機(jī)器人本身是自帶智能控制的，同時(shí)它又是一個(gè)執(zhí)行終端，而智能儀表，智能電機(jī)等還具有感知功能，把數(shù)據(jù)往上傳，部分代替工業(yè)物聯(lián)網(wǎng)的感知層。從感知層到管理層、企業(yè)層、云端，都需要工業(yè)控制系統(tǒng)的安全保護(hù)。

前幾年一個(gè)圣誕節(jié)前，烏克蘭電網(wǎng)遭到黑客攻擊，造成了大規(guī)模停電，影響到140萬(wàn)名居民。黑客利用欺騙手段讓電力公司員工下載了一款名為BlackEnergy的惡意軟件，攻擊了約60座變電站。

同樣的，2014年10月至2015年9月，美國(guó)發(fā)生了295起入侵關(guān)鍵基礎(chǔ)設(shè)施的黑客攻擊案件，如機(jī)場(chǎng)、隧道和煉油廠等。在世界各地，還有許多攻擊事件未被曝光。

對(duì)于傳統(tǒng)互聯(lián)網(wǎng)安全軟件而言，工業(yè)安全領(lǐng)域依舊是一個(gè)盲點(diǎn)。國(guó)內(nèi)人口密集，電力、交通情況更為復(fù)雜，供電、供水這些基礎(chǔ)設(shè)施的核心控制器件是工控系統(tǒng)，如果遭遇黑客攻擊，會(huì)面臨更大面積的癱瘓。

而一些創(chuàng)業(yè)者正在圍繞“這一盲點(diǎn)”嘗試著創(chuàng)業(yè)。

“工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)存在很大的差異，工控協(xié)議類型繁多、適用于不同的控制環(huán)境，我們?cè)趯?duì)這些協(xié)議進(jìn)行深度解析之后，推出了工控檢測(cè)審計(jì)系統(tǒng)，這些軟件需要部署在客戶網(wǎng)絡(luò)的網(wǎng)關(guān)處，能記錄正在發(fā)生的網(wǎng)絡(luò)行為，并檢測(cè)到異常行為?！北本┛锒骶W(wǎng)絡(luò)科技高級(jí)副總裁李江力告訴鈦媒體。

匡恩網(wǎng)絡(luò)在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域探索多年，今年完成B輪融資，曾牽頭制定“工控網(wǎng)絡(luò)監(jiān)測(cè)”、“工控漏洞挖掘”、“智慧城市安全”、“數(shù)控安全”等多項(xiàng)國(guó)家和行業(yè)標(biāo)準(zhǔn)。最近，該公司發(fā)布了面向工業(yè)控制系統(tǒng)和物聯(lián)網(wǎng)安全的威脅態(tài)勢(shì)感知平臺(tái)和漏洞挖掘云服務(wù)平臺(tái)，試圖解決工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全和物聯(lián)網(wǎng)安全的問(wèn)題。

智能制造時(shí)代的創(chuàng)業(yè)機(jī)遇

中國(guó)過(guò)去以工業(yè)制造為核心的產(chǎn)業(yè)結(jié)構(gòu)正在改變，早已經(jīng)不再是“世界工廠”，國(guó)家開始把“智能制造”作為國(guó)家產(chǎn)業(yè)轉(zhuǎn)型升級(jí)的一個(gè)必然的方向。

國(guó)內(nèi)一些企業(yè)已經(jīng)加入智能制造的浪潮，海爾這兩年先后建造了7家智能工廠，這對(duì)于匡恩網(wǎng)絡(luò)這樣的創(chuàng)業(yè)公司，是一個(gè)機(jī)遇。

在國(guó)家發(fā)改委提出的《智能制造2025白皮書》中，從價(jià)值鏈、生命周期和系統(tǒng)架構(gòu)三個(gè)緯度定義智能制造。李江力告訴鈦媒體：其中，系統(tǒng)架構(gòu)產(chǎn)業(yè)鏈包括設(shè)備層、控制層、管理層、企業(yè)層、網(wǎng)絡(luò)層，在設(shè)備層和控制層，尤其需要植入工業(yè)控制網(wǎng)絡(luò)安全基因。

在傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)中，底層是設(shè)備層，包括儀表、電動(dòng)機(jī)、機(jī)床等等，上一層是PLC、DCS，統(tǒng)控制機(jī)器運(yùn)行；再往上是操作層，比如工作站、服務(wù)器等；然后是企業(yè)管理、企業(yè)數(shù)據(jù)；最頂端是企業(yè)層，比如企業(yè)OA、企業(yè)郵。

前三層和傳統(tǒng)IT相關(guān)，四、五層是工業(yè)控制領(lǐng)域一個(gè)被忽視的地方。李江力說(shuō)：

“智能制造時(shí)代，底層的智能設(shè)備，實(shí)際上是控制層和設(shè)備層的一個(gè)智能化融合，很多控制器件和我們的設(shè)備融為一體了，比如機(jī)器人。”

機(jī)器人本身是自帶智能控制的，同時(shí)它又是一個(gè)執(zhí)行終端，而智能儀表，智能電機(jī)等還具有感知功能，把數(shù)據(jù)往上傳，部分代替工業(yè)物聯(lián)網(wǎng)的感知層。從感知層到管理層、企業(yè)層、云端，都需要工業(yè)控制系統(tǒng)的安全保護(hù)。

所有底層設(shè)備，要實(shí)現(xiàn)自動(dòng)化與智能化，必須依靠工業(yè)控制系統(tǒng)，工控系統(tǒng)一旦遭遇黑客攻擊，像烏克蘭的電力系統(tǒng)一樣崩潰，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的爆發(fā)會(huì)變得非常容易。

