两化融合关键阶段 工控系统神经中枢遭威胁

中国制造正处于“两化融合”发展的关键阶段，智能化、自动化程度的加深，使工业控制系统不断开放，迫使工控系统“神经中枢”面临着日益严峻的威胁。

当前，全球正出现以信息网络、智能制造、新能源和新材料为代表的新一轮技术创新浪潮，中国制造业也正处于“两化融合”发展的关键阶段和提升的重要时期。值得警惕的是，制造业智能化、自动化程度的加深，使得一直以来相对封闭、专业和安全的工业控制系统不断开放，不再是一个“孤岛”，设备的高危漏洞、后门、工业网络病毒、高级持续性威胁以及无线技术应用带来的风险，迫使工控系统“神经中枢”面临着日益严峻的威胁。

制造业面临的工控网络安全威胁，是全世界面临的一个共同难题，对于一些工业强国如德国、美国、日本等，也面临着此类问题。2010年，美国一家安全威胁调查机构对本国100家发电机制造企业专门做过一次渗透性的安全测试，结果在这些企业的工控系统中发现了3万8千多个安全漏洞。在美国，这些漏洞从被公开到在现实生产环境中被发现，平均要经过331天，最长要经过1100多天。也就是说，利用网络攻击手段进行犯罪的组织、黑客会有足够的时间，短则一年长则三年，对已知的工业控制网络漏洞实行渗透和攻击。

“在先进制造业升级中，如果缺乏安全防护机制，一切发展创新以及效益提高，都将可能为黑客组织恶意入侵提供机会。”在近日举行的“2015先进制造业大会”上，匡恩网络副总裁何江的发言获得与会者一致认同。

那么，如何利用这些漏洞进行网络攻击呢?何江介绍了三种主要途径：第一，介质攻击，比如通过U盘等存储设备的插入，将病毒传入工业控制系统。第二是边界攻击，比如通过网络互连、实时数据采集，使用智能移动终端实时查看、管理生产数据，均会带来大量的网络外延攻击威胁。第三是水坑攻击，黑客通过分析被攻击者的网络活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击。

自从2010年“震网病毒”发生以来，工控系统的网络攻击快速升级到APT2.0(AdvancedPersistentThreats,高级持续性威胁)时代，攻击行为已经出现在多种工业领域中，比如轨道交通、电力、石油石化、烟草、制药、医疗系统等等。在一家烟草企业，烟机经常出现不明原因的停机，每次停机都会造成巨大的经济损失，但是该企业经过多次生产检查都无济于事，最后通过专业工控网络安全厂商的漏洞挖掘检测才找到了问题。

实际上，工控网络安全问题不仅是制造业领域的技术问题，它与社会大众的现实生活也正产生越来越多的联系。2013年发生在美国连锁超市Target身上的客户信息泄露事件就说明了这一点，黑客组织通过Target超市的智能联网系统，从空调端口侵入信息系统，盗窃了超市客户4000万张借记卡和信用卡信息。在一家制药厂，利用控制系统中的安全漏洞篡改任意一个工艺参数，都有可能导致正在生产的药品作废，更严重的是，目前这种漏洞并不是每次都能被发现。

大量惨痛的教训说明，在工业智能化、物联网和智慧城市的推进过程中，工业控制系统的信息安全已然成为水桶上“最短的一截木板”。

能否用目前成熟的互联网安全防护手段对工控网络进行安全防护呢?答案是否定的。工控网络的特点决定了，基于办公网和互联网设计的信息安全防护手段(如防火墙、病毒查杀等)，无法有效地保护工控网络的安全。与互联网相比，工控网络存在网络通讯协议不同、对系统稳定性要求高、系统运行环境不同、更新代价高、网络结构和行为稳定性高等特殊性。何江表示，在“两化融合”背景下，传统的信息网络安全防护手段以及现有的工控网络防护手段，在APT2.0时代的攻击面前已经成为“皇帝的新衣”。

何江用“矛”和“盾”形容匡恩网络推出的覆盖全生命周期的工控网络安全产品。其中，以漏洞挖掘检测平台为代表的“矛”，能为客户发现工业控制系统中的漏洞，不是比对漏洞库进行简单扫描，而是利用匡恩网络的独有技术针对漏洞做深入的行为分析，对其行为模式、产生的后果、根源进行深度解析，然后再采取应对手段。“盾”包括安全监管平台、监测审计平台、智能保护平台等，针对APT攻击进行安全防护和保障。此外，匡恩网络的保护平台本身具有自学习功能，除提供黑名单外也提供白名单，有了白名单，就可以知道哪些行为、哪些协议是正确的，是可以接受的，这满足了工业控制网络的特殊需求，最后匡恩网络会帮助用户建立一个“定制化”的安全数据中心。

工业控制系统的网络安全，对于保障国家工业基础设施安全，推进“信息网络技术”革命，实现先进制造业的转型升级意义重大。据市场调研和咨询公司MarketsandMarkets的一份研究报告称：到2019年，全球工业控制系统(ICS)安全市场总价值将达87.3亿美元。因此，工控系统网络安全行业在面临着严峻挑战的同时，也迎来了前所未有的广阔市场机遇。