家门要上锁，工控安全不再当摆设

    2014年11月，当索尼公司正紧锣密鼓地公映《刺杀金正恩》时，其网络遭到自称“和平护卫队”的黑客团体的攻击，从员工安全信息到影视“大佬”们的“敏感”邮件，再到海量新片种子、电影剧本、索尼高管薪酬的详细构成等信息被大量泄露。.此消息一出，业界哗然。

    然而，无独有偶，圣诞节前，又一道关于网络安全的“暗黑料理”被端上餐桌：节前发布的报告指出，有黑客攻击了德国境内的一间钢厂，入侵造成了物理设施的损坏，并干扰了工厂的控制系统，使得高炉无法正常关闭，导致严重的经济损失。相比于索尼事件，这起网络攻击更为严重，因为这是第二起经证实的、完全由数字化手段攻击导致设备出现物理故障的事件。类似的事情此前只发生过一次，即美国在2007年末或2008年初对伊朗铀浓缩工厂发动的“震网”攻击。

    时隔六年，工业控制系统安全再次被敲响了警钟。当今的工业控制系统安全，已经不再是“老系统碰上新问题”那么简单，而是传统信息安全问题在工业控制领域的延伸。信息技术为传统工业控制系统优化升级提供了重要的支撑，但与此同时，网络威胁对工业控制系统的冲击呈现出愈演愈烈的发展态势。

长期夜不闭户 工业系统内忧外患 

    传统的工业控制系统的网络，安全防护多采用的是隔离网关加杀毒软件的方式：控制网对外基本“与世隔绝”，内部被认为是一个完全可靠的安全网络；各功能区域之间很少信息传递，就像是个世外桃源——鸡犬之声相闻，老死不相往来。加之，各个主机由于系统漏洞长期不打补丁、杀毒软件病毒特征库长期得不到升级，处于“夜不闭户”状态的工控网络，内忧比比皆是。

    在大数据，物联网大行其道的情况下，为了方便数据采集与监控系统更好地收集数据，并同时确保各组件之间通信的顺畅，工业控制系统的网络架构在不断地更新换代中正在变得越来越开放。然而，这种开放在为工业用户提供方便的同时，也降低了工业控制系统与外部网络的隔离程度。开放性的提高使得工控系统在面对具有针对性、不断升级的攻击时显得愈发脆弱。过多地重视它的开放及兼容程度所带来的效率和实时性，使其安全性则被置于次要地位。当系统的高可用性和业务的连续性成为系统的关键设计理念时。工控系统就更加难以形成有效的工业安全防御和数据通信保密措施了。就像桃源通了公路，“外来人口”大量涌入，从而使得外患接踵而至。 因而，“无为而治”的防护方式必须加以改变。

工业4.0来袭  猪飞完也得着陆

    继蒸汽机、大规模生产和自动化之后，工业“4.0”风暴席卷而来，引领整个工业行业向着高度信息化、自动化、智能化方向发展。工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。

    话说，只要站在风口，猪也能飞起来，泛工业4.0概念在世界各国蔓延，如美国的工业互联网、中国的两化融合等。然而，工控安全风险的抵御能力是企业安全保障体制的重要一环。以智能化为核心特征的工业4.0的蓝海中，工控安全无疑是这个安全绳上最粗的一股。业界更该思考、准备的是风过后，如何安全着陆。到那时，谁有降落伞，谁有安全绳则一目了然。

    以工业4.0的鼻祖——西门子为代表，西门子工业信息安全解决方案作为是全集成自动化（TIA）的重要组成部分，可以针对不同的工业客户提供量身订制的服务。从风险评估、方案制定，到后期项目实施，西门子能够提供从产品到服务的全方位支持，包括对与办公室 IT 和因特网和企业内网互联的接口进行明确定义，并对其进行监控；它在自动化和驱动组件中，利用集成安全防护功能保护控制级，并监控所有系统的通信。

西门子工业信息安全实验室成立剪彩

    2014，西门子工业信息安全实验室成立。作为首家由企业建立的工业信息安全实验室，该实验室具备技术展示、创新研发和安全测试等功能。在国家部委和相关安全机构的指导下，实验室将协助客户提高其工业控制系统的信息安全水平。西门子认为，强化工业信息安全，是一个从意识培养开始，涉及到管理、流程、架构、技术、产品等各方面的系统工程。而在整个工业基础设施生命周期的各个阶段中持续实施，并不断改进工业信息安全防护手段，这或许是西门子建立该实验室的初衷所在。

