启明星辰：各行业工控信息安全需求凸显

2017年是工控信息安全不平凡的一年，“WannaCry”勒索病毒席卷全球范围，我国教育、政府、电力、石油、通信、交通运输、医疗等众多行业领域都或多或少受到该事件影响；工信部、公安部、网信办、能源局对涉及国家基础设施的企业工控信息安全检查常态化，工控系统网络安全问题普遍突出；6月1日开始实施的网络安全法要求对包括工控系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”实行网络安全等级保护；等保2.0进入报批流程；12月，工信部发布《工业控制系统信息安全行动计划（2018-2020年）》强调全国性的“一网一库三平台”的建设。一系列政策的频繁出台，让我们看到了工控信息安全市场的巨大机遇。2014年初，一直致力于传统信息安全领域的启明星辰嗅到了工控信息安全市场的巨大机遇，从2014年初，成立工控安全部，开始布局工控信息安全市场。经过4年的时间，如今在诸多行业取得了不少成绩。小编本期特别采访了启明星辰工控安全部技术总监孟雅辉，请她来谈一谈对于工控信息安全市场的看法及分析。

Q：您如何看待日益严峻的工业控制系统信息安全问题？据您了解，2017年国内情况如何？

孟雅辉：2017年，工控行业工控信息安全需求凸显。

石油行业，三桶油将工控信息安全作为未来五年重点关注方向，由总部牵头做工控信息安全建设规范，每年都会组织力量对下属企业进行安全检查。随着智能制造的推进，生产网普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段，极大地提升了生产效率。与此同时，严峻的网络信息安全风险也如影随形。采油采气、石油管道、炼化、油储、加油工控网络边界隔离、内部监测需求明显，千万级项目逐渐露头。

电力行业，遵循36号文《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》内容进行安全建设，《电力监控系统安全防护总体方案》对省级以上调度中心、地级调度中心、各类型发电厂、变电站、配电监控的监控系统的安全防护。近几年，能源局每年都会对电厂和电网进行检查。各级电网也会对电厂进行安全检查。工信部依据《工控系统信息安全防护指南》对电力企业进行检查。公安部通过执法检查对电力企业进行安全检查。在安全检查和调度工控信息安全年方向的推动下，电厂、电调、电科院需求明确，有大量项目涌出。

轨道交通行业，目前全国范围内地铁建设进程很快，信息安全越来越被广泛认可，最重要的两个自动化系统（综合监控系统和信号系统）都有明确的信息安全需求。“城市轨道交通综合监控系统工程技术规范”V2.0版本中已经明确增加信息安全要求：综合监控系统信息安全应满足国家工业控制系统信息安全相关标准要求，并按照三级信息安全等级保护进行设计、工程实施和验收；应实现防攻击、防病毒、防漏洞、防非法操作等，并实时监察系统信息异常，及时进行处置。在信号系统招标书里大多有这句话：投标人应当按照《信息安全等级保护管理办法》（公通字[2007]43号）、《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）和《信息系统安全保护等级保护实施指南》（GB/T 25058-2010）实施等级保护工作。应符合国家安全部门对信号信息系统等级（暂定3级）保护要求，能够防范病毒入侵、黑客攻击、对数据有审计功能等技术要求的能力。信号系统应接受并通过信息保护等级相适应的测试，并在正式运营前通过等级保护测评。

烟草行业，行业工控信息安全标准即将发布，相关标杆项目已经验收。企业大都能提出明确的工控信息安全需求，卷烟厂、复烤厂、商烟物流、醋纤厂对工控信息安全需求明确。

地下综合管廊行业，自2015年和2016年开展两批试点项目以来，城市地下综合管廊的建设，全国累计建设里程已达2000多公里。地下综合管廊作为保障城市运行的重要基础设施和“生命线”，随着“互联网+” 作为国家战略推进，管廊运营商正规划城市级管廊综合运维平台，同时管廊监控系统与市政消防、公安系统联动需求，要求管廊监控系统接入互联网与市政系统进行互联。但综合管廊在建设过程中的工业控制系统信息安全问题有待进。

先进制造行业，在《中国制造2025》、“互联网+”的国家战略背景下，制造行业产业升级已成大势所趋。“十三五规划”中明确提出产业结构调整、工业互联、智能制造示范试点等具体任务。为完成“十三五规划”的目标，各部委、各行业主管单位等均在积极推动智能制造示范项目。在我国制造行业迅猛发展的同时，也暴露出了一些信息安全问题，大多设备采用国外品牌，面临着国外厂商运维中重要数据泄露的风险。工控网络与管理网或与DNC服务器连接时，在提高效率的同时也面临着被感染病毒、恶性攻击的风险。整体安全管理策略缺失，如机床及“操作员站”的漏洞、编程工作站、人员的操作流程等方面。目前，各军工企业生产单位均有工控安全需求，生产网与涉密网相连势在必行。保密政策明晰后，市场前景良好。

工业互联网应用，作为智能制造的关键基础，打破了传统工业相对封闭可信的制造环境，但与此同时，这也造成病毒、木马、高级持续性攻击等互联网安全风险对工业生产的威胁日益加剧。纵观整个2017年，工业互联网在国内的推进无论从国家政策层面，还是企业实际落地层面都得到了积极的重视，而对工业互联网的信息安全保障也是一样的，伴随着国家“互联网+制造业”、“三去一补一降”等政策的不断推进落实，工业互联网的推进速度必将不断加快，工业控制系统安全的发展重点也将逐步转向工业物联网安全、工业云安全等工业互联网的安全范畴。

