一部靈感來(lái)自于“震網(wǎng)Stuxnet”病毒事件的電影《駭客交鋒》（原名“黑帽 Blackhat”），引發(fā)了人們對基礎設施攻擊的無(wú)限想象。電影由王力宏和湯唯主演，邀請了專(zhuān)業(yè)人士作為顧問(wèn)，其中包括明星黑客Kevin Poulsen。他常使用馬甲“Dark Dante（黑暗但?。弊靼?，被稱(chēng)為史上五大著(zhù)名黑客之一，后來(lái)從良，為Wired News雜志工作，還出版了一本書(shū)。谷歌的工程主管，被稱(chēng)為“信息安全公主”的帕里薩·塔布瑞茲評價(jià)該片是她所見(jiàn)過(guò)的“最為準確的有關(guān)信息安全的電影”。

    與高昂的投資相比，這部電影的票房并不好。故事情節不夠緊湊，被定義為了爛片，可這畢竟是首部以工業(yè)基礎設施與信息安全對抗為題材的商業(yè)電影。如果你是一名工業(yè)控制系統從業(yè)者，對電影中的PLC一定再熟悉不過(guò)了。而且，電影中模擬攻擊的目標---恰恰是我國的核電站?。?！

    如果我們還繼續認為工業(yè)控制系統網(wǎng)絡(luò )是安全的，那我們看看利用（軟硬件特征識別、工控蜜罐）技術(shù)，能夠在互聯(lián)網(wǎng)上發(fā)現什么。

    1. 可遠程訪(fǎng)問(wèn)和控制的實(shí)時(shí)SCADA

    燃氣監控：

    水廠(chǎng)監控：

    2. 可遠程訪(fǎng)問(wèn)和控制的PLC

    3. 遍布互聯(lián)網(wǎng)的工控資產(chǎn)

    4. 日漸增多的針對工控專(zhuān)有協(xié)議的探測（蜜罐監測數據統計http://plcscan.org/blog/dataanalysis/icsscada-honeypot-log/）

    結合以上各種現實(shí)情況，我們可以嘗試著(zhù)從中得到以下結論：

    （1）從國家的角度，一切以基礎設施為目標的攻擊，均可視為“敵意”行為；

    （2）蓄意的破壞還沒(méi)有形成規?；?、產(chǎn)業(yè)化，但大范圍的、具有強烈興趣的試探性“攻擊”頻率正在呈上升趨勢；

    （3）核心控制系統不被直接聯(lián)網(wǎng)，并不意味著(zhù)控制網(wǎng)絡(luò )的安全，因為多數的無(wú)人值守站均可作為入侵的節點(diǎn)。


    一、 國內自動(dòng)化行業(yè)形勢

    （一）“兩化融合”的發(fā)展和現狀

    回顧2011年4月6日工信部印發(fā)《關(guān)于加快推進(jìn)信息化與工業(yè)化深度融合的若干意見(jiàn)》 （工信部聯(lián)信[2011]160號）：“到2015年，信息化與工業(yè)化深度融合取得重大突破，信息技術(shù)在企業(yè)生產(chǎn)經(jīng)營(yíng)和管理的主要領(lǐng)域、主要環(huán)節得到充分有效應用，信息技術(shù)集成應用水平成為領(lǐng)軍企業(yè)核心競爭優(yōu)勢支撐“兩化”深度融合的信息產(chǎn)業(yè)創(chuàng )新發(fā)展能力和服務(wù)水平明顯提高，應用成本顯著(zhù)下降，信息化成為新型工業(yè)化的重要特征?！?br/>
    現如今，傳統自動(dòng)化行業(yè)亟待變革，隨著(zhù)工業(yè)4.0、智能制造、工業(yè)互聯(lián)網(wǎng)這些概念的蓄勢待發(fā)，工控安全也正處于變革的十字路口。工控網(wǎng)發(fā)布的文章《正在消失的自動(dòng)化行業(yè)》（2016-04-05）中指出，“自動(dòng)化并不是消失了，而是更為廣泛了”。自動(dòng)化行業(yè)很難有高速成長(cháng)性，因為自動(dòng)化行業(yè)首先規模并不大，總體也就在1500億不到，而且包含了大量的細分市場(chǎng)。畢竟每年不到15%的增長(cháng)也沒(méi)有多少講故事的空間，再說(shuō)利潤，一直覺(jué)得自動(dòng)化是個(gè)高科技行業(yè)，但是，與移動(dòng)互聯(lián)、IT相比，行業(yè)的盈利也決定了收入并不豐厚，大部分業(yè)內人士都覺(jué)得僅僅過(guò)得尚可而已。