    关于落实工业信息安全的问题，另一个代表则是施耐德电气。施耐德电气从2013年开始正式向客户正式推出“设备级、系统级和管理级”的三级纵深防御体系。很快，整改工作起到了示范作用，随着可靠和完善的解决方案在大型电力企业中的成功应用，施耐德电气的工控系统信息安全解决方案被国家能源局推广到了整个电力行业。2014年4月，施耐德电气加入了“工业控制系统信息安全产业联盟”，成为迄今为止唯一的一家外资企业。

施耐德电气全球首款ePAC产品——莫迪康M580

    施耐德电气正在设备级层面持续加强自身产品的安全防护特性，并帮助用户加强设备级的防护水平，它正是三级纵深防御体系的基础和核心。举例而言，施耐德电气全球首款ePAC产品——莫迪康M580通过了中国电力科学研究院的信息技术产品安全性检测。莫迪康M580 ePAC产品是继2012年施耐德电气成功获得国家权威信息安全测评机构对莫迪康昆腾PLC产品的安全性认证之后，旗下的最新PLC产品再次获得权威检测机构的认可。目前，施耐德电气的多款PLC产品通过权威测评机构的检测，这足以证明施耐德电气PLC产品本身集成的、完善的安全性功能可以有效应对信息安全入侵，保障工控系统的信息安全。

市场布局期 国内企业动作快

    在外资生产企业都把工业控制系统安全防护建设提上了日程时，我国也逐步增添了对工业控制系统信息安全问题的重视。信息化与工业化深度融合的大环境之下，我国所面临的信息安全问题的形势严峻，除此之外，在管理制度、相关标准规范、技术防护措施、安全防护能力及应急处置能力上，我国的工业信息安全的防护水平较之国外仍需提高。

    2014年8月8日，工业信息安全市场蓝海中的“定海神针”——《2014年工业控制系统信息安全蓝皮书》由工信部电子科学技术情报研究所正式发布。  蓝皮书中显示，基于国内目前工业安全产品而言，主要以工业防火墙和工业隔离网关等硬件产品为主，专用杀毒软件、嵌入式模块产品及安全服务产品尚处在初步导入期。其他比如入侵防护、安全审计、现场运维管理平台、工控可靠性安全管理平台等产品处于产品布局期。 市场上现有厂商以工控背景的信息安全供应商为主，传统工控类信息安全供应商介入速度加快，包括启明星辰、三零卫士、青岛海天炜业、天融信、东土科技等20余家。

    从这些企业的名称当中我们不难发现，大部分都是国内品牌。而其产品性能也是可见一斑。举例而言，在去年8月所举办的三零卫士2014工控信息安全产品渠道发布大会中，三零卫士工控信息安全监控系统V2.0正式发布，V2.0与V1.0相比，性能提升了3倍，同时能够应对超大流量的统计。不得不提的是，它对50多种主流工业协议的解析及对OPC的解析的能力，堪称同类产品之首。除此之外，具有低功耗、无风扇设计，并支持多口、Bypass及安全审计等功能的青岛海天炜业Guard工业防火墙是国内首款具备自主研发技术的新一代工业协议增强型防火墙，可谓开辟先河。

青岛海天炜业Guard工业防火墙

    基于市场而言，蓝皮书中还显示，目前国内工控市场规模不到2亿元，仅占信息安全整体市场1%， 其重点发展行业为油气、石化、化工、冶金、烟草等，其他行业市场规模相对较小。但是近年来，工控事故频发带来了工控改造的巨大需求，目前MES市场空间在10亿元以上，EMS市场空间在30亿元以上。未来，工控安全这块市场“蛋糕”将会越做越大。

    “锦上添花”还是“雪中送炭”？安全已不再是产品的附加值，而成为了产品本身的必要属性。站在技术浪潮风口浪尖的工业制造，保证控制系统的安全，才是维持企业良好运营的不二法宝，毕竟，只有退潮后，才知道谁在裸泳。(GK-CJT)