Q：2017年，启明星辰在工控信息安全市场的业绩如何？取得了哪些亮点的成绩？

孟雅辉：相较2016年，启明星辰集团2017年的工控安全业绩实现了超过100%的增长，在电力、轨道交通、烟草、先进制造等行业建立了多个工控安全示范项目。

石油行业，开展多个油田、炼化厂两网隔离安全防护项目，为实现注、采、输从井口到场站以及石油炼化、储运等各类工控设备运行状况、设施工艺参数等数据安全传输到数据中心。

电力行业，工控信息安全主要是针对各级调度的电力监控系统、智能变电站、用采系统、电厂生产控制系统、电网配网的安全防护。参照36号文要求，启明星辰已有多个电力工控系统的防护案例，实现了工控网络入侵检测、敏感指令检测、异常流量监测，工控系统边界安全防护，运维操作审计，操作站安全管理等安全技术建设。

轨道交通行业，综合监控系统和信号系统均有多个建设样板工程，重点解决了对车站级到中央级的严格访问控制，车地之间、自动化系统之间的安全通信，自动发现网络中的活跃主机、端口，以及接口间的访问关系，对工控网络的各种入侵、病毒、木马攻击行为，发现各类PSCADA、BAS等系统指令异常，统一实量监测所有事件。

烟草行业，启明星辰作为烟草行业工控信息安全标准制定者，扎实走稳每一步，已落实多个工控安全项目。重点解决普遍存在的设备间的通讯超时、操作站下发指令缓慢甚至不成功、操作站显示异常等频发问题。

先进制造行业，针对机床类的精密加工场景，解决其普遍存在的网络无安全划分，机床近端防护措施缺失，运维操作无审计纪录，无违规异常发现机制。

Q：未来，对于工控信息安全市场，启明星辰如何布局？启明星辰在这一市场中如何定位？主要发展策略有哪些？

孟雅辉：启明星辰从2014年初，成立工控安全部，开拓全集团的工控信息安全市场。2015年5月，发布覆盖串接防护、旁路异常检测、安全审计、操作站安全防护、安全检查工具、一体化工控安全监测平台的全线工控安全产品。至今，启明星辰已形成覆盖石油石化、电力、轨道交通、烟草、先进制造、工业互联网、工业物联网等多个行业的成功案例，利用各行业实验局的打磨，工控信息安全产品已可以适用多个应用场景。不忘初心，砥砺前行，未来的工控信息安全之路还很长。随着工业互联网、物联网、车联网等新兴技术的出现，随之而来的是不断涌现的新信息安全问题，我们需要更加沉下心去研究、去实践。

未来，启明星辰愿利用自身渠道优势，更加广泛地链接工业自动化行业细分领域的产品提供商、集成商，融合高校和研究机构的优秀研究成果，与工控安全行业伙伴和谐共生，更好地服务业主和国家主管部门，更好地支撑我国工控信息安全工作的推进和落地，为实现我们伟大的工业强国中国梦而努力奋斗。

Q：您认为我国工业用户在推进工控信息安全建设方面，存在哪些问题与误区？就启明星辰在工控信息安全领域的实践经验，您对于中国工业用户有何建议？

孟雅辉：工业控制系统正在与办公网、互联网连接，封闭的“世外桃源”正在慢慢被打开。工业控制系统由于运行周期长、系统升级困难等问题，带着脆弱性仍然在运行，存在着很大被攻击的风险。工业控制系统关乎企业的生产命脉，业主对于工控信息安全大多持谨慎的态度，这是非常令人尊敬的敬业精神。然而，风险已然摆在面前，必须做出一些规避措施。工控系统本身不能动，但我们可以把它保护起来，仅允许外界对它进行有限访问，这里的有限访问包括通过网络访问和通过设备的物理临近访问，我们须设定规则和采取必要的技术措施，进行访问控制。同时，我们可以将它内部的操作异常、病毒攻击等情况监控并呈现出来，以便有问题我们可以追查到底，有的放矢的解决问题。运维人员需要对设备进行访问时，我们也可以把访问记录下来。

大部分工业控制系统涉及到我国的关键基础设施，国家正在大力推进信息安全保障工作。建议工业用户储备工控信息安全相关基础知识，找单位内有能力的下属单位、车间做信息安全防护尝试。

Q：可否和我们分享一个启明星辰在工控信息安全领域的实际案例？ 

孟雅辉：启明星辰2017年在机床类的先进制造行业做了深入探索，辅助业主建立全面的工业控制系统信息安全保障体系，达到等保三级网络安全的技术要求。主要做了这几项工作：

（1）采用工业防火墙对工控网进行安全区域划分并进行安全防护，在机床近端部署CNC防护装置进行精细化的访问控制，对于存在安全隐患的国外数控机床通过借助第三方信息安全产品的监测，弥补短时期内不能替换为国内工控设备问题和风险，逐步过渡到自主可控。

（2）完成了100余个加工、设计、工艺及CAM等用户终端的安全防护，保证终端被恶意代码侵害的风险降到最低。

（3）完成生产线10多种工艺的30台机床的联网及2种类型DNC系统的防护，实现从设计源头开始的数据能够审计其流向，一旦发现异常进行报警。实现对三种国内外品牌的典型机床系统进行防护审计，远程运维时进行加密传输，并对其连接时有访问控制策略，实现运维人员对机床参数、配置等关键信息的安全审计，提高公司关键装备的自主运维水平。

（4）建立工控信息安全管理平台，实现多品牌多类型系统的统一监管，可管理的系统包括信息安全防护设备以及网络交换机、DNCpro客户端、编程工作站、DNC/N监控机、PDM、CAPP、DNC服务器的设备，实现收集信息安全相关信息。并对不同来源的信息安全事件统一分级和处理，实现了工控系统信息安全事件的关联分析，深度分析隐蔽安全事件和追踪溯源。

相关文章