態(tài)勢感知 + 大數據，中國網安構建智能制造動靜協(xié)同聯(lián)動安全防護體系

——gongkong專訪中國網安工業(yè)控制安全事業(yè)部副總經理蘭昆

   “互聯(lián)網是一把雙刃劍”，互聯(lián)帶來便利的同時，網絡安全隱患也悄然而至。僅2017年5月和6月，網絡上就爆發(fā)了兩次勒索病毒。而在這幾天，根據網絡安全公司監(jiān)測，國內出現了一款通過郵件附件傳播的新型比特幣勒索病毒。不僅是個體用戶，以色列國家電網也曾遭受大規(guī)模的網絡攻擊，基礎設施網絡安全問題成為隱患，一旦出現攻擊后果不堪設想。

   “隨著工業(yè)制造的不斷網絡化，工廠生產早已不是閉門造車，設備、產線以及工廠間的互聯(lián)變得至關重要，由此引發(fā)的信息安全問題早已上升至國家戰(zhàn)略層面?！痹凇?017全國工廠數字化升級解決方案暨工業(yè)控制系統(tǒng)信息安全論壇”活動中，中國電子科技網絡信息安全有限公司工業(yè)控制安全事業(yè)部副總經理蘭昆對中國工控網如是說。

（中國電子科技網絡信息安全有限公司工業(yè)控制安全事業(yè)部副總經理蘭昆）

布局智能制造，安全為先

   金融危機以來，發(fā)達國家紛紛提出“再工業(yè)化”戰(zhàn)略，促進制造業(yè)發(fā)展，重塑競爭優(yōu)勢。以“硬派”德國工業(yè)4.0和“軟式”美國工業(yè)互聯(lián)網為代表的發(fā)達國家，利用信息技術優(yōu)勢，強力助推制造業(yè)，拉大與我國的制造業(yè)特別是高端制造業(yè)領域的差距。為此，中國提出智能制造發(fā)展戰(zhàn)略（《中國制造2025》），尋求制造業(yè)的突圍之路。

   “布局智能制造，須以安全為先?！碧m昆剖析“智能制造”概念，它是基于物聯(lián)網、云計算、大數據等新一代信息技術，貫穿于設計、生產、管理、服務等制造活動各個環(huán)節(jié)，具有信息深度自感知、智慧優(yōu)化自決策、精準控制自執(zhí)行等功能的先進制造過程、系統(tǒng)和模式的總稱。然而，智能制造網絡化后，攻擊剖面被擴大，將面臨設備、控制、網絡、應用等多方面的安全挑戰(zhàn)。保障智能制造順利推進，必須占領安全戰(zhàn)略高地。

   “在目前工業(yè)領域應用中，盡管安全防護意識已經得到了普遍提高，但信息安全系統(tǒng)仍存在薄弱環(huán)節(jié)?！碧m昆說，首先，自動化企業(yè)對于自身網絡安全威脅，或者由網絡安全問題而對系統(tǒng)造成破壞的認識還不夠全面。在中國制造業(yè)發(fā)展的過程中，人們更多地瞄準自動化和信息化，而對于由此帶來的安全問題并沒有充分地了解，并且在目前行業(yè)高速發(fā)展的形勢下，自動化企業(yè)不會允許用太多傳統(tǒng)的網絡安全手段進行設備檢查，而由此承擔可能會導致的系統(tǒng)停運風險。

其次，如今的自動化企業(yè)普遍缺乏能夠結合自身條件且切實可行的防護手段。工控信息安全涉及的產品、技術非常多。然而，對于自動化企業(yè)來說，這畢竟還是一個高實時性、高可靠性的環(huán)節(jié)，很多企業(yè)目前的防護手段和防護設備還有所欠缺，因此在進行安全防護工作時難免會存在顧慮。

   此外，目前國內自動化行業(yè)依舊是進口設備占據半壁江山，國外設備供應商也推出了配套的防護系統(tǒng)，但若是這些安全防護系統(tǒng)缺乏國家認可的第三方認證測評，就無法保證防護的安全可靠。

   “因此，無論是國內產品還是國外產品，官方認證都是不可缺少的環(huán)節(jié)，也是目前仍需完善的。”蘭昆表示，認識到這一現狀，國家相關部委出臺了《國家安全戰(zhàn)略綱要》等一系列法律法規(guī)、政策和行業(yè)規(guī)范。

   其中，中國電子科技網絡信息安全有限公司（簡稱“中國網安”）也牽頭或參與了關鍵信息基礎設施相關的國際標準、國家標準、等級保護標準和行業(yè)標準規(guī)范的制定工作，諸如GB/T33009.1-2016《工業(yè)自動化和控制系統(tǒng)網絡安全集散控制系統(tǒng)（DCS）》、GB/T33009.2-2016《工業(yè)自動化和控制系統(tǒng)網絡安全集散控制系統(tǒng)（DCS）》、GB/T33009.3-2016《工業(yè)自動化和控制系統(tǒng)網絡安全集散控制系統(tǒng)（DCS）》、GB/T 33008.1-2016《工業(yè)自動化和控制系統(tǒng)網絡安全 可編程序控制器（PLC）》等一系列標準規(guī)范的相關部分。