    智能化可能更為符合未來(lái)的發(fā)展描述，自動(dòng)化只是智能的一部分，而智能涵蓋了但卻不僅只有自動(dòng)化，而包括感知、分析、思考、判斷、決策者系列與智能相關(guān)，也包括呈現（如VR技術(shù)）、反饋等，這些前端與后端構成了智能化的部分。

    自動(dòng)化只是其中的智能執行環(huán)節，當然，你也可以說(shuō)，自動(dòng)化使其變得更為智能。例如Web技術(shù)不能滿(mǎn)足自動(dòng)化的實(shí)時(shí)性要求，在傳統意義上這是有一定的道理的，但是，在新的時(shí)代，我想Web技術(shù)的開(kāi)放性與低廉成本還是吸引著(zhù)很多企業(yè)，例如：HMI就可以采用Web技術(shù)來(lái)實(shí)現，這對于SCADA的開(kāi)發(fā)而言，就是極大的便利。

    當然，Web技術(shù)可以不僅僅用于純粹只是為了HMI類(lèi)的應用，如果可以的話(huà)，我們可以在全世界都可以訪(fǎng)問(wèn)你想訪(fǎng)問(wèn)的設備，安全是必須的。

    （二）國內的經(jīng)濟形勢

    另外一個(gè)與工控安全難以落實(shí)的重要因素，不得不提的是國內能源領(lǐng)域產(chǎn)能過(guò)剩，導致的經(jīng)濟發(fā)展緩慢的現實(shí)。當然，受影響的不只在國內，而是全球。

    《控制網(wǎng)》整理的一篇文章《一份財報引發(fā)的xue案》（2016.2.19）中提到，施耐德電氣2015財年財報顯示法國施耐德電氣宣布，受中國經(jīng)濟放緩及美國削減石油和天然氣行業(yè)投資的影響，其2015財年凈利潤降幅超出預期。該公司將其較弱的盈利能力歸因于中國疲軟的工業(yè)以及油價(jià)崩潰后美國削減石油和天然氣工業(yè)投資。其2015財年的財報反映了工業(yè)集團縮減西歐市場(chǎng)而擴大中國和北美風(fēng)險敞口的策略所帶來(lái)的限制。

    Emerson公司宣布，由于2015財年大部分時(shí)間經(jīng)濟持續低迷狀況不景， 2015年公司凈銷(xiāo)售額下降9%。油價(jià)下跌、全球工業(yè)資本支出放緩、新興市場(chǎng)的需求疲軟和美元升值等重大阻力對公司的銷(xiāo)售額造成了負面影響。由于中國的疲弱需求充分抵消了印度和澳大利亞的強勁增長(cháng)，因此亞洲的基本需求下降了5%。

    ABB在充滿(mǎn)挑戰的市場(chǎng)中實(shí)現盈利增長(cháng)。2015年訂單額與上一年持平（按美元計算下降12%）。大額訂單（超過(guò)1,500萬(wàn)美元）增長(cháng)10%（按美元計算下降5%），抵消了基礎訂單3%的下滑（按美元計算下滑14%）。銷(xiāo)售收入與2014年持平（按美元計算下降11%），因為電力系統業(yè)務(wù)和電力產(chǎn)品業(yè)務(wù)的收入增長(cháng)抵消了離散自動(dòng)化與運動(dòng)控制業(yè)務(wù)以及過(guò)程自動(dòng)化業(yè)務(wù)的收入下滑。來(lái)自服務(wù)業(yè)務(wù)的銷(xiāo)售收入增長(cháng)6%（按美元計算下降8%），其在A(yíng)BB銷(xiāo)售收入總額的占比上升1個(gè)百分點(diǎn)。在當前宏觀(guān)經(jīng)濟的持續不確定性和全球諸多市場(chǎng)挑戰的環(huán)境中，ABB三大主要市場(chǎng)領(lǐng)域的需求持續低迷。電力客戶(hù)雖然保持審慎，但仍繼續在提升電網(wǎng)效率和可靠性方面進(jìn)行選擇性投資。

    以數據深刻的說(shuō)明了能源行業(yè)的不給力，而工控系統大多被應用于能源行業(yè)的基礎設備控制中。試問(wèn)這些生產(chǎn)企業(yè)連盈利問(wèn)題還沒(méi)有得到解決的前提下，管理者又有多大決心，去解決安全問(wèn)題呢？

    二、 國家（隊）的責任

    美國NSA的“七招”（https://www.iad.gov/iad/library/ia-guidance/security-configuration/industrial-control-systems/seven-steps-to-effectively-defend-ics.cfm）不是萬(wàn)能解藥，與美國相比，受?chē)鴥润w制、信息化與自動(dòng)化發(fā)展的階段、標準與技術(shù)的原創(chuàng )性等種種因素的影響，存在著(zhù)明顯的區別。因此，我們建議國內工控安全采取更直接、更有效的策略來(lái)控制工控安全風(fēng)險。

