威努特：構建工控系統威脅預警和安全態勢感知能力

撰文/趙龍

隨著工業化和信息化的深度融合，裝備和工廠實現互聯互通，工業控制系統越來越多地采用信息技術和通信網絡技術，逐漸成為工業互聯網的一部分。但是，隨著大量關鍵信息基礎設施接入互聯網，工業互聯網安全狀況正日益引起人們的擔憂。智能設備作為網絡的接入點，隨時暴露在網絡攻擊之下。全球工業互聯網的安全現狀并不樂觀，公開的工業控制系統漏洞數量逐年遞增。截止今年9月份，國家信息安全漏洞共享平臺（CNVD）收錄的工控漏洞數量已經達到1264個，公開的安全事件數量多年來一直居高不下。

“工業互聯網雷達平臺”是為智能制造企業和政府監管部門等單位提供工業互聯網資產探測、漏洞預警與宏觀安全態勢展現等服務的平臺化產品。該平臺支持Siemens S7、Modbus、IEC 60870-5-104以及DNP3等38種以上的工控協議指紋識別，支持工控設備無損漏洞探測，實現全球工控設備信息和漏洞信息的隱匿探測及全局采集，同時準確定位工控設備。

“工控系統行業漏洞庫平臺”匯總CVE、NVD、CNVD和CNNVD等多個漏洞庫的數據，提供“漏洞檢索”、“漏洞統計”和“漏洞月報”等功能，收集工控漏洞解決方案和補丁信息，實現與監管部門、關鍵信息基礎設施運營者以及有關研究機構、網絡安全服務機構間的網絡安全信息共享，幫助用戶自我發現并解決工控系統的安全風險。

2012年美國國土安全部通過Project Shine項目搜索暴露在互聯網上的關鍵信息基礎設施，收集了全球范圍內超過220萬條數據，并確定其中7200個為美國關鍵信息基礎設施。今年10月，美國國土安全部與美國聯邦調查局(FBI)發出聯合聲明，證實制造商的工業控制系統遭受黑客攻擊的案例已經擴及能源、核能與供水等公用事業單位。

工業控制系統信息安全簡稱工控安全，是對關鍵信息基礎設施上信息安全和防護的響應，屬于工業互聯網安全的一部分。對關鍵信息基礎設施的安全風險進行有效檢測評估、掌握全網信息安全態勢以及實現網絡安全信息共享，符合國家安全戰略，在《網絡安全法》中有明確要求。

威努特行業解決方案技術總監姜立群表示，我國工控網絡安全監測預警和應急響應問題長期得不到解決。過去幾十年我國建設了大量關鍵基礎設施、重大工業控制系統，大部分是依靠國外廠商的設備和技術建立起來的。控制設備普遍存在的已知漏洞、未知漏洞以及可能存在后門，成為阻礙我國制造業快速發展的絆腳石，也是國家安全的重大隱患。通過 “工業互聯網雷達平臺”和“工控系統行業漏洞庫平臺”，企業可以掌握自身工控資產網絡暴露情況，感知工控網絡威脅態勢；監管機構可以實時了解接入互聯網的工控設備數量及地理位置分布，掌握重要工控漏洞的影響態勢，進行工控網絡安全監測預警和應急響應。

發布會后，姜立群接受本刊采訪。

智能制造：一些企業的業務部門對工業網絡安全威脅缺乏充分認識，您對企業工控安全建設有哪些建議？威努特能為企業提供怎樣的幫助？

姜立群：工業控制系統的網絡安全由于是保障性的，并不像建設業務系統那樣立竿見影，因此沒有得到一些企業充分重視。像電力、石油石化、軌道交通和智能制造等很多行業的工業控制系統，都屬于國家關鍵信息基礎設施，2017年6月1日正式實行的國家《網絡安全法》，對其信息安全是有明確要求的；2017年7月1日起施行的工信部《工業控制系統信息安全事件應急管理工作指南》，對工控系統安全監測預警、應急響應都有了詳細規定。落實法規政策，將是這些企業接下來的一項重要工作。

但是，工業控制系統的網絡安全建設也不可能一蹴而就，如果選擇的方案和產品與業務系統兼容性不夠，沒有經過充分的驗證性測試，將對業務系統的正常運行產生不可控的后果。所以，我建議企業在考慮工控安全建設時，按如下步驟進行。

