從卡巴斯基實驗室最近針對21個國家的企業或組織機構進行了359次訪談調查顯示，全球工業控制系統（ICS）正面臨著特殊的網絡安全挑戰，對于大多數工業控制網絡來說，包括傳統惡意軟件在內的安全事故，將有可能導致產品和服務質量受到影響、專利或機密信息丟失，產量減少或損失等負面結果。為此，最近互聯網、工信部、公安部和監督管理委員會聯合發布《網絡關鍵和網絡安全專用產品目錄》強制認證要求，工控領域的PLC榜上有名。對于工業聯網系統的網絡安全問題，越來越引起行業人士的重視。本期，我們整理了360沈陽研發中心總經理陶耀東、深圳市顧美科技有限公司總經理曾小虎關于工業互聯網安全問題的發言，希望能夠拋磚引玉，為工業互聯網建設思路提供有益的參考。

數據驅動的工業互聯網安全防護

當前，工業互聯網企業主要面臨的三大安全困境包括：一是檢測能力的困境，像360這樣的專業機構現在有的病毒樣本庫來說已經有一百億了，但普通企業或者通用的殺毒軟件要發現這么多的病毒樣本庫是非常困難的事。其次，在響應方面，由于邊界擴大，所面臨的問題層次也特別多，企業內部一個安全團隊如何能夠有足夠的安全能力來響應不同的問題，這是一個困難點。第三是應用安全，對于一個企業來說，安全漏洞就像是一個篩子，但是對于攻擊者來說，只要從一個洞里進來，那么企業的網絡安全可能就會被攻破，這是攻防不稱的問題。

360沈陽研發中心總經理  陶耀東

如何來應對這些問題，我們從目前國際技術發展中整理出一個技術趨勢圖：2015年叫“變革”，是面對失敗的防御，主題是基于數據與情報來加強檢測能力。2016年變成“連接”，要基于協同，加強檢測和響應能力。到2017年是“機會的力量”，基于聯合與分享安全共同體，大家一起來協同防御。

進一步聚焦到工業互聯網的安全趨勢來說，人們可能面對的是一個未知的拼圖，工業互聯網的安全防御應該怎么做無從得知，但首先，應該假設這個“網”是有可能被攻破的，所以，要從應急響應變成持續的監測響應。第二，是要數據驅動，在態勢感知的基礎上，要有威脅報警，要能夠了解現在都在發生什么樣的安全事件，如最近這個行業的勒索軟件爆發等等。第三是威脅追蹤溯源，一般對企業的攻擊是不達目標不甘休的，所以要找到源頭，知道對手為什么要做這個事。第四是建立企業安全運維中心，收集企業各方面的數據，包括安全數據和生產數據，用工業大數據來發現異常情況，然后要對里面的用戶和實體進行建模，形成UEBA的安全極限。最后則是安全協同，要有供應鏈協同、云-地協同、數據協同和安全即服務等，這些供應商本身應該有自己的安全的保障，大家走在一起蓋成這個“大廈”，才能有安全的保障。

綜上所述，數據驅動的工業互聯網的安全防護，需要建立起一個多級響應體系，同一個區域可能會有很多工業互聯網的企業，或者是一個產業或者一個行業要有自己的安全體系的建設，其中具備安全模板、服務和安全培訓、云服務、本地數據服務，以及本地監測等內容；再建立區域或行業中心，以便接受來自其他體系更全面的威脅情報和數據支持，這樣就會形成一個工業互聯網企業良性的網絡安全監測響應生態圈。

強制安全認證，筑起工業網絡的第一道屏障

近期，互聯網、工信部、公安部和監督管理委員會聯合發布《網絡關鍵和網絡安全專用產品目錄》強制認證要求，工控領域的PLC榜上有名。

根據調查，工業計算機受攻擊的比例從去年7月的17%上升到12月份的24%，黑客可以利用網絡和軟件的漏洞工攻擊工業網絡，竊取生產流程信息，甚至降低生產效率。有相關專家組還發現，2016年下半年，惡意軟件下載和訪問釣魚網頁產生堵塞的工業計算機超過22%。這意味著，有五分之一的工業計算機面臨著一次感染風險，而且網絡罪犯可以從工業控制系統提供的多個入口發動攻擊。由此可見，工業網絡的安全性對于整個工業生產是極其重要。

深圳市顧美科技有限公司總經理  曾小虎

在工控領域，PLC不僅是數控機床的控制核心，也是工控行業控制系統的“CPU”。當下，在PLC產業發展迅速的同時，PLC面對的安全隱患也不容忽視。例如，目前市場上有的PLC幾乎沒有采取任何安全措施就直接接入互聯網，存在很大的安全隱患。從2010年的Stuxnet（震網）、2011年的duqu木馬、2013年的EnergeticBear、2014年的Havex，再到2016年的高仿版震網病毒——IRONGATE，病毒一個比一個“牛”，防不勝防。如果對PLC系統的安全性不加以控制，PLC系統很有可能遭遇病毒入侵。安全性的缺失除了會給PLC本身帶來重大隱患，還極有可能發展成威脅公司的生產網絡的“后門”。因此，PLC的安全性對于整個工業網絡來說是第一道防火墻。在顧美目前開發的技術中，顧美PLC和PLC一體機都設置了加密技術，一旦設置了密碼，任何程序都不能被破解，這樣可以有效防止病毒入侵。

另一方面，此次PLC被國家規定為網絡安全專用產品進入強制認證名錄（控制器指令執行時間≤0.08微秒），將有助于提高國內PLC技術和應用水平。為此，有部分人士認為：“此舉將觸發新一輪的PLC市場格局的洗牌”，也有利于國內的PLC行業的快速成長，對國內的PLC市場有一定的促進作用。

因此，新目錄的出臺，最終目的是逐步將市場上銷售的所有高性能網絡設備和網絡安全專用產品都納入到目錄中，實現對目錄中所列產品安全檢測或安全認證結果跨部委的互認。新目錄的出臺也將會提高PLC的質量和技術水平，從而加固PLC的安全性。與此同時，用戶在挑選工業控制產品及系統時，應選用經國家相關管理部門檢測認定并經國家認證的PLC或設備，工業控制產品經有資質的機構檢測認定不存在網絡安全方面的問題。