中國工業報記者 余娜

當前，工業控制系統邊界模糊，威脅暴露面增加，傳統信息網絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅，正加速向工業控制系統擴散。

“構筑完善的工業安全保障體系是一個復雜而多維的任務，要求我們要完善工業安全政策保障體系，健全工業安全標準體系，形成工業安全技術體系，構建工業安全產業體系。”在5月31日召開的“2024工業自動化安全大會（IASSC2024）”上，中國科學院院士、中國自動化學會特聘顧問吳宏鑫建議。

中國工程院院士沈昌祥也提醒，工業控制系統是制造業的基礎，應按照國家網絡安全法律、戰略、制度要求，使用安全可信的產品和服務，筑牢安全底座，打造工業控制安全可信主動免疫新生態。

新版國標亟待修訂

伴隨新型工業化的深入推進，人工智能、大數據、區塊鏈、5G通信等新一代信息技術與工業生產活動進一步融合，推動制造業提高生產效率的同時，也使工業領域面臨著新的網絡安全威脅。

一方面，工業數據成為“勒索病毒”攻擊的重點方向，電子制造、汽車制造、軌道交通等多行業工業企業遭受“勒索病毒”攻擊。另一方面，典型工業控制軟硬件相繼被爆出嚴重漏洞，這些漏洞分布于工業生產諸多環節，給產業發展帶來安全隱患。由此，加快完善工業領域網絡安全防護體系，提升工業企業安全防護水平迫在眉睫。

早在2016年10月，工業和信息化部已印發《工業控制系統信息安全防護指南》（以下簡稱《防護指南》）。其中提到，工業控制系統應用企業應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任11個方面做好工控安全防護工作。

“從現有情況來看，已發工控安全國家標準與《防護指南》內容契合程度有待提升，現有標準內容對《防護指南》落地支撐程度不足，亟需開展我國工控安全標準體系升級工作。”中國電子技術標準化研究院網絡安全研究中心工程師夏冀分析。

夏冀認為，現有國家標準對防護指南支撐程度欠佳。例如，在供應鏈安全上，已發標準未明確產品安全能力衡量標準。在邊界防護上，已發標準未包含商用密碼等新技術應用。在安全機構設置上，已發標準未提及“運營中心”機構設置。從時間角度看，許多工控安全國家標準應當根據當前工控安全防護現狀，及時開展修訂工作。

“梳理存量標準，明確修訂方向，確定修改內容，形成新版國標，這是工業控制系統網絡安全標準修訂的思路。”夏冀建議。

新質生產力場景下，工業企業面臨哪些全新的安全挑戰？

對此，機械工業儀器儀表綜合技術經濟研究所所長歐陽勁松認為，新質生產力場景下的安全挑戰主要包括危險源/威脅難識別、網絡物理攻擊路徑難預測、功能安全與信息安全措施難協調等。

在工控信息安全上，應主要關注系統在遭受惡意攻擊或未經授權訪問時的安全性；主要關注防止未經授權的訪問、數據泄露和攻擊，例如訪問控制、加密和入侵檢測等；需要采取適當的全措施，包括組織安全政策、安全意識教育和員工背景調查；需要部署安全設備和軟件來實時監控網絡流量和異常行為，采取安全措施來防止攻擊和干擾。

“以可容忍風險為目標，以基于風險管控的多維安全協同為研究思路，以標準研究為先導引領，以試驗平臺為驗證手段，這是保障流程制造、核電等具體工業領域安全的解決思路。”歐陽勁松說。

隨著研究范式和算力的不斷演進，生成式AI功能日益強大，網絡安全攻防手段日新月異，研發滿足新時代需求的工控網絡安全新體系迫在眉睫。

“以設計安全為例。軟件開發商在軟件設計開發階段，應該先進行網絡安全風險評估，以識別對關鍵系統存在的普遍網絡威脅和漏洞，在設計方案中應納入應對不斷演變的網絡威脅形勢的相應保護措施。”電力規劃設計總院副總工程師張晉賓分析。

