【編者按】在“新基建“浪潮的推動下，中國工業互聯網產業發展駛入快車道。原本處于”孤島狀態“的工業控制系統暴露在聯網環境下，不可避免地要面臨嚴峻的信息安全風險考驗。如何建設完備的工控信息安全體系已成為”新基建“領域的新課題，本刊通過專訪北京神州慧安科技有限公司首席科學家張友平，針對工控信息安全體系建設的重要意義、機遇與挑戰進行了深入探討，希望能夠為業界同仁提供實用的意見參考。

在工業互聯網快速發展的背景下，對工控系統安全技術的關注日益增強，您如何看待工控系統安全的重要意義，以及行業當前面臨哪些機遇和挑戰？

張友平：隨著國家新基建戰略的快速落地實施，5G、人工智能、云計算、大數據、區塊鏈等新興技術得以加速普及運用，工業控制系統安全面臨著前所未有的機遇與挑戰。

首先，前期工控系統的安全措施歷史欠帳很多。由于早期的工控系統追求簡單實用、快速小閉環控制，幾乎從未考慮過信息安全問題，因此大部分工業企業直至現在也沒有建成系統的工控安全體系。另一方面，工控安全產業在我國起步時間不長，隨著近幾年新基建的高速建設，同時疊加彌補之前安全建設的歷史欠帳，導致整個工控安全產業的供給側面臨嚴重不足。

其次，新興技術應用挑戰和對外技術高依存度并存。我國前期工業控制技術基本上都是依賴國外技術，造成產業鏈極度脆弱。在現階段，我們面臨的不單是追上新技術的發展，還面臨著如何迅速填補空白，實施信息產業創新，消除“卡脖子”的威脅和隱患等問題，實際上面臨著“追上”和“領跑”的雙重壓力和任務。

第三，國家戰略和經濟層面的支持使工控安全領域從業者面臨百年未有的機遇。作為工控信息安全供應商，唯有奮發圖強，以嚴謹的科學態度，發揮老一輩科技工作者創立的“兩彈一星”精神，完成工控安全體系建設的歷史使命，為國家關健基礎設施的安全保駕護航。

傳統工業控制系統繁雜而多樣，在實施數字化改造過程中，該如何分步驟來實施安全體系建設？

張友平：由于工業生產的分類、工藝、生產環境和產品形態的不同，系統集成商只涉足某一自己熟悉的工業領域，尚未出現在所有工業領域都能提供強大綜合服務的工控系統集成公司。工業控制系統形成了協議眾多、設備多樣、傳輸方式、控制模式五花八門等情況，系統參數不公開，標準不統一，橫向不打通。

這就形成了對安全公司業務部署的挑戰。要適應這種挑戰和需求，必須從以下幾個層面入手:

第一，熟悉工業生產領域流程，針對其生產過程的控制系統，訂制化設計工控安全體系。

第二，由淺入深，根據不斷增長的安全需求和不斷加劇的安全威脅，以及使用人員逐步提高的安全技術素質，來分步驟擴充安全域、確定實施策略的深度及廣度。

第三，根據實際需求，提供不同層面和維度的安全服務。

神州慧安公司從事工業控制系統安全防護工作多年，請問工業企業在進行安全體系建設方面，目前還面臨著哪些難題和瓶頸？

張友平：作為最早基于龍芯、飛騰和鯤鵬系列國產化處理器硬件系統開展技術研發的工控安全公司之一，神州慧安率先將工控安全系列產品和體系應用于煙草、電力等工業生產領域，通過安全系統部署實施和運維服務實踐，深刻體會到工業控制系統安全體系建設面臨重大挑戰，任重而道遠。

首先，工控系統運營者的信息安全的意識亟待提高，這成為探索高質量工控安全系統體系建設的最大障礙之一。

其次，工控安全與傳統信息安全在體系建設上區別巨大，傳統信息安全理念并不能照般適用于種類繁多的工控系統。

第三，由于國產化處理器大規模推廣應用的時間較短，創建安全產品及體系的道路仍面臨諸多困難，生態建設需做大量基礎工作。

第四，隨著新興技術不斷加速應用于工業控制系統，使得工控安全體系建設不斷迭代更新，因此滿足后期運維需求的難度、廣度、深度和復雜度逐漸增大。

眾所周知，過去幾年工控信息安全防護較多采用隔離分區和白名單等策略，面對工業互聯網新安全形勢，安全防護理念有何新變化？

張友平：第一代工控安全防護產品是由傳統信息安全產品轉化而來。由于以前的工控網絡絕大多數是封閉獨立的，安全設備普遍被設計為獨立工作，所以重點是網絡和主機的防護，關注點在于訪問控制，防犯的主要是病毒和人為不必要的有害訪問。

