卡巴斯基、启明星辰、上海控安专家畅谈工控安全

提起工控安全，很多用户企业的态度总让人觉得“暧昧不清”，“安全第一”的口号喊得响当当，但落实到现场往往一言难尽，这一点相信很多圈内朋友比我们有更深的体会。

这其实也无可厚非，乌克兰电网遭受攻击、伊朗核电站被入侵、委内瑞拉最大发电厂被蓄意破坏……大多时候对于安全的重视都是始于不同程度的安全事故的。但在事故频发过后，依旧有相当一部分企业抱有侥幸心理，把自己摆在“吃瓜群众”的位置，并没有将事故与自身安全隐患联系到一起。

制造企业潜意识里对于安全有多重视？难道工控安全就只能亡羊补牢吗？立足相关话题，我们和工控安全领域的供应商展开了讨论，就当前很多用户的观念和做法分析了可能产生的相关隐患，希望能够引起大家对于安全问题的重视。

安全事故的“三宗罪”

• 功能安全不到位（OT）

说到功能安全，很多用户也许会觉得太“老生常谈”了，毕竟与自动化一同发展，功能安全相比之下已经比较成熟，在智能检测的带动下，已经实现设备自身的安全保障，而且随着联网化以及人工智能等新技术的发展，预测性维护已经成为保证功能安全的有效手段。

然而，在将物联网融入到生产的过程当中，很多企业并没有充分将安全问题考虑在内。

针对设备漏洞问题，绿盟科技发布了《2019工业控制系统信息安全保障框架》报告，统计了工控漏洞涉及的设备。

由图可以看出，工控系统设备漏洞问题日益严重。工控厂商的维护和测试周期一般比较长，漏洞修补不及时。而且即便厂商发布了漏洞补丁，工控现场的设备因为要连续运行，再加上管理上、技术上等各种原因，补丁不能及时得到安装，导致工控设备的漏洞一直得不到及时修补并且缺乏有效的漏洞管理手段。

日积月累，如果不能采取相应的安全管理措施，轻则宕机影响生产，严重的话可能造成重大损失。

当前，国内工控安全市场还处于国家监管引导的阶段，尽管企业安全意识不断得到提升，但为了合规而合规的现象非常普遍。

虎特科技总经理 赵昱指出：“近年来，随着国家对于工业领域，特别是基础设施安全的重视，已经相应出台了非常多的法规和标准，但是这些标准分属不同的行业和体系，有一定的重复和矛盾，企业在执行层面有一定的困扰。在落实过程中，企业需要作出一定的投入和改变，因此也有相当的抵触和阻扰。有些企业为了合规而投资工控安全，在日常生产中，甚至对工控安全产品阉割使用，只监不控，使得防护措施形同虚设。”

对于很多供应商来说，合规性服务是当前用户咨询非常多的业务，这说明国家监管确实让一些企业开始部署安全设施，但仅为了应付检查而开展合规性工作，忽略自身安全问题，就有点儿本末倒置了。

• 信息安全不重视（IT）

2016年，三一重工近千台工程机械设备遭非法解锁破坏，波及多个省份，直接经济损失达3000余万元，间接损失近十亿元；2018年，Wannacry的变种侵入了代工芯片制造商台积电，导致其停产三天，预计经济损失高达17.4亿元人民币……尽管信息攻击转变成物理伤害的案例逐渐增多，仍有一部分企业并没有意识到自身存在的信息安全问题。

卡巴斯基实验室大中华区总经理 郑启良表示：“很大一部分厂商在信息防护方面还主要采用所谓的内网，以及传统的防火墙、白名单等，并没有意识到信息安全的重要性。这些传统的信息防护方式已经非常局限。即便不采用开放网络，在软件以及补丁等的更新过程中还是会存在入侵风险。而且，随着网络化的不断渗透以及云计算应用的持续覆盖，外部攻击更是无孔不入。”

据悉，工控行业在信息安全方面的投资是非常少的，很多厂商对于信息攻击的认识不够，所以并没有部署相应的信息安全评估。反观黑客组织，病毒开发、攻击漏洞、技术培训以及暗网平台等工作开展得相当高效，俨然形成一条完善的产业链。

如果用户企业不能正确应对信息攻击，那只有“坐等攻击，过后修复”的份儿了。

• 人员管理太表面

就在上个月，响水爆炸事故伤亡情况严重，引发强烈关注，在这一事件中，人员管理培训问题再度引起讨论。

在很多技术水平不高的中小企业中，人员在决策环节依旧起着关键作用然而，在生产现场，流于形式的人员培训依旧普遍存在。很多工人对于设备控制规范都没有非常清晰的认识，更何况是现场安全规范。

设备落后、成本有限姑且算是是桎梏安全的主要因素，但是“人祸”频发，是不是更能说明企业对待安全问题的态度有待端正呢？

立足这一现状，很多安全厂商都提供人员培训服务，为用户厂商提供更全面的支持，相信由人员造成的悲剧能够越来越少。

安全部署真有那么难吗？

首先不得不说，安全的实现的确很难，对于大多是企业来说，安全投资势必要增加相应的成本，对于中小企业来说资源问题也是阻碍他们落实工控安全的一大原因，而且，随着技术更新，安全产品也必须紧跟着迭代，这一定会造成持续性的成本投入。

对于大型企业来说，其技术水平往往较高，体量较大，在安全领域同样走在前面，已经有了较为成熟的部署，而对于中国市场中较大占比的中小企业来说，其实基本的安全也并不难实现，从长远角度来看其价值要远大于投入。

启明星辰工业互联网安全事业部技术总监 赵军凯提出了“基线概念”：“基线是一个策略性概念，可以由设备本身实现，用户对于安全的期望、标准以及合规性要求，都可以作为基线的重要的参考方向。企业可以依据自身条件选择合适的方案，让安全更加贴近工厂，达到相对安全的一个平衡，以最小的成本达到安全保障效果。”

由此可见，成本并不是制约安全的最大因素，更多企业的痛点在于并不了解工控安全，不知道要如何落地。对此，为帮助更多中小企业，很多安全厂商已经联合起来，积极合作搭建平台，为缺乏资源和相关专业知识的企业提供支持，上海控安就是其中的代表。

上海控安解决方案部总监 尹欣表示：“工控安全是通过不同保护手段实现分级保护的，从工艺过程设计、控制系统、报警管理、安全仪表系统、释放装置、物理保护、以及应急响应等。围绕‘安全+’服务，上海控安在强化自身功能安全与信息安全的技术能力的同时，也积极与上下游企业展开合作，发挥上海市研发与转化功能型平台的作用，聚集一大批中小安全企业，提供泛安全平台服务，为提高我国关键基础设施的安全水平不断进取。”

结语：受制于当前发展阶段，很多企业对于安全问题的忽视和得过且过也许无可厚非，但在安全事故频频发生过后，企业如果想要走的长远，就必须将安全提上日程。

转载自 中国工控网