態勢感知 + 大數據，中國網安構建智能制造動靜協同聯動安全防護體系

——gongkong專訪中國網安工業控制安全事業部副總經理蘭昆

   “互聯網是一把雙刃劍”，互聯帶來便利的同時，網絡安全隱患也悄然而至。僅2017年5月和6月，網絡上就爆發了兩次勒索病毒。而在這幾天，根據網絡安全公司監測，國內出現了一款通過郵件附件傳播的新型比特幣勒索病毒。不僅是個體用戶，以色列國家電網也曾遭受大規模的網絡攻擊，基礎設施網絡安全問題成為隱患，一旦出現攻擊后果不堪設想。

   “隨著工業制造的不斷網絡化，工廠生產早已不是閉門造車，設備、產線以及工廠間的互聯變得至關重要，由此引發的信息安全問題早已上升至國家戰略層面。”在“2017全國工廠數字化升級解決方案暨工業控制系統信息安全論壇”活動中，中國電子科技網絡信息安全有限公司工業控制安全事業部副總經理蘭昆對中國工控網如是說。

（中國電子科技網絡信息安全有限公司工業控制安全事業部副總經理蘭昆）

布局智能制造，安全為先

   金融危機以來，發達國家紛紛提出“再工業化”戰略，促進制造業發展，重塑競爭優勢。以“硬派”德國工業4.0和“軟式”美國工業互聯網為代表的發達國家，利用信息技術優勢，強力助推制造業，拉大與我國的制造業特別是高端制造業領域的差距。為此，中國提出智能制造發展戰略（《中國制造2025》），尋求制造業的突圍之路。

   “布局智能制造，須以安全為先。”蘭昆剖析“智能制造”概念，它是基于物聯網、云計算、大數據等新一代信息技術，貫穿于設計、生產、管理、服務等制造活動各個環節，具有信息深度自感知、智慧優化自決策、精準控制自執行等功能的先進制造過程、系統和模式的總稱。然而，智能制造網絡化后，攻擊剖面被擴大，將面臨設備、控制、網絡、應用等多方面的安全挑戰。保障智能制造順利推進，必須占領安全戰略高地。

   “在目前工業領域應用中，盡管安全防護意識已經得到了普遍提高，但信息安全系統仍存在薄弱環節。”蘭昆說，首先，自動化企業對于自身網絡安全威脅，或者由網絡安全問題而對系統造成破壞的認識還不夠全面。在中國制造業發展的過程中，人們更多地瞄準自動化和信息化，而對于由此帶來的安全問題并沒有充分地了解，并且在目前行業高速發展的形勢下，自動化企業不會允許用太多傳統的網絡安全手段進行設備檢查，而由此承擔可能會導致的系統停運風險。

其次，如今的自動化企業普遍缺乏能夠結合自身條件且切實可行的防護手段。工控信息安全涉及的產品、技術非常多。然而，對于自動化企業來說，這畢竟還是一個高實時性、高可靠性的環節，很多企業目前的防護手段和防護設備還有所欠缺，因此在進行安全防護工作時難免會存在顧慮。

   此外，目前國內自動化行業依舊是進口設備占據半壁江山，國外設備供應商也推出了配套的防護系統，但若是這些安全防護系統缺乏國家認可的第三方認證測評，就無法保證防護的安全可靠。

   “因此，無論是國內產品還是國外產品，官方認證都是不可缺少的環節，也是目前仍需完善的。”蘭昆表示，認識到這一現狀，國家相關部委出臺了《國家安全戰略綱要》等一系列法律法規、政策和行業規范。

   其中，中國電子科技網絡信息安全有限公司（簡稱“中國網安”）也牽頭或參與了關鍵信息基礎設施相關的國際標準、國家標準、等級保護標準和行業標準規范的制定工作，諸如GB/T33009.1-2016《工業自動化和控制系統網絡安全集散控制系統（DCS）》、GB/T33009.2-2016《工業自動化和控制系統網絡安全集散控制系統（DCS）》、GB/T33009.3-2016《工業自動化和控制系統網絡安全集散控制系統（DCS）》、GB/T 33008.1-2016《工業自動化和控制系統網絡安全 可編程序控制器（PLC）》等一系列標準規范的相關部分。

