威努特：構(gòu)建工控系統(tǒng)威脅預(yù)警和安全態(tài)勢感知能力

撰文/趙龍

隨著工業(yè)化和信息化的深度融合，裝備和工廠實現(xiàn)互聯(lián)互通，工業(yè)控制系統(tǒng)越來越多地采用信息技術(shù)和通信網(wǎng)絡(luò)技術(shù)，逐漸成為工業(yè)互聯(lián)網(wǎng)的一部分。但是，隨著大量關(guān)鍵信息基礎(chǔ)設(shè)施接入互聯(lián)網(wǎng)，工業(yè)互聯(lián)網(wǎng)安全狀況正日益引起人們的擔(dān)憂。智能設(shè)備作為網(wǎng)絡(luò)的接入點，隨時暴露在網(wǎng)絡(luò)攻擊之下。全球工業(yè)互聯(lián)網(wǎng)的安全現(xiàn)狀并不樂觀，公開的工業(yè)控制系統(tǒng)漏洞數(shù)量逐年遞增。截止今年9月份，國家信息安全漏洞共享平臺（CNVD）收錄的工控漏洞數(shù)量已經(jīng)達到1264個，公開的安全事件數(shù)量多年來一直居高不下。

“工業(yè)互聯(lián)網(wǎng)雷達平臺”是為智能制造企業(yè)和政府監(jiān)管部門等單位提供工業(yè)互聯(lián)網(wǎng)資產(chǎn)探測、漏洞預(yù)警與宏觀安全態(tài)勢展現(xiàn)等服務(wù)的平臺化產(chǎn)品。該平臺支持Siemens S7、Modbus、IEC 60870-5-104以及DNP3等38種以上的工控協(xié)議指紋識別，支持工控設(shè)備無損漏洞探測，實現(xiàn)全球工控設(shè)備信息和漏洞信息的隱匿探測及全局采集，同時準確定位工控設(shè)備。

“工控系統(tǒng)行業(yè)漏洞庫平臺”匯總CVE、NVD、CNVD和CNNVD等多個漏洞庫的數(shù)據(jù)，提供“漏洞檢索”、“漏洞統(tǒng)計”和“漏洞月報”等功能，收集工控漏洞解決方案和補丁信息，實現(xiàn)與監(jiān)管部門、關(guān)鍵信息基礎(chǔ)設(shè)施運營者以及有關(guān)研究機構(gòu)、網(wǎng)絡(luò)安全服務(wù)機構(gòu)間的網(wǎng)絡(luò)安全信息共享，幫助用戶自我發(fā)現(xiàn)并解決工控系統(tǒng)的安全風(fēng)險。

2012年美國國土安全部通過Project Shine項目搜索暴露在互聯(lián)網(wǎng)上的關(guān)鍵信息基礎(chǔ)設(shè)施，收集了全球范圍內(nèi)超過220萬條數(shù)據(jù)，并確定其中7200個為美國關(guān)鍵信息基礎(chǔ)設(shè)施。今年10月，美國國土安全部與美國聯(lián)邦調(diào)查局(FBI)發(fā)出聯(lián)合聲明，證實制造商的工業(yè)控制系統(tǒng)遭受黑客攻擊的案例已經(jīng)擴及能源、核能與供水等公用事業(yè)單位。

工業(yè)控制系統(tǒng)信息安全簡稱工控安全，是對關(guān)鍵信息基礎(chǔ)設(shè)施上信息安全和防護的響應(yīng)，屬于工業(yè)互聯(lián)網(wǎng)安全的一部分。對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險進行有效檢測評估、掌握全網(wǎng)信息安全態(tài)勢以及實現(xiàn)網(wǎng)絡(luò)安全信息共享，符合國家安全戰(zhàn)略，在《網(wǎng)絡(luò)安全法》中有明確要求。

