自主可控
——工業互聯網的安全閥

編者按：工業互聯網作為新一代信息技術與制造業深度融合的產物，近年來呈現出蓬勃發展之勢，但隨著越來越多的工業控制系統及設備與互聯網連接，開放互聯的環境使工業互聯網安全問題日益凸顯。據統計，在過去一年，國家信息安全漏洞共享平臺收錄了100余個對我國影響廣泛的工業控制系統的軟件安全漏洞。工控安全的發展與研究是工業互聯網安全的關注重點之一。在中國信息協會信息安全專業委員會2018年會暨第八期網絡安全創新發展高端論壇上中國電子信息產業集團有限公司第六研究所副所長、工業控制系統信息安全技術國家工程實驗室常務副主任張尼強調了自主可控對工業互聯網安全的重要性，本刊擷取部分內容，以饗讀者。

工控系統的趨勢與挑戰

工控系統分為離散控制、過程控制、運動控制三類，工控系統廣泛應用于能源產生與輸送分配，例如：交通行業、物流行業等大量使用的都是這種控制系統。在前工業4.0時代對于安全的考慮非常少，這主要源于兩個前提假設，一是物理隔離，二是所有協議、業務邏輯相對簡單。工業4.0時代，隨著智能化、信息化的發展，更多的軟件聯網、終端與云連接，當各種終端與網絡連接，安全問題則需要高度重視，如何安全保護我們關鍵的基礎設施？

首先，從頂層開始，國家越來越重視網絡安全問題。無論是法規、指南、計劃等都將公共安全提升到國家戰略層面。科技部連續兩年將工控系統安全當作網絡空間安全的重要方向。

當前工控系統的安全面臨諸多威脅與挑戰。第一，最主要的挑戰是工控系統成為國家級黑客的主要目標。攻擊工業控制系統不是病毒，而是網絡武器。第二，核心技術的自主掌控。第三，工業終端從閉環走向開環，這是一個新問題。隨著新技術不斷演進、更新換代，必然面臨著安全的陣痛。第四，工業互聯網的安全仿真環境。工業環境門檻高，測試平臺的搭建成本高。第五、工業大數據。大數據平臺是互聯網化的，有存儲、采集、挖掘、分析、發布、共享一系列的流程。對工控系統來說，這種開放互聯的環境對工業互聯網的安全來說都是挑戰。

云計算、大數據、物聯網增加了工業處理流程的開放與不確定性，安全風險進一步集中，工控系統的安全不是一個小安全的概念，而是需要一個深度的安全防御體系。

安全防御策略

面對諸多挑戰，如何應對？

第一，自主可控，不是網絡安全的概念，是一個大安全的概念，是安全的外延。談自主可控，大家都非常支持，但是落實到自身實際很難實現。自主可控并非所有都自主可控，全球的工業發展是一整個的產業，是允許產業之間交融的，所以核心的東西我們需要自主可控。

第二，自主可控的關鍵還表現在維護升級不受制于人，卡脖子、牽鼻子的狀態必須要擺脫。例如：設備層面一些小的設備、智能化的設備、在現場起關鍵作用的設備盡量用自主可控的東西替代。PLC、交換機、路由器、服務器都是關鍵的、核心的網絡設備，這些都需要自主可控。

第三，自主可控不等于安全，事前的態勢感知是安全防護的一環。工業安全設備有很多專業經驗和知識，安全防護一定要結合每個行業的業務。

一方面是信息的安全，一方面是自主可控的安全，兩條路融合之后要經過若干年，達到一種平衡，我們可以一邊發展、一邊能夠保證安全，現在的安全保障不是保障不出故障，而是保障不被敵對勢力盯上。

總體而言，自主可控的關鍵是應用。大規模的應用，一定要有真正的用戶，安全設備，用得越多才證明越可行，才是真正落地。信息安全一定要與現場安全痛點相匹配，安全要同步規劃、同步建設。