先做安全自查，使用我們本次發布的兩款平臺產品，通過“工業互聯網雷達平臺”自我檢查企業工業控制系統有無暴露在互聯網上的設備，通過“工控系統行業漏洞庫平臺”查找使用的設備型號有無已知漏洞存在，來對企業自身安全狀況有個初步認識。

再做安全服務，包括安全培訓、現狀調研、風險評估以及安全測評等服務，增強人員的安全意識，了解國家政策法規對本行業工控安全的要求；摸清本企業工控系統的安全現狀，以及與政策法規要求的差距，為后續網絡安全建設提供現實依據。

最后做安全建設和實施，根據前期調研和評估的情況，選擇適用于本企業的網絡安全解決方案，選擇經本企業工控系統或類似工控系統驗證過的網絡安全產品，并選擇專業的實施團隊進行部署實施，以保障網絡安全建設在保護工控系統的同時，不會對業務系統產生影響。

我們威努特除了本次發布的兩款平臺可用于企業安全檢查外，還能夠提供專業的安全服務，包括安全培訓、安全調查、風險評估、安全滲透、安全測評和安全體系規劃設計，協助企業遵守法律規定要求，做好網絡安全頂層規劃和設計，為后續技術改造提供理論基礎。

威努特還提供與業務系統深度融合的技術方案。我們對很多行業的業務流程和網絡結構進行深入研究，基于不同行業的業務模型設計網絡安全方案，并且已經在很多行業部署實施，在全國有上百家案例，產品已經在電力、石油、石化、燃氣以及軌道交通等多個行業廣泛應用。

智能制造：目前工業網絡安全解決方案實施過程中主要存在哪些難點？

姜立群：談到工控網絡安全解決方案實施過程中的難點，首先我們要明白工業網絡的要求和辦公信息網絡的要求是不同的。

工業網絡對可用性要求高，傳統信息安全要實現三個目標，即保密性、完整性和可用性，通常都將保密性放在首位考慮的，而工業網絡安全的目標順序正好相反，工業網絡安全首要考慮的是所有系統部件的可用性，然后再考慮完整性和保密性。所以傳統信息安全的技術可借鑒，但不能直接使用。

工業網絡對實時性要求高，控制系統要求響應時間大多在幾十毫秒以內，而辦公信息系統的實時性可接受秒級的響應。所以在選擇工業網絡安全方案和產品時，需要充分評估安全方案對業務實時性的影響，嚴格選擇實時性較好的安全產品，導致可選擇的方案和產品較少。

工業網絡的個性化定制多，工業控制系統有很多行業屬性，不同行業有不同行業的業務場景、應用協議和軟硬件架構。所以每個行業在網絡安全建設時，常常面臨著無產品可選，無方案可用的尷尬情況，需要與安全廠商深度合作開發才能找到真正適合自己業務場景的安全方案和產品。

工業互聯網建設最大的瓶頸就是安全問題，安全問題不解決，企業很難將工業網絡互聯互通，很難將生產數據共享匯集，很難將業務流程智能優化。要建設工業互聯網，首先得打消業務部門對安全的顧慮，找出不影響業務的安全解決方案。另外，解決工業互聯網智能和安全的融合，也是企業深入實施的一個難點。企業的智能化和網絡安全系統往往是各自發展的兩條線，彼此之間沒有包容。比如智能機床，計算資源本來就緊張，如何在不影響性能的情況下解決安全問題？威努特在這方面已經做出了巨大突破，和智能云科合作，面對極大的困難考驗，成功把安全融入到智能機床設備，為行業做出了從0到1的示范。