威努特行業(yè)解決方案技術(shù)總監(jiān)姜立群表示，我國工控網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急響應(yīng)問題長期得不到解決。過去幾十年我國建設(shè)了大量關(guān)鍵基礎(chǔ)設(shè)施、重大工業(yè)控制系統(tǒng)，大部分是依靠國外廠商的設(shè)備和技術(shù)建立起來的?？刂圃O(shè)備普遍存在的已知漏洞、未知漏洞以及可能存在后門，成為阻礙我國制造業(yè)快速發(fā)展的絆腳石，也是國家安全的重大隱患。通過 “工業(yè)互聯(lián)網(wǎng)雷達平臺”和“工控系統(tǒng)行業(yè)漏洞庫平臺”，企業(yè)可以掌握自身工控資產(chǎn)網(wǎng)絡(luò)暴露情況，感知工控網(wǎng)絡(luò)威脅態(tài)勢；監(jiān)管機構(gòu)可以實時了解接入互聯(lián)網(wǎng)的工控設(shè)備數(shù)量及地理位置分布，掌握重要工控漏洞的影響態(tài)勢，進行工控網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急響應(yīng)。

發(fā)布會后，姜立群接受本刊采訪。

智能制造：一些企業(yè)的業(yè)務(wù)部門對工業(yè)網(wǎng)絡(luò)安全威脅缺乏充分認識，您對企業(yè)工控安全建設(shè)有哪些建議？威努特能為企業(yè)提供怎樣的幫助？

姜立群：工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全由于是保障性的，并不像建設(shè)業(yè)務(wù)系統(tǒng)那樣立竿見影，因此沒有得到一些企業(yè)充分重視。像電力、石油石化、軌道交通和智能制造等很多行業(yè)的工業(yè)控制系統(tǒng)，都屬于國家關(guān)鍵信息基礎(chǔ)設(shè)施，2017年6月1日正式實行的國家《網(wǎng)絡(luò)安全法》，對其信息安全是有明確要求的；2017年7月1日起施行的工信部《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》，對工控系統(tǒng)安全監(jiān)測預(yù)警、應(yīng)急響應(yīng)都有了詳細規(guī)定。落實法規(guī)政策，將是這些企業(yè)接下來的一項重要工作。

但是，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)也不可能一蹴而就，如果選擇的方案和產(chǎn)品與業(yè)務(wù)系統(tǒng)兼容性不夠，沒有經(jīng)過充分的驗證性測試，將對業(yè)務(wù)系統(tǒng)的正常運行產(chǎn)生不可控的后果。所以，我建議企業(yè)在考慮工控安全建設(shè)時，按如下步驟進行。

先做安全自查，使用我們本次發(fā)布的兩款平臺產(chǎn)品，通過“工業(yè)互聯(lián)網(wǎng)雷達平臺”自我檢查企業(yè)工業(yè)控制系統(tǒng)有無暴露在互聯(lián)網(wǎng)上的設(shè)備，通過“工控系統(tǒng)行業(yè)漏洞庫平臺”查找使用的設(shè)備型號有無已知漏洞存在，來對企業(yè)自身安全狀況有個初步認識。

再做安全服務(wù)，包括安全培訓(xùn)、現(xiàn)狀調(diào)研、風(fēng)險評估以及安全測評等服務(wù)，增強人員的安全意識，了解國家政策法規(guī)對本行業(yè)工控安全的要求；摸清本企業(yè)工控系統(tǒng)的安全現(xiàn)狀，以及與政策法規(guī)要求的差距，為后續(xù)網(wǎng)絡(luò)安全建設(shè)提供現(xiàn)實依據(jù)。

最后做安全建設(shè)和實施，根據(jù)前期調(diào)研和評估的情況，選擇適用于本企業(yè)的網(wǎng)絡(luò)安全解決方案，選擇經(jīng)本企業(yè)工控系統(tǒng)或類似工控系統(tǒng)驗證過的網(wǎng)絡(luò)安全產(chǎn)品，并選擇專業(yè)的實施團隊進行部署實施，以保障網(wǎng)絡(luò)安全建設(shè)在保護工控系統(tǒng)的同時，不會對業(yè)務(wù)系統(tǒng)產(chǎn)生影響。

