近日，由中國電子信息產業集團有限公司和海寧市政府主辦，海寧市經濟和信息化局、海寧市科學技術局、杭州灣生態智造新城、中電港承辦的“IAIC信息安全高峰論壇暨中國芯應用創新設計大賽信息安全專項賽”于浙江海寧成功舉辦。

　　中國電子信息產業集團有限公司第六研究所工業控制系統信息安全技術國家實驗室副主任蘇培培做了題為《構建多層次工業互聯網安全保障體系》的演講。

　　中國電子信息產業集團有限公司第六研究所工業控制系統信息安全技術國家實驗室副主任蘇培培

　　工業控制系統信息安全技術國家工程實驗室設立初衷

　　蘇培培介紹道，目前該實驗室是國內唯一一家專注于工控系統信息安全技術的國家實驗室，以工控系統及安全為引領，依托于工業控制系統信息安全技術國家工程實驗室，開展包括網絡安全技術研究和支撐政府網絡安全工作，承擔國家網絡靶場任務，提供信息安全測評認證。布局包括全國產化金融設備、軌道交通及先進智能制造三大重點產業，保障國家關鍵信息基礎設施信息安全。

　　其中重點職能是致力于工業系統的安全技術標準研究，此外還包括人才培養，技術孵化，實現工控系統 “可發現、可防范、可替代” 的三大安全戰略任務。

　　2016至2018三年間，實驗室已經累計完成15省300套工控系統的安全測評及咨詢服務，服務企業近百家，行業涉及電力、核電、軌道交通及石油石化等多項重點工程，檢測的工控系統供應商包括艾默生、ABB、施耐德、日立、和利時、新華、國電智深等國內外知名公司。

　　信息化發展給工控安全帶來諸多挑戰

　　“沒有網絡安全就沒有國家安全。”自2013年11月12日成立中央國家安全委員會之后，關鍵信息基礎設施安全成為了網絡安全的重中之重，網信辦、工信部等部委圍繞信息安全工作出臺了一系列的政策，提高了全社會全行業的網絡安全意識。

　　蘇培培表示，典型的企業生產及制造系統的架構包括現場設備層、現場控制層、過程監控層、制造執行系統層、企業管理層以及外部網絡，通常認為以制造執行系統層（MES）為分界，向上為信息管理系統，向下為工業控制系統。

　　目前工業系統和信息系統的融合演變越來越多，從最早的封閉式系統，轉變為與企業信息系統的集成，遠程維護的支持并且延伸到整個工業物聯網的概念，一方面有利于遠程控制技術的發展，但同時也帶來了巨大的安全隱患。

　　針對具體的隱患，蘇培培指出，首先是工控系統已成為黑客攻擊和網絡戰的一個重要目標，據卡巴斯基實驗室統計，僅2017年的上半年就發現了18000種針對工控系統的惡意軟件；第二是核心技術產品自主可控程度地，受制于人，尤其是涉及到國家基礎設施的精密設計，核心設備，產品和技術依然受制于國外；第三，工業終端控制從閉環走向開放，面臨著新的安全互信問題；第四，缺乏工業互聯網安全的高仿真環境；第五，工業大數據作為企業的核心資產，面臨著嚴峻的安全風險。

　　“我們的云大物移等技術應用一方面是促進了技術的發展，同時它也增加了工業處理流程的開放性和不確定性，使風險進一步集中和放大，工控系統如今正面臨著嚴峻的安全挑戰。”蘇培培舉例道，包括震網病毒Stuxnet對伊朗核設施的打擊，BlackEnergy對烏克蘭電力系統的攻擊，ClearEnergy對PLC的攻擊，WannaCry給臺積電帶來的損失等等。 “過去早期封閉的工業系統中的病毒是非常少的，但隨著時代的發展，工業病毒已經演變成一個網絡武器，這是之前所始料未及的，會被黑客利用進行情報采集，滲透潛伏，精確打擊等，這些都會破壞我們的工業基礎設施。”

　　令蘇培培感到擔憂的還有，目前我國高端工業設備控制系統普遍是采用的國外品牌，包括機床、發電設備、機器人等等。目前我國工業系統中有超過90%的PLC和超過65%的操作員站都采用了國外產品。而這些產品往往因為需要廠商的遠程維護，必須支持遠程訪問端口。這就給系統帶來很大漏洞后門風險，容易受到旁路控制，拒絕服務DoS甚至信息泄露等風險。