但是隨著工業互聯網的發展和智能制造需求，工業控制系統被置于一個廣域的網絡和泛安全層面，多種設備和軟件交織，威脅潛伏在海量的設備和軟件產生的數據中，極難篩選分辨。有些數據單角度看是正常的，但通過關聯分析和積累的大數據模型解析就會發現異常，再通過深度回溯挖掘和長時間監測，最終有可能被印證為潛在的威脅和攻擊。

所以，面對新的工業互聯網安全態勢威脅，我們要來用新的理念和對策才能正確應對。

第一，要建設零信任、全棧式、全系統的工控安全防護體系。

第二，要以發現未知威脅為主，已知威脅為輔的理念構建發現機制。

第三，要安全技術體系和安全服務體系同步構建。

第四，隨著工控安全需求的不斷發展，將傳統工控安全向工業互聯網安全和工業應用系統安全延伸。

第五，推進工控系統全系產品國產化和工控安全產品國產化，實現真正的自主安全，保障工業全線信息化體系基因安全。

近幾年，信息安全行業快速發展，在資本市場助推下已經有數家安全企業開始規模擴張，請問中小型工控安全企業將采用何種發展策略？

張友平：由于工業控制安全市場需求的爆發和產業供給側的嚴重不足，除了國家政策層面大力支持外，資本市場的先期啟動是這一產業的有力助推和保障。但是路怎么走，怎么才能快速發展壯大？

第一，不能走傳統安全賣產品的老路，過往不同的安全產品供應商在出現問題時往往相互推卸責任。這并不能從根本上解決客戶工控系統的安全問題。

第二，要根據工業產業的特殊需求，以訂制化的角度去構建工控安全體系。

第三，中小型安全企業要以聚焦安全服務為理念來經營，面向工控系統提供體系化安全服務。

第四，在安全技術研究方向上，要專注未知的威脅。基于基本防護理念，盡量不干涉原有的工控系統。

第五，不要急功近利，注重技術基礎和技術體系的積累，以求厚積薄發。

「編后：網絡安全技術是一種特殊的伴生技術，它隨著所服務主體對象的技術更迭而不斷發展，適用于原有服務主體的安全技術，并不一定完全滿足另一服務主體的需求。具體到工控信息安全領域，上述特征表現得更為明顯，工業控制系統安全解決方案必然呈現動態發展，工控企業向安全廠商以“購買安全服務”替代“購買安全產品”將成為未來市場主流趨勢。」

北京神州慧安科技有限公司2020年發展大事記

1月

●為“某省發電公司生產控制系統信息安全監管與預警平臺”項目提供產品技術及安全服務。

●為“某中煙公司工業控制生產系統安全服務體系建設”項目提供產品及安全服務，單體項目金額達千萬級。

5月

●公司總部遷入北京亦莊國家信創園，成為首批入駐企業，助力經開區信息產業發展。

●經龍芯中科的嚴格測試，取得了基于龍芯3A3000處理器的9款工控安全產品的《產品兼容互認證明》。

6月

●經飛騰公司的嚴格測試，取得了基于FT-2000/4和FT-2000+/64兩款處理器的9款工控安全產品的《產品兼容性證明》。

●榮獲“國家高新技術企業證書”。

7月

●正式加入北京信創工作委員會，與園區內企業開展協同協作。

8月

●公司9款工控安全產品與華為Kunpeng 920完成兼容性測試，被授予HUAWEI證書《鯤鵬技術認證書》。

●與安天科技簽署戰略合作協議，共同加強工控信創安全產品的互補研發，融合發展，共同構建綠色信創生態。

●啟動北京經開區科技創新基金的信創專項研發投資申報，多渠道挖掘行業資源。

●當選為能源信創工作組副組長單位，助力能源行業革新，為能源信創體系的加速落地貢獻力量。

9月

●參加“首屆2020全國信創產業生態創新大賽”，獲得最終優勝獎。

11月

●參加組建“工業互聯網底層技術信創工作組”研討，助力突破技術壁壘。

12月

●正式加入國家信創工委會，以實際行動支持信創工委會相關工作，共建工業互聯網創新生態圈。

●在“飛騰2020生態伙伴大會”全面展示基于飛騰平臺的創新系列產品，與生態伙伴達成技術共識。

●參與國家發改委試點項目，獲國務院國資委優秀項目案例展示。