我們威努特除了本次發(fā)布的兩款平臺可用于企業(yè)安全檢查外，還能夠提供專業(yè)的安全服務(wù)，包括安全培訓(xùn)、安全調(diào)查、風(fēng)險評估、安全滲透、安全測評和安全體系規(guī)劃設(shè)計，協(xié)助企業(yè)遵守法律規(guī)定要求，做好網(wǎng)絡(luò)安全頂層規(guī)劃和設(shè)計，為后續(xù)技術(shù)改造提供理論基礎(chǔ)。

威努特還提供與業(yè)務(wù)系統(tǒng)深度融合的技術(shù)方案。我們對很多行業(yè)的業(yè)務(wù)流程和網(wǎng)絡(luò)結(jié)構(gòu)進行深入研究，基于不同行業(yè)的業(yè)務(wù)模型設(shè)計網(wǎng)絡(luò)安全方案，并且已經(jīng)在很多行業(yè)部署實施，在全國有上百家案例，產(chǎn)品已經(jīng)在電力、石油、石化、燃氣以及軌道交通等多個行業(yè)廣泛應(yīng)用。

智能制造：目前工業(yè)網(wǎng)絡(luò)安全解決方案實施過程中主要存在哪些難點？

姜立群：談到工控網(wǎng)絡(luò)安全解決方案實施過程中的難點，首先我們要明白工業(yè)網(wǎng)絡(luò)的要求和辦公信息網(wǎng)絡(luò)的要求是不同的。

工業(yè)網(wǎng)絡(luò)對可用性要求高，傳統(tǒng)信息安全要實現(xiàn)三個目標，即保密性、完整性和可用性，通常都將保密性放在首位考慮的，而工業(yè)網(wǎng)絡(luò)安全的目標順序正好相反，工業(yè)網(wǎng)絡(luò)安全首要考慮的是所有系統(tǒng)部件的可用性，然后再考慮完整性和保密性。所以傳統(tǒng)信息安全的技術(shù)可借鑒，但不能直接使用。

工業(yè)網(wǎng)絡(luò)對實時性要求高，控制系統(tǒng)要求響應(yīng)時間大多在幾十毫秒以內(nèi)，而辦公信息系統(tǒng)的實時性可接受秒級的響應(yīng)。所以在選擇工業(yè)網(wǎng)絡(luò)安全方案和產(chǎn)品時，需要充分評估安全方案對業(yè)務(wù)實時性的影響，嚴格選擇實時性較好的安全產(chǎn)品，導(dǎo)致可選擇的方案和產(chǎn)品較少。

工業(yè)網(wǎng)絡(luò)的個性化定制多，工業(yè)控制系統(tǒng)有很多行業(yè)屬性，不同行業(yè)有不同行業(yè)的業(yè)務(wù)場景、應(yīng)用協(xié)議和軟硬件架構(gòu)。所以每個行業(yè)在網(wǎng)絡(luò)安全建設(shè)時，常常面臨著無產(chǎn)品可選，無方案可用的尷尬情況，需要與安全廠商深度合作開發(fā)才能找到真正適合自己業(yè)務(wù)場景的安全方案和產(chǎn)品。