　　據悉，行業內已發生了多項事故。據報道，曾經有一家軍工企業采購了一臺高端的數控機床，在廣州工廠調試正常，但是將設備拉到蘭州工廠后卻無法使用，究其原因，原來是機床的信息系統自動將位置信息傳給了供應商，因為更換使用地址而被供應商鎖定停機，這種狀況表明這臺機器在使用過程存在巨大的安全風險。

　　新思路保障工控領域端云一體化的安全

　　目前工業客戶正在廣泛采用云端技術，從封閉走向開放的過程，以前的物理隔離將會完全暴露在互聯網這個大環境中，而當前最缺乏的就是端云協作的整體安全解決方案，該方案需要支持異構，多樣化協議且功能迥異的工業終端平臺。

　　“安全的平臺方案是端云深度融合的基礎和先決條件，我們需要新思路來應對信息系統安全及公共安全的深度融合。”蘇培培指出，“目前工業信息安全漏洞數量連年遞增，已經類似于十幾年前計算機面臨的安全大環境。且半數以上的公共安全漏洞屬于高危漏洞，PC機中毒大不了重啟系統然而工業系統出現漏洞攻擊之后，會導致嚴重的停產，涉及國計民生安全。”

　　同時，目前的工控漏洞呈現多樣化碎片化的特點，并廣泛分布于各個重點領域，很難通過統一的技術解決。而最后，工業只是對實時性、功能性及可靠性要求較高，更新頻率不高，因此漏洞從發現到修復的整體進程非常緩慢。 除此之外，工業大數據已成為網絡攻擊的顯著目標，業務數據的敏感性吸引了各類網絡攻擊，隱私泄露、存儲風險以及APT攻擊都是大數據所面臨的風險。

　　為此，蘇培培建議搭建完整的工業安全實驗室，通過實驗檢測評估，攻防演練，公共態勢感知平臺以及安全監測溯源系統等，解決公共信息安全漏洞檢測、驗證與修復等問題，逐步清除工業互聯網的安全隱患。

　　一種多層次的公共安全保障體系

　　工業控制系統信息安全技術國家實驗室正在推出一種多層次的公共安全保障體系，貫穿了整個工業安全運行服務的全生命周期，覆蓋了設備安全，控制安全，網絡安全，數據安全，應用安全，管理安全等多方面。

　　首先在設備層面，通過國產飛騰CPU，麒麟OS，自主存儲芯片，安全芯片及工控仿真環境，確保了底層的自主可控；其次，通過工控感知態勢平臺圍繞著漏洞管理、審計溯源、云端可信認證、大數據安全保護等，實現了數據、網絡、控制等容和安全。第三則是驗證平臺，建設了工控網絡靶場實現大規模工控場景技術的靈活構建，場景化的工業控制行為仿真模擬以及實現工控系統智能、自動攻擊測試技術。第四是實驗室會通過安全咨詢、風險評估、滲透測試、培訓等方式，培養企業內部的安全運維意識。

　　其中靶場是該實驗室的重點項目，其本質是一個攻防平臺，通過互聯技術，基于真實的功能資源，搭建了兩級公共安全服務平臺，一級平臺是覆蓋了通用的工業控制系統，通過資源池及通用安全的防護設備來實現。第二級平臺則涵蓋了重點行業的專用設備和專用軟件。

　　談及建設靶場的原因，蘇培培說道，首先無論是電網、水利工程、軌交、核工業、化工等場景，進行檢測、掃描及攻擊測試時，不可能基于實際的產線進行測試，真正的實景測試只能在設備剛剛安裝之后或者是換修期進行測試，這就給測試帶來很多不便。而隨著互聯網的快速發展，攻擊手段不斷演進，必須要進行頻繁的攻防測試演練，以驗證防護手段，這就需要靶場的建設。

　　據悉，目前實驗室已經在軌交、電網、智能制造系統等領域構建了測試床和靶場，目的是發現信息風險漏洞并解決，從而為維護設備的安全運行提供技術保障。

　　“目前我們的業務合作單位非常廣泛，包括各大能源集團，電網等，最終是為了解決信息安全和功能安全在國計民生相關領域的深度融合問題。”蘇培培總結道。