當(dāng)前，保障工業(yè)企業(yè)的工控系統(tǒng)運(yùn)行安全已成為維護(hù)國家安全的重要組成部分。而隨著工業(yè)互聯(lián)網(wǎng)概念的推進(jìn)，傳統(tǒng)的工控網(wǎng)絡(luò)需要從封閉轉(zhuǎn)向聯(lián)通、開放，這對工控安全防護(hù)能力也提出了更高的要求。但由于工控網(wǎng)絡(luò)系統(tǒng)的特殊性和復(fù)雜性，工業(yè)企業(yè)在開展新一代工控安全方案建設(shè)時(shí)，會(huì)遇到很多困難和挑戰(zhàn)，要形成真正可靠的安全防護(hù)能力并不容易。

日前，安全牛采訪了工控安全專業(yè)廠商珞安科技副總裁關(guān)勇，就工業(yè)企業(yè)開展新一代工控安全建設(shè)時(shí)的難點(diǎn)、要點(diǎn)及發(fā)展趨勢進(jìn)行了交流討論。關(guān)勇認(rèn)為：工控安全能力建設(shè)是一個(gè)整體，并不是部署一個(gè)或者多個(gè)安全產(chǎn)品就可以保障安全的。工業(yè)企業(yè)需要在部署必要安全技術(shù)防護(hù)措施的基礎(chǔ)上，通過持續(xù)、有效的運(yùn)營才能形成真正體系化的工控安全能力，這將是工業(yè)企業(yè)未來工控安全建設(shè)過程中的主要挑戰(zhàn)。

安全牛：

自2010年的震網(wǎng)病毒爆發(fā)以后，保障工控系統(tǒng)的安全運(yùn)行已經(jīng)受到各國工業(yè)安全主管部門的高度重視，相關(guān)的工控安全建設(shè)和投入也逐年增加，但是工控安全威脅事件仍然層出不窮，原因是什么？

關(guān)勇：

我們認(rèn)為，工控安全威脅事件不斷出現(xiàn)，主要有以下原因：

首先，今天的工業(yè)企業(yè)已經(jīng)成為攻擊者重要關(guān)注的攻擊目標(biāo)，而工控領(lǐng)域往往與關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)聯(lián)較為密切。不管攻擊的原因是什么，一旦工控系統(tǒng)被攻擊者攻陷就意味著可能造成巨大損失。作為一種高價(jià)值目標(biāo)，攻擊工控網(wǎng)絡(luò)往往能夠獲取較高的利益回報(bào)，所以受到攻擊者的廣泛關(guān)注。

其次，很多工業(yè)企業(yè)正處于安全轉(zhuǎn)型期。以前的工控網(wǎng)絡(luò)相對獨(dú)立，跟公共互聯(lián)網(wǎng)保持著隔離、阻斷的狀態(tài)。隨著工業(yè)互聯(lián)網(wǎng)概念的推進(jìn)，傳統(tǒng)的工業(yè)控制網(wǎng)絡(luò)也在從封閉轉(zhuǎn)向聯(lián)通、開放，這使得企業(yè)對安全防護(hù)的需求也在不斷變化和提升。越來越多的工業(yè)制造需求導(dǎo)致工控網(wǎng)絡(luò)無法再實(shí)現(xiàn)物理隔離，更多的資產(chǎn)暴露面意味著更大的威脅，之前一直隱藏在內(nèi)部的漏洞也不斷暴露，結(jié)合工控行業(yè)軟、硬件系統(tǒng)更新周期長和業(yè)務(wù)價(jià)值高的特點(diǎn)，工業(yè)企業(yè)如果不大范圍地增加投入，其面對的安全威脅很難快速收斂。

另外，工業(yè)企業(yè)系統(tǒng)運(yùn)維人員的專業(yè)安全能力和安全意識(shí)還比較薄弱。在很多工業(yè)企業(yè)中，其實(shí)已經(jīng)開展了一定程度的安全防護(hù)建設(shè)，部署了防火墻、網(wǎng)閘、入侵檢測之類的基礎(chǔ)安全防護(hù)設(shè)備，但這些安全設(shè)備缺乏必要的運(yùn)行維護(hù)，有的授權(quán)過期了，有的甚至沒有開啟任何安全策略，因此沒有充分發(fā)揮出應(yīng)有的防護(hù)能力。

