工業4.0風暴來襲，我們追求不僅是成功起飛，還要安全著陸

    隨著工業信息化、工業物聯網的快速發展以及工業4.0時代的到來，工業化與信息化的融合趨勢越來越明顯，工業控制系統也在利用最新的計算機網絡技術來提高系統間的集成、互聯以及信息化管理水平。繼蒸汽機、大規模生產和自動化之后，一場智能工業革命風暴席卷而來，引領整個工業行業向著高度信息化、自動化、智能化方向發展，業界稱之為“第四次工業革命”。展望整個發展趨勢，不難發現里面有太多和互聯網千絲萬縷的聯系。小米總裁雷軍曾說過“只要站在風口，豬也能飛起來”。泛工業4.0概念在世界各國已經達成共識，并在不同國家衍生出不同的戰略、規劃版本，如德國的工業4.0戰略、美國的工業互聯網、中國的兩化融合等，以國內為例，各行業單位、自動化領軍企業、研究機構也在迅速行動、大力布局，以此達成了產、學、研高度共識的未來發展藍圖。由此看來，中國以制造業為代表的工業領域借工業4.0的東風順利起飛似乎已不成問題。

    然而套用一句流行語“退潮后，才知道誰在裸泳”，2000年互聯網泡沫破滅引起經濟衰退的傷痕尚在隱隱作痛，約有50%的網絡公司沒有活過2004年，當概念的熱度退卻后沒有強有效安全保障體制的公司大多沒有挺過這一波嚴冬，迎接真正互聯網時代的到來。對網絡信息安全風險的抵御能力是工業4.0時代企業安全保障體制的重要一環，工控安全專業廠商威努特公司CEO龍國東先生說：“面對工業4.0風暴，業界更該思考、準備的是風過后，如何安全著陸。到那時，誰有降落傘，誰有安全繩才一目了然。”以智能化為核心特征的工業4.0，工控安全無疑是這個安全繩上最粗的一股。

    工控安全，即工業控制系統網絡安全。工業控制系統網絡是由工業自動化生產設備，如PLC、RTU、DCS系統等組成的網絡，不同于IT網絡，工控網絡有著專有的通信協議和通信機制。由于歷史上相對封閉的使用環境，工業控制系統多重視系統的功能實現，對安全的關注相對缺乏。因此工業控制系統存在大量的安全缺陷，這些缺陷使工控系統極其脆弱，給安全生產帶來重大隱患。隨著工業4.0的深入，工控網絡會越來越開放，不可能完全的隔離，所以工控安全防護已經不能只考慮簡單的辦公網信息網、生產網與控制網間的物理隔離，而是需要從一個整體去考慮。而且由于工業控制系統多被應用在電力、交通、石油、化工、核工業等國家命脈行業中，其安全事故造成的社會影響和經濟損失尤為嚴重。出于政治、軍事、經濟、信仰等諸多目的，敵對的國家、勢力以及恐怖犯罪分子都可能把工業控制系統作為達成其目的的攻擊目標。

    工控安全事件只是冰山一角，更多的威脅潛伏在我們身邊

    工業控制網絡安全事故數量逐年大幅上升，據來源于美國國土安全部的工業控制系統網絡應急響應小組(ICS-CERT)和OSVDB工控網絡安全數據庫的數據表明，自2010年起，重大工業控制網絡安全事件呈現爆炸式增長，由2010年的39起增長為2013年的256起。2013年間對中國各個行業的黑客攻擊較2009年增長15倍以上，30%是針對國家基礎設施。近年來，根據各個工業行業頻發的信息安全事故表明，一直以來被認為相對安全、相對封閉的工業控制系統已經成為不法組織和黑客的攻擊目標，黑客攻擊正在從開放的互聯網向相對封閉的工控網蔓延，攻擊手段和惡意工具也日新月異，如從大家耳熟能詳的Stuxnet“震網”蠕蟲、Flame“火焰”病毒到2014年出現的Dragonfly“超級電廠”病毒等。而這些還只是浮上水面的“冰山一角”，更多的潛在威脅和漏洞隱藏在看似安全的工控網絡中，通過如SHODAN這類搜索引擎我們就可以找到很多毫不設防的工控設備。在工業4.0時代，管理網和生產控制網的雙向信息交互更是成為常態，到那時工控網絡面臨的安全威脅會千百倍的激增。