工業(yè)互聯(lián)網(wǎng)建設(shè)最大的瓶頸就是安全問題，安全問題不解決，企業(yè)很難將工業(yè)網(wǎng)絡(luò)互聯(lián)互通，很難將生產(chǎn)數(shù)據(jù)共享匯集，很難將業(yè)務(wù)流程智能優(yōu)化。要建設(shè)工業(yè)互聯(lián)網(wǎng)，首先得打消業(yè)務(wù)部門對安全的顧慮，找出不影響業(yè)務(wù)的安全解決方案。另外，解決工業(yè)互聯(lián)網(wǎng)智能和安全的融合，也是企業(yè)深入實施的一個難點。企業(yè)的智能化和網(wǎng)絡(luò)安全系統(tǒng)往往是各自發(fā)展的兩條線，彼此之間沒有包容。比如智能機床，計算資源本來就緊張，如何在不影響性能的情況下解決安全問題？威努特在這方面已經(jīng)做出了巨大突破，和智能云科合作，面對極大的困難考驗，成功把安全融入到智能機床設(shè)備，為行業(yè)做出了從0到1的示范。

智能制造：企業(yè)在籌劃工業(yè)網(wǎng)絡(luò)安全方案時，除了選擇常規(guī)的安全產(chǎn)品和技術(shù)，還有哪些更先進的產(chǎn)品和技術(shù)可以考慮？

姜立群：目前很多企業(yè)做網(wǎng)絡(luò)安全方案時，考慮更多的是合規(guī)要求，選擇工業(yè)防火墻、監(jiān)測審計、主機防護等常規(guī)類安全產(chǎn)品進行方案部署和實施，研究型和態(tài)勢感知類產(chǎn)品目前較少選擇。工業(yè)控制系統(tǒng)一般都屬于關(guān)鍵信息基礎(chǔ)設(shè)施范圍，網(wǎng)絡(luò)安全法對關(guān)鍵信息基礎(chǔ)設(shè)施要求在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護，所以企業(yè)還應(yīng)該考慮如何實行重點保護。前面提到的《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》中，對工控安全應(yīng)急技術(shù)機構(gòu)有明確要求，負責(zé)工控安全風(fēng)險監(jiān)測、態(tài)勢研判、威脅預(yù)警、事件處置等工作，這個要求對其他規(guī)模較大、技術(shù)實力較強的工業(yè)企業(yè)也有較強的借鑒意義。我的意見，企業(yè)在選擇常規(guī)安全產(chǎn)品和技術(shù)以外，應(yīng)該逐步選擇一些監(jiān)測預(yù)警、態(tài)勢研判類產(chǎn)品和技術(shù)，使自己逐步具備較強的安全事件應(yīng)急處理能力。

此次工博會威努特發(fā)布了兩款引領(lǐng)工控安全新方向的平臺類產(chǎn)品就是此種類型，一個是工業(yè)互聯(lián)網(wǎng)雷達平臺，另一個是工控系統(tǒng)行業(yè)漏洞庫平臺。工業(yè)互聯(lián)網(wǎng)雷達平臺主要用于探測暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備、工業(yè)系統(tǒng)的工作站和服務(wù)器、組建工業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備，并深入探測這些設(shè)備的漏洞情況，提供基于地理區(qū)域、工控設(shè)備類型、工控協(xié)議等多維度進行態(tài)勢分析，提供企業(yè)版用于企業(yè)自身內(nèi)部部署。工控系統(tǒng)行業(yè)漏洞庫平臺用于收集、整理和分析工控系統(tǒng)的漏洞信息。目前該平臺是國內(nèi)工控漏洞最全面的平臺，為關(guān)注工控的用戶提供詳實的漏洞數(shù)據(jù)和分析數(shù)據(jù)。

智能制造：威努特工業(yè)網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)目前的市場情況如何？具有哪些優(yōu)勢？

姜立群：近年來威努特一直在工控安全領(lǐng)域深耕細作，獲得多個政府部門和眾多客戶的高度認可。是國家工控安全實驗室理事單位，工控安全相關(guān)國家標準制定的重要參與者和推動者。被公安部授予工控安全技術(shù)支撐單位，參與了2016年全國網(wǎng)絡(luò)安全大檢查，受邀保障杭州“G20峰會”、“一帶一路”國際合作高峰論壇和十九大。威努特在國內(nèi)首家提出工業(yè)網(wǎng)絡(luò)安全“白環(huán)境”解決方案，迄今已有百余家成功案例，落地項目及市場占有率在國內(nèi)遙遙領(lǐng)先。