智能制造：企業在籌劃工業網絡安全方案時，除了選擇常規的安全產品和技術，還有哪些更先進的產品和技術可以考慮？

姜立群：目前很多企業做網絡安全方案時，考慮更多的是合規要求，選擇工業防火墻、監測審計、主機防護等常規類安全產品進行方案部署和實施，研究型和態勢感知類產品目前較少選擇。工業控制系統一般都屬于關鍵信息基礎設施范圍，網絡安全法對關鍵信息基礎設施要求在網絡安全等級保護制度的基礎上，實行重點保護，所以企業還應該考慮如何實行重點保護。前面提到的《工業控制系統信息安全事件應急管理工作指南》中，對工控安全應急技術機構有明確要求，負責工控安全風險監測、態勢研判、威脅預警、事件處置等工作，這個要求對其他規模較大、技術實力較強的工業企業也有較強的借鑒意義。我的意見，企業在選擇常規安全產品和技術以外，應該逐步選擇一些監測預警、態勢研判類產品和技術，使自己逐步具備較強的安全事件應急處理能力。

此次工博會威努特發布了兩款引領工控安全新方向的平臺類產品就是此種類型，一個是工業互聯網雷達平臺，另一個是工控系統行業漏洞庫平臺。工業互聯網雷達平臺主要用于探測暴露在互聯網上的工業控制設備、工業系統的工作站和服務器、組建工業網絡的網絡設備，并深入探測這些設備的漏洞情況，提供基于地理區域、工控設備類型、工控協議等多維度進行態勢分析，提供企業版用于企業自身內部部署。工控系統行業漏洞庫平臺用于收集、整理和分析工控系統的漏洞信息。目前該平臺是國內工控漏洞最全面的平臺，為關注工控的用戶提供詳實的漏洞數據和分析數據。

智能制造：威努特工業網絡安全產品和技術目前的市場情況如何？具有哪些優勢？

姜立群：近年來威努特一直在工控安全領域深耕細作，獲得多個政府部門和眾多客戶的高度認可。是國家工控安全實驗室理事單位，工控安全相關國家標準制定的重要參與者和推動者。被公安部授予工控安全技術支撐單位，參與了2016年全國網絡安全大檢查，受邀保障杭州“G20峰會”、“一帶一路”國際合作高峰論壇和十九大。威努特在國內首家提出工業網絡安全“白環境”解決方案，迄今已有百余家成功案例，落地項目及市場占有率在國內遙遙領先。

威努特的優勢有以下幾點：一是解決方案覆蓋全，擁有電力、石油、石化、市政、煙草、化工、軍工、軌道交通等十幾個主流行業的定制化解決方案；二是團隊技術實力強，擁有一支由資深安全專家、自動化專家、高級產品研發工程師、優秀企業管理人才組成的專業化團隊；三是專注，自成立以來，一直堅持在工控安全領域深耕細作，堅持主航道不動搖，有戰略定力，做到專注專業專心，也成功收獲了客戶的贊譽和認可。

智能制造：您認為工業網絡安全的發展態勢和未來技術趨勢是什么？

姜立群：工業網絡的發展，會逐漸打破傳統各個工業企業的信息孤島狀態，工業互聯網時代，會極大的縮短最終消費者需求和產品開發間的距離。工業網絡安全的發展，從應用場景角度分析，應該是以控制系統的核心安全為基礎，向業務系統整體安全發展，再到整個工業互聯網安全的趨勢。目前做工業網絡安全大多數方案還局限于保護整個工業流程里面的一個環節、一個子系統的安全，對于不同業務系統對接考慮較少，對于互聯網接入環節考慮的更少；未來隨著工業互聯網技術發展，在保護基于底層關鍵控制系統基礎上，會結合業務全流程模型，構建業務系統整體安全防護體系，即由工控網絡向工業互聯網轉變。

未來的技術趨勢，應該是在當前常規安全防護產品和技術的基礎上，向工控威脅情報收集和態勢感知的方向發展。常規安全產品是軀干和四肢，是執行單元；而威脅情報和態勢分析是神經和大腦，是決策單元。威努特正在做這方面的技術研發，本次工博會發布的這兩個平臺產品就是在掃描互聯網上的安全態勢，為常規安全產品的策略部署提供決策依據。

后記：

安全是發展的前提和保障。安全的工業互聯網平臺對于促進“互聯網+先進制造業”的發展具有重要的作用。10月30日，國務院常務會審議通過《深化“互聯網+先進制造業”發展工業互聯網的指導意見》。安全保障方面，重點加強工業互聯網安全技術手段建設，形成國家、行業、企業協調聯動的工業互聯網安全工作格局，建設覆蓋產業全生命周期的安全保障體系。