在其看來，產品全生命周期的設計開發階段，供應商應實施secure-by-design（通過設計確保網絡安全）設計安全原則，在產品被投入市場廣泛使用或消費之前，應大幅減少產品自身網絡安全缺陷的數量，采取合理的防護措施，以防止惡意網絡行為者獲得對設備、數據和連接基礎設施的訪問權限。

綠盟科技總監王曉鵬提醒，智能化和數據共享需求的發展，打破了原有以孤島為運行基本單元的生產制造架構，通信過程的主體及數據交換的內容也在不斷發生變化。網絡安全、數據安全的風險，隨著內、外部形勢的變化也將面臨更大挑戰。

“工業企業需從系統架構、運行模式、數據要素等多個維度來構建體系化的安全體系，按照業務的發展階段和步驟，逐步實現安全的可控閉環管理。”王曉鵬建議。

多路徑賦能企業安全

工控網絡安全風險持續攀升的當下，不少企業探索解決路徑，守護核心數據，賦能企業安全。

“在補齊上游短板后，企業的競爭焦點必將逐步轉移至下游銷售渠道之上。供應鏈條的順暢與否將直接決定未來企業的利潤水平，而這正是大數據和智能制造所長。”中國石化工程建設有限公司原副總工程師林融分析。

林融認為，智能自動化技術正賦能石化工業安全低碳高質量發展。然而，與美、歐等世界制造強國相比，我國石化工業還存在能耗物耗偏高、資源與能源利用率偏低、安全環保水平有待提升等問題。

“建議中國的過程儀表自動化與工控系統企業界和流程工業企業最終用戶，能抓住全球工業4.0、工業互聯網、大數據、人工智能和智能制造的大趨勢及良好機遇，大力研發新一代現場總線、工業以太網、以太網-APL、通用I/O、工業無線儀表等熱點技術和前沿技術，并研發生產相關儀表設備和控制系統。與此同時，關注邊緣計算與云計算協同、窄帶物聯網NB-IoT、LoRa網絡、時間敏感網絡TSN及OPCUA/OPCUA-FX等其他前沿ICT技術的發展與智能自動化技術架構的融合，使過程自動化領域的智能自動化技術成為推動石化企業數字化轉型升級的關鍵技術和核心利器，賦能石化工業安全、低碳、高質量發展。”林融建議。

面對工業環境的復雜性及其對高度安全數據環境的需求，和利時信安院提出了一套創新性的數據安全框架。

據寧波和利時信息安全研究院有限公司方案總監張雄杰介紹，基于和利時Hasec大模型的工業數據防護，可實現數據質量監控、分類分級、風險評估、威脅響應、數據分析、智能運維、工藝提升等全流程賦能。

張雄杰提醒，在工業數據安全上，要以數據資產為核心，保護業務系統及其應用和數據；不僅關注基礎設施和邊界，還要關注數據的承載和數據流轉；數據具有實時性和時序性，需要關注對工控協議/實時數據/時序數據庫的解析和審計；不僅要保護數據實體，還要以分類分級為基礎，在數據流轉基礎之上做動態的防護。

不少鋼鐵企業也在嘗試搭建“零信任”網絡安全體系。

河鋼集團唐鋼公司信息自動化部資深專家張寶玉透露，傳統邊界安全架構正面臨嚴峻問題和挑戰。包括新技術的廣泛應用使網絡安全邊界變得更加模糊；新型病毒、木馬和網絡攻擊層出不窮；移動辦公使傳統的網絡訪問控制策略很難執行；內部和外部的網絡安全威脅同樣嚴峻，網絡威脅更容易橫向擴散。

上述挑戰下，河鋼唐鋼“零信任”網絡安全體系的實踐，以及制度和管理體系建設對網絡安全工作的支撐作用已顯得愈發重要。