    （1）“兵者，國之大事，死生之地，存亡之道，不可不察也”。

    伴隨著(zhù)消費者移動(dòng)化、物聯(lián)網(wǎng)等新趨勢，工控威脅和潛在攻擊一方面通過(guò)多樣化的攻擊手段、專(zhuān)業(yè)的工具、有組織地獲取利益，另一方面則表現在國家戰略布局上。此外，攻擊者可以方便的在工控系統中調動(dòng)大規模資源，攻擊的速度更快、破壞性更強。而防守方僅憑傳統的防守方案已經(jīng)無(wú)法阻擋攻擊，威脅、情報、檢測、防護、態(tài)勢感知都是新的防守技術(shù)，而更加智能化的安全模式也是應對威脅的新舉措。實(shí)時(shí)監測開(kāi)放在互聯(lián)網(wǎng)上的工控設備，以及分析和監督在互聯(lián)網(wǎng)上以工控設備為目標的掃描、探測、滲透等行為。

    （2）從國家層面，加大對技術(shù)研發(fā)、標準制訂和資料收集等方面的投入，強化對最終工控現場(chǎng)及重點(diǎn)基礎設施安全加固的建設投資。對于目前缺少標準、缺少市場(chǎng)實(shí)踐的背景下，用戶(hù)需求并不明確，多數信息安全產(chǎn)品（包括工控安全產(chǎn)品）雖然被設計到現場(chǎng)，可實(shí)際真正運行、并且能夠起到防護作用的少之甚少。主要原因之一是產(chǎn)品的設計只是應對政策的一廂情愿。而工控行業(yè)的維護人員，更加關(guān)注穩定性和可維護性。因此，對于政策層面需要引導市場(chǎng)將關(guān)注的焦點(diǎn)回到基礎設施本身，重視企業(yè)負責人的安全意識培養，規范市場(chǎng)、強化產(chǎn)品準入，把市場(chǎng)的還給市場(chǎng)。

    （3）工控安全防護手冊。工業(yè)控制系統（ICS）的制造商已經(jīng)意識到在工業(yè)環(huán)境中不斷增長(cháng)的IT安全威脅。為了應對威脅和風(fēng)險，他們在系統中實(shí)施安全機制。然而，只要運營(yíng)商和系統集成商未能積極參與，所有的達到整個(gè)系統的安全性的努力都仍不能發(fā)揮最大作用。因此，工控系統的使用者迫切的需要在一定能力指導下，制訂符合自身行業(yè)特性的管理方法?；A生產(chǎn)設施的控制系統是由許多單個(gè)的系統組成，因此其強大與安全取決于最薄弱的環(huán)節。運營(yíng)商和集成商必須了解工業(yè)控制系統的制造商實(shí)施的安全機制，與他們的行業(yè)需求保持一致，并在整個(gè)系統中采納和應用這些安全機制。支持用戶(hù)開(kāi)發(fā)符合ICS制造商和運營(yíng)商或集成商的定制需求的信息技術(shù)安全手冊，分析并派生出切實(shí)可行的安全措施，以適合確保生產(chǎn)工廠(chǎng)的ICS安全運行，并最終設計和開(kāi)發(fā)出信息技術(shù)安全手冊。

    （4）保護目標手段的多樣性。工控安全問(wèn)題，完全可能演變?yōu)榭植乐髁x的利用手段。除了前面說(shuō)到政策層面應該是監督和指導，進(jìn)一步討論，規范信息、事件的收集渠道和通報方法，建設必要的“假目標”，吸引和分析攻擊來(lái)源，緩解工控系統被直接攻擊的壓力?！叭娭?，可使畢受敵而無(wú)敗者，奇正是也”。操作方法上，還需要深入的“軍民融合”、“政企聯(lián)合”，對于工控安全，我們相信：高手在民間。

    伴隨著(zhù)市場(chǎng)的逐步成熟，無(wú)論工業(yè)自動(dòng)化巨頭、傳統安全龍頭，還是新興專(zhuān)業(yè)安全廠(chǎng)商都在積極布局,以完善自身的技術(shù)、市場(chǎng)和產(chǎn)品。

    最后，還是以開(kāi)篇的電影作為結束，國內的工控安全市場(chǎng)，無(wú)論是政策、投融資、論壇等等，前期宣傳投入已經(jīng)不小，但還沒(méi)到迎接首映的程度，希望最終能夠獲得好票房！


來(lái)源：燈塔實(shí)驗室