如何做好工控网络安全防护

 

记者：胡总，您认为目前中国工业控制系统安全的发展现状是怎样的？

胡总：工信部于2011年出台了451号文件，451号文件的要求是对中国的基础设施尤其是工业控制网络进行安全检测，集中发现问题并给出安全预案。在2011年之后很多企业开始了这方面的探索，但因为当时缺乏专业的工控网络安全企业来帮助政府完成任务，所以效果不是很明显。2013年之后，这些企业开始涌现，包括谷神星，也包括一些国外的成熟的技术及产品开始进入中国，使我国的工控领域得以迅速地发展。目前从国家的层面来讲对工业控制网络安全是非常重视的，因为工业网络安全从本质上讲是基础设施安全，一旦出现重大的网络安全事故，影响和损失无法估量。此外，企业领导层也在纷纷响应国家的号召，并对工控网络安全这块积极地响应，积极采取措施落实。所以从市场角度来讲，目前正处于工控安全市场爆发的前夕，企业需要去培育市场、把握用户的需求，把质量可靠的安全产品推广出去。这个过程一般都有一个试用及摸索的阶段，但是，工控安全的前景不可估量。

谷神星网络科技（北京）有限公司董事长兼CEO 胡浩

记者：您认为保障工业控制网络安全的核心环节是什么？

胡总：核心的环节就是，第一是知己，需要对整个网络进行一个彻底的了解，做到心中有数。工控网络到底存在什么问题，有什么缺陷和风险，我们需要采用什么样的技术措施，需要提高到什么样的水平；第二就是知彼，假如对方知道我的这些问题后他们会采取什么样的攻击手段，当然，有时候本土的信息安全也可能是因为工作人员失误或者操作异常导致的。那么，知己知彼之后呢，需要进行一套完整的防护方案，需要将完整的防护方案部署到我们的控制系统里面，做到万无一失，通常加固工控网络安全，这是我们需要做的几个步骤。

记者：企业为工业控制系统部署传统的信息安全防护产品会存在哪些问题？与传统的信息安全防护体系相比，工控安全系统存在哪些专业性特点？

胡总：首先，我们国家工业4.0水平还是比较弱的，很多企业都已经开始投入、建设智能工厂。如果仅仅是对信息安全防护的话，把自己的工厂整个控制系统互通互联了以后，实际上是存在很大的缺陷和风险的。由于接口的放开，黑客通过放开的接口直接攻入我们的系统，而我们的系统本身这些控制设备是存在网络安全漏洞的，那么通过对这些漏洞的利用，会造成一定程度的破坏和损失。

工控系统对系统的可用性及实时性要求非常高，而传统信息行业最关注的是信息本身安全，所以两者的关注点不一样。另外，工控行业中的工控产品更新换代周期非常长，有些系统已经运行了十几年还在服役，不像现在的传统信息产业，三两年就要更新换代，更换硬件设备。至于软件系统，传统信息行业软件时常要更新，就算更新失败，系统重启也不会造成太大的影响和损失。工控系统因为直接控制生产设备，如果没有重大缺陷，在不影响生产的条件下，不允许更新升级软件，而且硬件系统都备有冗余设备，要求控制系统不能有无计划的停机或者重启，否则有可能引起重大生产损失或者人身伤害事故。

记者：针对不同行业和不同规模的企业，该如何进行工控安全类产品的选型？

胡总：工控安全产品的选型，第一重要的是产品要技术领先且质量可靠，只有采用了先进的安全控制技术，才能保护好工控产品，当然，如果质量不可靠，本身就谈不上对产品进行有效的保护了。其次，看企业在业界的口碑和市场占有率，好的产品，市场会举手投赞成票；不好的产品，市场只会用脚投票了。最后，要看企业是否在不同行业有应用案例，是否某些企业专注于某些行业，通常需求企业会对在同行业有业绩的工控安全产品比较青睐。

谷神星的安全防护产品，是通过来自斯坦福大学、卡耐基梅隆大学、清华大学、北京大学等国内外顶尖大学的自主研发团队开发的，融合了国内外最先进的安全架构和模块，技术在国内外处于领先地位。谷神星在国内重要合作单位有工业控制系统信息安全技术国家工程实验室、工控设备龙头制造商、工控系统集成商、工控研究方向的科研院所和重点高校、国家和省级测评单位、发电集团等。公司先后成为了工业控制安全技术国家工程实验室理事会理事，工业控制系统信息安全产业联盟成员。为建立我国自主的工控安全防护体系，提升工控安全核心竞争力贡献了力量。

记者：随着去IOE化及国家智能制造的要求，国内工控安全系统厂商将面临哪些机会和挑战？

胡总：当前的工控安全还是比较严峻的，之前很多的基础设施行业对自己的认识不足，但是有些行业做得还是很不错的。像电力行业本来已经采取了横向隔离，纵向加密，很多安全措施都已经有自己的规范和标准，还有其他的行业像燃气还有石油石化，在管理规范上也有很多的措施，比如说移动媒介不能随便使用，封闭网络环境等。总的来讲，我们国家的一些基础设施行业本身已经采取了一些管理防范措施，好些行业对安全的意识正在逐步的增强，对安全的需要越来越强，越来越高。面对“震网事件”、“乌克兰电网事件”，大家都意识到，如果我们不对工控系统加以重视，不去安全加固，造成的后果就是，某一个地方的基础设施发生一次严重的网络安全事故之后，造成的损失无论政治影响亦或是经济影响都是巨大的，不可估量的。从整个市场的投入来看，我国现在对工控网络安全这块投入相对较少，一年只有几十亿，还不到一百亿的投资，而如果发生一起安全网络事故，一个基础设施的损失就有可能超过百亿。所以说，这就是我们要加强网络基础设施安全的原因。除了经济和政治的影响因素，最重要的还是人身安全，对于控制系统来讲，它的最大问题就是会涉及到人身安全。谷神星作为这一行业的领军企业，也在积极地与各个行业，政府层面接洽，我们已和省级的信息安全测评中心进行合作，对关键的企业进行检查，并给出我们的解决方案帮他们去加固自己的工控系统网络安全，为工控行业的安全贡献自己的力量。

另外，IOE化对国内厂商，无论是做安全的也好，服务器的也好，操作系统的也好都是一次机会。同时，我们也需要认识到国外对安全的意识、市场行为以及技术相比国内还是领先的，但是随着国外人才的回归，也带回来一些比较新的理念和技术，这使得工控安全领域的整体技术门槛提升了不少。个人浅见：中国的安全企业不能闭门造车，要经常去国外学习、交流、研究国外最新的技术，并根据中国工控企业的实际应用情况消化吸收，研发出先进、可靠的产品出来，迎接即将腾飞的中国工控安全行业的发展。