从霍尼韦尔收购工业网安公司Nextnine“脑洞”下去

当我们怀抱“物物互联”的美好愿望时，工业网络安全或者说工业信息安全问题却总在美梦酣畅之时不断以“令人憎恶的面貌”为人们敲响警钟。

“据美国ICS-CERT统计，2016年全球范围内共发现187个工业控制系统漏洞。”中国科学院院士、北京航空航天大学副校长房建成说，仅2017年第一季度，国家信息安全漏洞共享平台就爆出我国新增工控系统行业漏洞30个，其中半数以上是高危漏洞。

圈内圈外找帮手

6月初，圈外的微软宣布收购以色列网络安全公司Hexadite。Hexadite创建于2014年，其主要任务不是防御网络攻击，而是迅速识别和解决网络攻击。这不禁让工控小编联想到5月12日“WanaCrypt0r 2.0”对包括中国在内的99个国家和地区的7.5万+Windows用户实施“暴击”。当时谁能“亡羊补牢”，则名利双收。

6月21日，圈内的霍尼韦尔发声表示已签订收购工业网络安全领军企业Nextnine公司的最终协议。Nextnine的旗舰技术ICS Shield可以保护工业生产设施免受网络安全攻击，并对资产进行远程监控。ICS Shield解决方案已应用于全球6200多个生产基地，遍及石油天然气、公用事业、化工、采矿和制造业。不难想象，Nextnine的加盟，将进一步扩充霍尼韦尔广泛的网络安全产品组合。

他山之石以燎原

企业层面点点星火，国家力量则能燎原。在寻找前行者之经验时，工控小编必须拎出两大代表——美国和以德国为代表的欧洲。在“工业3.0”中，前者高举互联网旗帜，在新一轮全球工业转型升级中大打“工业互联网”信息技术牌；德国则以自动化为标杆，不断深扎工业基础。

在工业互联网网络安全相关的法律政策层面，就能看出两大代表各有侧重：美国于2016年11月发布了《制造业与工业控制系统安全保障能力评估》草案，以帮助制造商及化工厂等使用特殊计算机化生产流程的从业企业预防在线攻击活动；欧洲网络与信息安全研究局于2013年发布了《工业控制系统网络安全白皮书》，旨在对全面预防和防御数据采集与监视控制系统（SCADA）遭受网络攻击提出建议。

在建立工业互联网安全技术支撑手段方面，美国成立了专门负责工业控制系统安全研究的重点实验室，主要包括爱达荷国家实验室、桑迪亚国家实验室、太平洋西北国家实验室、阿贡国家实验室、橡树岭国家实验室和洛斯阿拉莫斯国家实验室，研究范围涵盖工控安全标准/协议制度、工控威胁和脆弱性研究、安全控制技术研发等。欧盟2013年建设了ScadaLab实验室，建立了若干工业控制系统信息安全测试床，拟为各成员国提供测试评估等技术支撑。同年，西班牙政府专门成立了工业网络安全中心，解决国家关键信息和通信技术中存在的网络安全漏洞。

抱团防御降风险

中国并非无动于衷。6月8日，国家工业信息安全产业发展联盟（简称“联盟”）在京成立。据悉，目前联盟首批成员单位已达149家，包括神华集团、中车集团、航空工业、中国兵装、中国电子信息产业集团等18家副理事长单位，中核集团、中船重工、中石化、中钢集团、中国烟草等45家理事单位。

从成员单位身份来看，工业控制系统生产制造和应用运行的企业，以及工业信息安全技术与产品研发和服务的企业、高等院校和科研院所皆入盟内，以政产学研用高效联动模式展开工业信息安全产业的技术研发、标准化、试点示范、公共服务平台建设、国际交流合作等工作。

联盟的成立已跨出成功一步，但前路漫漫，仍需从法律政策、管理体制、标准规范、技术手段等方面打造统一的、贯穿产业全生命周期的工业互联网安全保障体系。（文/gongkong张丽莹）

（部分内容参考重庆大学制造业信息化工程技术中心主任尹超博士公开著作）