威努特的優(yōu)勢有以下幾點：一是解決方案覆蓋全，擁有電力、石油、石化、市政、煙草、化工、軍工、軌道交通等十幾個主流行業(yè)的定制化解決方案；二是團隊技術(shù)實力強，擁有一支由資深安全專家、自動化專家、高級產(chǎn)品研發(fā)工程師、優(yōu)秀企業(yè)管理人才組成的專業(yè)化團隊；三是專注，自成立以來，一直堅持在工控安全領(lǐng)域深耕細作，堅持主航道不動搖，有戰(zhàn)略定力，做到專注專業(yè)專心，也成功收獲了客戶的贊譽和認可。

智能制造：您認為工業(yè)網(wǎng)絡(luò)安全的發(fā)展態(tài)勢和未來技術(shù)趨勢是什么？

姜立群：工業(yè)網(wǎng)絡(luò)的發(fā)展，會逐漸打破傳統(tǒng)各個工業(yè)企業(yè)的信息孤島狀態(tài)，工業(yè)互聯(lián)網(wǎng)時代，會極大的縮短最終消費者需求和產(chǎn)品開發(fā)間的距離。工業(yè)網(wǎng)絡(luò)安全的發(fā)展，從應(yīng)用場景角度分析，應(yīng)該是以控制系統(tǒng)的核心安全為基礎(chǔ)，向業(yè)務(wù)系統(tǒng)整體安全發(fā)展，再到整個工業(yè)互聯(lián)網(wǎng)安全的趨勢。目前做工業(yè)網(wǎng)絡(luò)安全大多數(shù)方案還局限于保護整個工業(yè)流程里面的一個環(huán)節(jié)、一個子系統(tǒng)的安全，對于不同業(yè)務(wù)系統(tǒng)對接考慮較少，對于互聯(lián)網(wǎng)接入環(huán)節(jié)考慮的更少；未來隨著工業(yè)互聯(lián)網(wǎng)技術(shù)發(fā)展，在保護基于底層關(guān)鍵控制系統(tǒng)基礎(chǔ)上，會結(jié)合業(yè)務(wù)全流程模型，構(gòu)建業(yè)務(wù)系統(tǒng)整體安全防護體系，即由工控網(wǎng)絡(luò)向工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)變。

未來的技術(shù)趨勢，應(yīng)該是在當(dāng)前常規(guī)安全防護產(chǎn)品和技術(shù)的基礎(chǔ)上，向工控威脅情報收集和態(tài)勢感知的方向發(fā)展。常規(guī)安全產(chǎn)品是軀干和四肢，是執(zhí)行單元；而威脅情報和態(tài)勢分析是神經(jīng)和大腦，是決策單元。威努特正在做這方面的技術(shù)研發(fā)，本次工博會發(fā)布的這兩個平臺產(chǎn)品就是在掃描互聯(lián)網(wǎng)上的安全態(tài)勢，為常規(guī)安全產(chǎn)品的策略部署提供決策依據(jù)。

后記：

安全是發(fā)展的前提和保障。安全的工業(yè)互聯(lián)網(wǎng)平臺對于促進“互聯(lián)網(wǎng)+先進制造業(yè)”的發(fā)展具有重要的作用。10月30日，國務(wù)院常務(wù)會審議通過《深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》。安全保障方面，重點加強工業(yè)互聯(lián)網(wǎng)安全技術(shù)手段建設(shè)，形成國家、行業(yè)、企業(yè)協(xié)調(diào)聯(lián)動的工業(yè)互聯(lián)網(wǎng)安全工作格局，建設(shè)覆蓋產(chǎn)業(yè)全生命周期的安全保障體系。