自主可控
——工業(yè)互聯(lián)網(wǎng)的安全閥

編者按：工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物，近年來呈現(xiàn)出蓬勃發(fā)展之勢，但隨著越來越多的工業(yè)控制系統(tǒng)及設(shè)備與互聯(lián)網(wǎng)連接，開放互聯(lián)的環(huán)境使工業(yè)互聯(lián)網(wǎng)安全問題日益凸顯。據(jù)統(tǒng)計，在過去一年，國家信息安全漏洞共享平臺收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)的軟件安全漏洞。工控安全的發(fā)展與研究是工業(yè)互聯(lián)網(wǎng)安全的關(guān)注重點之一。在中國信息協(xié)會信息安全專業(yè)委員會2018年會暨第八期網(wǎng)絡(luò)安全創(chuàng)新發(fā)展高端論壇上中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所副所長、工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實驗室常務(wù)副主任張尼強(qiáng)調(diào)了自主可控對工業(yè)互聯(lián)網(wǎng)安全的重要性，本刊擷取部分內(nèi)容，以饗讀者。

工控系統(tǒng)的趨勢與挑戰(zhàn)

工控系統(tǒng)分為離散控制、過程控制、運動控制三類，工控系統(tǒng)廣泛應(yīng)用于能源產(chǎn)生與輸送分配，例如：交通行業(yè)、物流行業(yè)等大量使用的都是這種控制系統(tǒng)。在前工業(yè)4.0時代對于安全的考慮非常少，這主要源于兩個前提假設(shè)，一是物理隔離，二是所有協(xié)議、業(yè)務(wù)邏輯相對簡單。工業(yè)4.0時代，隨著智能化、信息化的發(fā)展，更多的軟件聯(lián)網(wǎng)、終端與云連接，當(dāng)各種終端與網(wǎng)絡(luò)連接，安全問題則需要高度重視，如何安全保護(hù)我們關(guān)鍵的基礎(chǔ)設(shè)施？

首先，從頂層開始，國家越來越重視網(wǎng)絡(luò)安全問題。無論是法規(guī)、指南、計劃等都將公共安全提升到國家戰(zhàn)略層面?？萍疾窟B續(xù)兩年將工控系統(tǒng)安全當(dāng)作網(wǎng)絡(luò)空間安全的重要方向。

當(dāng)前工控系統(tǒng)的安全面臨諸多威脅與挑戰(zhàn)。第一，最主要的挑戰(zhàn)是工控系統(tǒng)成為國家級黑客的主要目標(biāo)。攻擊工業(yè)控制系統(tǒng)不是病毒，而是網(wǎng)絡(luò)武器。第二，核心技術(shù)的自主掌控。第三，工業(yè)終端從閉環(huán)走向開環(huán)，這是一個新問題。隨著新技術(shù)不斷演進(jìn)、更新?lián)Q代，必然面臨著安全的陣痛。第四，工業(yè)互聯(lián)網(wǎng)的安全仿真環(huán)境。工業(yè)環(huán)境門檻高，測試平臺的搭建成本高。第五、工業(yè)大數(shù)據(jù)。大數(shù)據(jù)平臺是互聯(lián)網(wǎng)化的，有存儲、采集、挖掘、分析、發(fā)布、共享一系列的流程。對工控系統(tǒng)來說，這種開放互聯(lián)的環(huán)境對工業(yè)互聯(lián)網(wǎng)的安全來說都是挑戰(zhàn)。

云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)增加了工業(yè)處理流程的開放與不確定性，安全風(fēng)險進(jìn)一步集中，工控系統(tǒng)的安全不是一個小安全的概念，而是需要一個深度的安全防御體系。

安全防御策略

面對諸多挑戰(zhàn)，如何應(yīng)對？

第一，自主可控，不是網(wǎng)絡(luò)安全的概念，是一個大安全的概念，是安全的外延。談自主可控，大家都非常支持，但是落實到自身實際很難實現(xiàn)。自主可控并非所有都自主可控，全球的工業(yè)發(fā)展是一整個的產(chǎn)業(yè)，是允許產(chǎn)業(yè)之間交融的，所以核心的東西我們需要自主可控。

第二，自主可控的關(guān)鍵還表現(xiàn)在維護(hù)升級不受制于人，卡脖子、牽鼻子的狀態(tài)必須要擺脫。例如：設(shè)備層面一些小的設(shè)備、智能化的設(shè)備、在現(xiàn)場起關(guān)鍵作用的設(shè)備盡量用自主可控的東西替代。PLC、交換機(jī)、路由器、服務(wù)器都是關(guān)鍵的、核心的網(wǎng)絡(luò)設(shè)備，這些都需要自主可控。

第三，自主可控不等于安全，事前的態(tài)勢感知是安全防護(hù)的一環(huán)。工業(yè)安全設(shè)備有很多專業(yè)經(jīng)驗和知識，安全防護(hù)一定要結(jié)合每個行業(yè)的業(yè)務(wù)。

一方面是信息的安全，一方面是自主可控的安全，兩條路融合之后要經(jīng)過若干年，達(dá)到一種平衡，我們可以一邊發(fā)展、一邊能夠保證安全，現(xiàn)在的安全保障不是保障不出故障，而是保障不被敵對勢力盯上。

總體而言，自主可控的關(guān)鍵是應(yīng)用。大規(guī)模的應(yīng)用，一定要有真正的用戶，安全設(shè)備，用得越多才證明越可行，才是真正落地。信息安全一定要與現(xiàn)場安全痛點相匹配，安全要同步規(guī)劃、同步建設(shè)。