智能制造網絡需要何種安全防護思路？

   “智能工廠網絡靈活組網的需求致使傳統(tǒng)靜態(tài)防護策略已不能適應網絡動態(tài)化、靈活化的防護要求，需要結合動態(tài)防護手段，根據安全情況動態(tài)調整防護策略。僅靠單點防護無法應對智能制造風險與挑戰(zhàn)，需要統(tǒng)一建立以態(tài)勢感知為基礎的、基于大數據的智能制造網絡安全防護體系?！碧m昆說。

   從行業(yè)方面來看，電網、軌道交通一類的基礎設施，以及石油、軍工等行業(yè)對于信息安全需求更加旺盛，這得益于這類行業(yè)企業(yè)雄厚的經濟實力以及國家監(jiān)管的高度重視。大型企業(yè)往往更加強調防護體系，需要從母公司到各個基地形成一體化解決方案。而且基礎設施類企業(yè)為避免由故障引發(fā)的問題，對于具有早期預警作用產品的需求不斷攀升，態(tài)勢感知技術開始變得越來越重要。

   在工業(yè)與信息化加速融合的當下，“互聯(lián)網+”、工業(yè)云等趨勢對工業(yè)信息安全提出了新要求，蘭昆指出，可從兩個層面幫助客戶提升安全功能。

   在安全防護系統(tǒng)提升方面，要強調建立以態(tài)勢感知為基礎的、基于大數據的工業(yè)系統(tǒng)網絡安全防護體系，來作為未來的工業(yè)控制系統(tǒng)。做好態(tài)勢感知防護系統(tǒng)，先要對工業(yè)系統(tǒng)進行體檢，找出問題所在；其次要讓企業(yè)能夠預先獲取信息，以判斷出可能遇到的危險，未雨綢繆。

   另一個層面就是要打造安全可靠的防護系統(tǒng)，從底層設備把好安全關，加強自主研發(fā)，著力打造具有安全防護功能的國產控制設備，將安全防護嵌入到硬件設備當中，從源頭做好信息安全防護。

   對此，中國網安在智能制造網絡安全防護宏觀層面建立了“基于安全大數據的動靜協(xié)同聯(lián)動安全防護體系”，靜態(tài)安全防護滿足工業(yè)控制系統(tǒng)合規(guī)性要求；動態(tài)安全防護以靜態(tài)安全防護形成的安全數據為基礎，匯聚安全數據分析，進行整體態(tài)勢呈現、通報預警與應急響應，形成動靜協(xié)同聯(lián)動、安全全景可視的安全保障能力。

（中國網安智能制造網絡安全防護新思路）

量身定制信息安全防護體系及服務

   正如中醫(yī)“同病異治、異病同治”理念，智能制造網絡安全防護也需因企、因地、因時論治。

   細化到企業(yè)層面，蘭昆指出，基礎設施類的大型企業(yè)專業(yè)性強，對于本行業(yè)的專注度很高，在信息安全方面較為薄弱，相對于專門培養(yǎng)相關人員的高成本和不確定性，管家級安全服務解決方案更加符合需求，確保在應對緊急突發(fā)狀況時更加專業(yè)。

   不同于傳統(tǒng)的網絡維護，應急響應是信息網絡安全服務的一大特點，貼身的管家服務，需要供應商和用戶的深度融合。自動化企業(yè)的網絡安全服務一般都會選擇駐場，了解掌握企業(yè)發(fā)展動態(tài)，對潛在危險進行預測性防護，對安全攻擊實施應急響應。中國網安已經逐步開始采用這樣的服務模式，在不同城市設立巡檢點，應用自主研發(fā)的工控漏勺產品為用戶提供安全服務。

   相較于大型企業(yè)，中小企業(yè)對網絡安全需求主要表現在兩個方面：第一，中小型企業(yè)更關注運行可靠性的問題；第二，網絡安全對降本增效、節(jié)能環(huán)保方面帶來的影響。針對中小企業(yè)需求，中國網安在充分了解客戶需求的基礎上，量身定制更具針對性的小型安全防護解決方案。

   “智能制造網絡安全重點保障智能制造過程的連續(xù)性、可靠性?！碧m昆建議開展智能制造網絡安全試點，以企業(yè)為主題，以市場為導向，以應用為核心，聚焦智能制造關鍵環(huán)節(jié)，企業(yè)應積極開展智能裝備、智能工廠、智能服務、制造新模式領域的安全試點示范，不斷提煉和總結有效的經驗和模式，形成行業(yè)的最佳實踐經驗，保障智能制造的安全發(fā)展。（文/gongkong張麗瑩）