智能工厂工业控制网络安全需求解读

北京匡恩网络科技有限责任公司技术总监 井柯

    专家简介：井柯，北京匡恩网络科技有限责任公司技术总监，国家计算机网络与安全技术研究专项评审专家，信息技术标准库（ITSS）起草成员，专业从事信息安全工作逾10年。2009年开始研究工业控制系统网络安全，针对石油石化、轨道交通、钢铁、水利、燃气等涉及国家基础设施的工业控制系统进行风险评估，并提出切实可行的安全整改建议，具有较强的工业控制信息安全实践经验。先后担任信息安全等级保护能力建设专家，北京“护城河计划”专家，中国核学会：核安全分会核设施信息安全委员会，中国核电行业协会信息化专业委员等。

    记者：随着智能工厂的实施，企业工业控制网络会面临哪些新的安全需求？

    井柯：随着“中国制造2025”战略的加速推进，我国智能工厂建设和使用方兴未艾。可以说，智能工厂是“中国制造2025”标志性趋势之一。

    智能工厂，将先进而成熟的信息技术、互联网技术、物联网技术以及传感器技术等信息化技术手段聚合融合，实现工厂制造流程的网络化管理，以及工艺设计、工艺分解与加工任务执行的自动化。

    要实现真正的智能工厂，必然要打通“筋脉”，开放自身的网络，开放工业控制网络，使其与设计网互联互通，最大程度满足产品设计与生产的自动化需求。同时，高度开放的工业控制网络将面临更为严峻的安全挑战，也向我们提出了更多更新的非常具体的安全防护需求，具体主要表现为以下几个方面：

    1）工控网络边界防护需求更为突出。在智能工厂建设和应用中，如何做好企业设计网与智能工厂工业控制网络间的网络隔离与数据交换，最大程度的防范来自设计网对工业控制网络的非法侵入与破坏，保护工业控制网络的安全显得尤为重要。

    2）智能工厂核心控制器的防护有待加强。不论是产线上核心控制器，还是物流配送的控制器，一但被攻击或被劫持，都将导致生产环节出现故障，甚至生产瘫痪。因此，对核心控制器的安全防护迫切需要加强。

    3）存储核心加工数据的工控主机、数据服务器的安全防护需求更加突出，它们的抗攻击、抗非法访问能力有待提高。

    4）“三建设”构筑立体化工控网络安全防御体系。所谓“三建设”，即加强安全防护系统的建设；加强安全风险的发现、管理与动态处置能力的建设；加强深度防御，及安全事件的关联分析与安全预警机制的建设，形成安全事件的快速反应、快速处置，进而保护工业生产控制网络的安全。

    记者：您认为保障工业控制网络安全的核心环节是什么？

    井柯：保障工业控制网络安全的核心，即实现工业控制系统内在安全和体系防护的有机统一。基于此，匡恩网络创新性的提出面向智能工业体系的“4+1”安全防护体系，即结构安全、本体安全、行为安全、基因安全，以及时间持续性防护。

    具体而言，“四个安全性”严格意义上可以称为“免疫性安全”。结构安全和行为安全是工控安全体系的主体，是实现工控系统体系防护的关键因素，也是我们对工业控制系统进行安全改造和加固的切入点；基因安全和本体安全关系到工控安全体系的本质安全，其根本的解决之道是自主可控，由于我国工业控制在装系统80%以上是国外设备，因此针对本体安全性的检测和补偿性防护措施尤为重要。

    此外，工控网络安全防护还需建立长效的安全防护机制，在持续对抗中从技术、设备、人员、管理等多个维度，保障工业控制系统及关键基础设施全生命周期的安全性。