智能制造網絡需要何種安全防護思路？

   “智能工廠網絡靈活組網的需求致使傳統靜態防護策略已不能適應網絡動態化、靈活化的防護要求，需要結合動態防護手段，根據安全情況動態調整防護策略。僅靠單點防護無法應對智能制造風險與挑戰，需要統一建立以態勢感知為基礎的、基于大數據的智能制造網絡安全防護體系。”蘭昆說。

   從行業方面來看，電網、軌道交通一類的基礎設施，以及石油、軍工等行業對于信息安全需求更加旺盛，這得益于這類行業企業雄厚的經濟實力以及國家監管的高度重視。大型企業往往更加強調防護體系，需要從母公司到各個基地形成一體化解決方案。而且基礎設施類企業為避免由故障引發的問題，對于具有早期預警作用產品的需求不斷攀升，態勢感知技術開始變得越來越重要。

   在工業與信息化加速融合的當下，“互聯網+”、工業云等趨勢對工業信息安全提出了新要求，蘭昆指出，可從兩個層面幫助客戶提升安全功能。

   在安全防護系統提升方面，要強調建立以態勢感知為基礎的、基于大數據的工業系統網絡安全防護體系，來作為未來的工業控制系統。做好態勢感知防護系統，先要對工業系統進行體檢，找出問題所在；其次要讓企業能夠預先獲取信息，以判斷出可能遇到的危險，未雨綢繆。

   另一個層面就是要打造安全可靠的防護系統，從底層設備把好安全關，加強自主研發，著力打造具有安全防護功能的國產控制設備，將安全防護嵌入到硬件設備當中，從源頭做好信息安全防護。

   對此，中國網安在智能制造網絡安全防護宏觀層面建立了“基于安全大數據的動靜協同聯動安全防護體系”，靜態安全防護滿足工業控制系統合規性要求；動態安全防護以靜態安全防護形成的安全數據為基礎，匯聚安全數據分析，進行整體態勢呈現、通報預警與應急響應，形成動靜協同聯動、安全全景可視的安全保障能力。

（中國網安智能制造網絡安全防護新思路）

量身定制信息安全防護體系及服務

   正如中醫“同病異治、異病同治”理念，智能制造網絡安全防護也需因企、因地、因時論治。

   細化到企業層面，蘭昆指出，基礎設施類的大型企業專業性強，對于本行業的專注度很高，在信息安全方面較為薄弱，相對于專門培養相關人員的高成本和不確定性，管家級安全服務解決方案更加符合需求，確保在應對緊急突發狀況時更加專業。

   不同于傳統的網絡維護，應急響應是信息網絡安全服務的一大特點，貼身的管家服務，需要供應商和用戶的深度融合。自動化企業的網絡安全服務一般都會選擇駐場，了解掌握企業發展動態，對潛在危險進行預測性防護，對安全攻擊實施應急響應。中國網安已經逐步開始采用這樣的服務模式，在不同城市設立巡檢點，應用自主研發的工控漏勺產品為用戶提供安全服務。

   相較于大型企業，中小企業對網絡安全需求主要表現在兩個方面：第一，中小型企業更關注運行可靠性的問題；第二，網絡安全對降本增效、節能環保方面帶來的影響。針對中小企業需求，中國網安在充分了解客戶需求的基礎上，量身定制更具針對性的小型安全防護解決方案。

   “智能制造網絡安全重點保障智能制造過程的連續性、可靠性。”蘭昆建議開展智能制造網絡安全試點，以企業為主題，以市場為導向，以應用為核心，聚焦智能制造關鍵環節，企業應積極開展智能裝備、智能工廠、智能服務、制造新模式領域的安全試點示范，不斷提煉和總結有效的經驗和模式，形成行業的最佳實踐經驗，保障智能制造的安全發展。（文/gongkong張麗瑩）