    工控系統不是世外桃源，打造可信“白環境”才能常保平安

    傳統的工控網絡，可以類比傳說中的“世外桃源”，安全防護多采用的是隔離網關加殺毒軟件的方式：控制網對外基本“與世隔絕”，內部被認為是一個完全可靠的安全網絡；各功能區域之間很少信息傳遞——“雞犬之聲相聞，老死不相往來”；各個主機由于系統漏洞長期不打補丁、殺毒軟件病毒特征庫長期得不到升級，基本也是處于“夜不閉戶”的狀態。隨著互聯網的滲透、工業4.0的發展，就像桃源通了公路，外來人口大量涌入，這種“無為而治”的防護方式必須加以改變。

    但是相比較于以個人終端、互聯網為防護目標的傳統IT防護方案，工控安全領域又有其獨特性。首先，不同于IT安全防護以機密性為第一目標，在工控領域，保障系統的實時可用性才是最重要的目標，所以誤阻斷的情況是不可接受的。其次，不同的行業領域內部使用了不同的網絡數據通信協議和標準，最常見的協議和標準包括ModBus、OPC、IEC-104、MMS、DNP3等，傳統IT防護產品對這些協議的識別和解析無能為力。最后，工控網絡設備使用人員、用途和軟件更加明確，不可預知性大大減少。綜合以上特點，照搬傳統IT防護產品和解決方案也不能有效的解決工控網絡安全威脅。

    作為一家對工控安全有著自己深入研究的企業，威努特公司沒有簡單照搬傳統IT安全思維，而是以工控系統安全的視角，針對工控系統對可靠性、穩定性、業務連續性的嚴格要求，以及工控系統軟件和設備更新不頻繁，通信和數據較為特定的特點，提出了建立工控系統安全生產與運行的“可信網絡白環境”以及“軟件應用白名單”概念，進而構筑工業控制系統的網絡安全“白環境”。區別傳統防護“黑名單”的方式，所謂“白”指的好的、可信的，即只有可信任的設備、軟件和數據，才允許在工控網絡內部流通，其他惡意的、不明確的或者規定不允許的東西都不允許流通使用。
 

•      只有可信任的設備，才能接入控制網絡；

•      只有可信任的消息，才能在網絡上傳輸；

•      只有可信任的軟件，才允許被執行。

    方案包含數采可信網關、區域可信網關、服務器可信衛士、工作站可信衛士、智能安全監測分析平臺等產品，并具有專業的安全研究實驗室，提供專業的安全咨詢、安全培訓、漏洞挖掘和攻防演練等服務。建立了集一套人員能力、規章制度、安全產品和可信環境于一體的整體解決方案，基于科學的方法和專業的產品，將原來想當然的信任轉化為有實實在在保障的信任，重構工控網絡信任體系。

    該方案具有完全自主知識產權，能夠幫助涉密單位、關系國計民生的大型工業企業對工控網絡進行安全防護和安全加固，杜絕安全后門隱患，響應國家信息安全國產化政策及號召。能夠解決工控安全問題，減少安全生產事故；提高工控系統穩定性，減少系統停車時間；提高運維效率，降低維護成本。并且具備靈活擴展能力，適用于老舊系統改造，能持續安全升級，保護企業工控安全投資。

   結語：打造工業控制系統網絡安全“白環境”是威努特公司“贏在工控安全”戰略的核心解決方案，該方案以可信防護為核心、以運維管控為重點、以可視化管理為支撐、以可靠服務為保障，能夠為用戶構建有效抵御工控系統病毒木馬以及網絡攻擊的新一代工控安全防御體系，為客戶帶來工控安全防護和管理的真正價值。