解決這些問(wèn)題，是創(chuàng)業(yè)公司的機(jī)遇。

未來(lái)的工業(yè)控制風(fēng)險(xiǎn)有哪些？

美國(guó)工業(yè)互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心統(tǒng)計(jì)全球工控安全事件，基本上呈逐年遞增態(tài)勢(shì)，2015年是295件，2014年是245起。

再來(lái)看來(lái)自工信部互聯(lián)網(wǎng)響應(yīng)中心的數(shù)據(jù)：國(guó)內(nèi)的漏洞，大概有65%以上是屬于中高危的，有33%是屬于高危的，漏洞的性質(zhì)大部分還是一些信息泄露、跨站攻擊、安全繞過(guò)。

李江力對(duì)鈦媒體表示，他們向有關(guān)部門提出兩個(gè)問(wèn)題，一是工控設(shè)備的國(guó)產(chǎn)化率需要增加，第二個(gè)進(jìn)口設(shè)備的安全檢測(cè)需要有手段，發(fā)現(xiàn)漏洞他們需要解決辦法。工控環(huán)境的風(fēng)險(xiǎn)，在現(xiàn)場(chǎng)控制層、監(jiān)控層、生產(chǎn)層、運(yùn)營(yíng)層都存在。

比如，各網(wǎng)段之間可能缺乏有效的隔離，一些主機(jī)設(shè)備可能是一些弱口令，還有一些服務(wù)沒有口令就可以登陸。一些OPC服務(wù)器配置錯(cuò)誤造成數(shù)據(jù)被越權(quán)讀取，很多設(shè)備的日志安全問(wèn)題沒有解決等等。

一個(gè)工業(yè)控制安全距離的案例是：Havex病毒是針對(duì)OPC的漏洞的，Havex病毒首先干擾目標(biāo)機(jī)，然后非法獲取OPC的一些數(shù)據(jù)，黑客拿到數(shù)據(jù)之后會(huì)上傳到數(shù)據(jù)端，進(jìn)行非法操作。

李江力為工業(yè)控制系統(tǒng)的安全問(wèn)題做了歸納：

首先是工控設(shè)備漏洞，其次是外國(guó)設(shè)備存在后門，比如說(shuō)遠(yuǎn)程維護(hù)功能，一旦遠(yuǎn)程維護(hù)功能被人惡意利用，可能就是一個(gè)安全風(fēng)險(xiǎn)；以及針對(duì)工控環(huán)境的APT攻擊，比如烏克蘭電力事件，是典型的APT攻擊事件。

其他還有無(wú)線技術(shù)的應(yīng)用，比如說(shuō)3G、4G、Wi-Fi，在方便現(xiàn)場(chǎng)使用的同時(shí)，也會(huì)帶來(lái)安全的風(fēng)險(xiǎn)和數(shù)據(jù)丟失。

一個(gè)完整的安全網(wǎng)絡(luò)體系是什么樣？

匡恩網(wǎng)絡(luò)試圖搭建一個(gè)安全網(wǎng)絡(luò)體系。工業(yè)網(wǎng)絡(luò)安全保障體系需要考慮結(jié)構(gòu)安全、本體安全、行為安全、基因安全和時(shí)間持續(xù)性保護(hù)。李江力說(shuō)，匡恩網(wǎng)絡(luò)的安全設(shè)計(jì)包括這幾塊：

首先是本體安全是指設(shè)備本身的安全性能，保證漏洞不出問(wèn)題有，一個(gè)方法是原廠商直接打補(bǔ)丁，其次是給它額外加修補(bǔ)措施。

在結(jié)構(gòu)安全方面，通過(guò)合理的區(qū)域劃分，保障每個(gè)區(qū)域的安全。而烏克蘭電力事件是黑客不斷掃描嘗試，最后達(dá)成攻擊，這是很多行為的組合，需要安全保障系統(tǒng)對(duì)這些行為進(jìn)行綜合分析和統(tǒng)計(jì)。

基因安全是設(shè)備本身的安全屬性，也被稱為自主可控的安全性。這需要有國(guó)產(chǎn)的CPU、國(guó)產(chǎn)的操作系統(tǒng)、國(guó)產(chǎn)的芯片，還要加上輔助器件。此外還需要持續(xù)的安全管理和安全運(yùn)營(yíng)。

談到時(shí)間持續(xù)性保護(hù)，就是建立長(zhǎng)效的安全防護(hù)機(jī)制，在持續(xù)對(duì)抗中保障工業(yè)控制系統(tǒng)安全。從技術(shù)、設(shè)備、人員、管理等多個(gè)維度，實(shí)現(xiàn)綜合安全服務(wù)能力，保障工業(yè)控制系統(tǒng)及關(guān)鍵基礎(chǔ)設(shè)施全生命周期的安全性。

據(jù)李江力介紹，在不同的場(chǎng)合、區(qū)域之間，需要加入工業(yè)防火墻或工業(yè)網(wǎng)閘進(jìn)行網(wǎng)絡(luò)隔離，以及一些工業(yè)控制審計(jì)系統(tǒng)來(lái)審核網(wǎng)絡(luò)行為的風(fēng)險(xiǎn)，由此得出報(bào)告，告訴用戶什么地方出了問(wèn)題、有異常流量需要怎么解決。

在底層，通過(guò)國(guó)產(chǎn)化CPU國(guó)產(chǎn)化器件、國(guó)產(chǎn)化的數(shù)據(jù)庫(kù)和可信計(jì)算技術(shù)保證系統(tǒng)自主安全可控。

“匡恩網(wǎng)絡(luò)解決方案這幾年在能源電力、機(jī)械制造、軌道交通、冶金、煙草等行業(yè)廣泛實(shí)施，隨著智能制造進(jìn)程的加深，未來(lái)我們會(huì)進(jìn)入更多領(lǐng)域?！彼f(shuō)。