基本也是處于“夜不閉戶(hù)”的狀態(tài)。隨著(zhù)互聯(lián)網(wǎng)的滲透、工業(yè)4.0的發(fā)展，就像桃源通了公路，外來(lái)人口大量涌入，這種“無(wú)為而治”的防護方式必須加以改變。

    但是相比較于以個(gè)人終端、互聯(lián)網(wǎng)為防護目標的傳統IT防護方案，工控安全領(lǐng)域又有其獨特性。首先，不同于IT安全防護以機密性為第一目標，在工控領(lǐng)域，保障系統的實(shí)時(shí)可用性才是最重要的目標，所以誤阻斷的情況是不可接受的。其次，不同的行業(yè)領(lǐng)域內部使用了不同的網(wǎng)絡(luò )數據通信協(xié)議和標準，最常見(jiàn)的協(xié)議和標準包括ModBus、OPC、IEC-104、MMS、DNP3等，傳統IT防護產(chǎn)品對這些協(xié)議的識別和解析無(wú)能為力。最后，工控網(wǎng)絡(luò )設備使用人員、用途和軟件更加明確，不可預知性大大減少。綜合以上特點(diǎn)，照搬傳統IT防護產(chǎn)品和解決方案也不能有效的解決工控網(wǎng)絡(luò )安全威脅。

    作為一家對工控安全有著(zhù)自己深入研究的企業(yè)，威努特公司沒(méi)有簡(jiǎn)單照搬傳統IT安全思維，而是以工控系統安全的視角，針對工控系統對可靠性、穩定性、業(yè)務(wù)連續性的嚴格要求，以及工控系統軟件和設備更新不頻繁，通信和數據較為特定的特點(diǎn)，提出了建立工控系統安全生產(chǎn)與運行的“可信網(wǎng)絡(luò )白環(huán)境”以及“軟件應用白名單”概念，進(jìn)而構筑工業(yè)控制系統的網(wǎng)絡(luò )安全“白環(huán)境”。區別傳統防護“黑名單”的方式，所謂“白”指的好的、可信的，即只有可信任的設備、軟件和數據，才允許在工控網(wǎng)絡(luò )內部流通，其他惡意的、不明確的或者規定不允許的東西都不允許流通使用。
 

•      只有可信任的設備，才能接入控制網(wǎng)絡(luò )；

•      只有可信任的消息，才能在網(wǎng)絡(luò )上傳輸；

•      只有可信任的軟件，才允許被執行。

    方案包含數采可信網(wǎng)關(guān)、區域可信網(wǎng)關(guān)、服務(wù)器可信衛士、工作站可信衛士、智能安全監測分析平臺等產(chǎn)品，并具有專(zhuān)業(yè)的安全研究實(shí)驗室，提供專(zhuān)業(yè)的安全咨詢(xún)、安全培訓、漏洞挖掘和攻防演練等服務(wù)。建立了集一套人員能力、規章制度、安全產(chǎn)品和可信環(huán)境于一體的整體解決方案，基于科學(xué)的方法和專(zhuān)業(yè)的產(chǎn)品，將原來(lái)想當然的信任轉化為有實(shí)實(shí)在在保障的信任，重構工控網(wǎng)絡(luò )信任體系。

    該方案具有完全自主知識產(chǎn)權，能夠幫助涉密單位、關(guān)系國計民生的大型工業(yè)企業(yè)對工控網(wǎng)絡(luò )進(jìn)行安全防護和安全加固，杜絕安全后門(mén)隱患，響應國家信息安全國產(chǎn)化政策及號召。能夠解決工控安全問(wèn)題，減少安全生產(chǎn)事故；提高工控系統穩定性，減少系統停車(chē)時(shí)間；提高運維效率，降低維護成本。并且具備靈活擴展能力，適用于老舊系統改造，能持續安全升級，保護企業(yè)工控安全投資。

   結語(yǔ)：打造工業(yè)控制系統網(wǎng)絡(luò )安全“白環(huán)境”是威努特公司“贏(yíng)在工控安全”戰略的核心解決方案，該方案以可信防護為核心、以運維管控為重點(diǎn)、以可視化管理為支撐、以可靠服務(wù)為保障，能夠為用戶(hù)構建有效抵御工控系統病毒木馬以及網(wǎng)絡(luò )攻擊的新一代工控安全防御體系，為客戶(hù)帶來(lái)工控安全防護和管理的真正價(jià)值。