最后，工業(yè)企業(yè)的工控安全建設(shè)投入還存在一定不足。根據(jù)數(shù)據(jù)統(tǒng)計(jì)，國內(nèi)企業(yè)網(wǎng)絡(luò)安全建設(shè)在整體IT投入中的占比約為1~3%，工控領(lǐng)域安全建設(shè)的投入則會(huì)更少。在工信部編制的《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021-2023年）》中，明確要求企業(yè)加大網(wǎng)絡(luò)安全投入，單獨(dú)列支網(wǎng)絡(luò)安全預(yù)算，推動(dòng)網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品和服務(wù)部署應(yīng)用，重點(diǎn)行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例應(yīng)達(dá)到 10%。這將對工控網(wǎng)絡(luò)安全建設(shè)起到非常大的推動(dòng)作用。

安全牛：

對工控系統(tǒng)的安全防護(hù)，要比對一般網(wǎng)絡(luò)信息系統(tǒng)防護(hù)的難度大很多。您認(rèn)為我國工業(yè)企業(yè)目前在工控安全防護(hù)方面的主要難點(diǎn)和不足有哪些？

關(guān)勇：

根據(jù)前面的分析可以看到，雖然工業(yè)企業(yè)對于網(wǎng)絡(luò)安全方面的投入正在逐年增加，但是工業(yè)企業(yè)在工控安全方面的整體投入還遠(yuǎn)遠(yuǎn)不夠，很多企業(yè)只實(shí)現(xiàn)了一些最基礎(chǔ)的安全防護(hù)，比如工業(yè)防火墻、工業(yè)安全審計(jì)、隔離網(wǎng)閘等，面對高級安全攻擊時(shí)的防御能力相當(dāng)有限。這其中的原因也是多方面的：

工業(yè)企業(yè)對于安全產(chǎn)品穩(wěn)定性的要求很高，因此對部署應(yīng)用新一代安全防護(hù)產(chǎn)品比較謹(jǐn)慎，工控安全廠商只有持續(xù)做好產(chǎn)品的穩(wěn)定性和可用性測試，避免對工業(yè)生產(chǎn)系統(tǒng)造成影響，才能逐步打消用戶的顧慮；

在工控網(wǎng)絡(luò)中，對安全防護(hù)技術(shù)手段的選擇也有明確的要求。工業(yè)企業(yè)追求高穩(wěn)定性、高兼容性，所有的安全防護(hù)產(chǎn)品都必須在保障業(yè)務(wù)不中斷的前提下進(jìn)行，這直接影響了一些安全技術(shù)方案的應(yīng)用選擇；

安全投入不足導(dǎo)致企業(yè)的安全能力建設(shè)受限。工業(yè)企業(yè)整體的安全意識(shí)還比較薄弱，因?yàn)楹芏嗑W(wǎng)絡(luò)攻擊沒有真實(shí)發(fā)生在自己的企業(yè)中，對攻擊損害和后果缺乏切身體會(huì)，這需要一個(gè)不斷提升的過程；

安全是一個(gè)整體，需要有專業(yè)的人員進(jìn)行運(yùn)營與維護(hù)，目前大多數(shù)企業(yè)并沒有安排專門的人員負(fù)責(zé)安全運(yùn)維，而是由其他崗位的人員進(jìn)行代理，這就導(dǎo)致了安全負(fù)責(zé)人的專業(yè)能力不足。安全并不是部署一個(gè)或者多個(gè)產(chǎn)品就可以保障的，安全能力的構(gòu)建需要有效的運(yùn)營使其成為真正體系化的能力。

安全牛：

您提到工控安全建設(shè)應(yīng)該是一個(gè)整體，那么企業(yè)在開展新一代工控安全能力建設(shè)時(shí)，應(yīng)該如何實(shí)現(xiàn)體系化的建設(shè)目標(biāo)？

關(guān)勇：

針對工控系統(tǒng)的安全防護(hù)，目前國際上主流的建設(shè)思路都是平臺(tái)化先行的建設(shè)模式，比如卡巴斯基、Fotinet、Nozomi、Tenable等國際安全廠商推出的方案中，都是優(yōu)先考慮對工控安全整體防護(hù)平臺(tái)能力進(jìn)行建設(shè)，而不是先進(jìn)行單點(diǎn)安全建設(shè)，隨后再將其進(jìn)行聚合的方式。國內(nèi)的工控安全解決方案，其實(shí)在設(shè)計(jì)規(guī)劃時(shí)，也大都考慮過安全管理平臺(tái)化的理念，對工業(yè)防火墻、工業(yè)審計(jì)、工控主機(jī)衛(wèi)士等進(jìn)行統(tǒng)一的管理和調(diào)度。但受限于目前工業(yè)企業(yè)的安全投入狀況，早期的工控安全防護(hù)確實(shí)更多的是從單點(diǎn)安全能力建設(shè)起步。

在新一代工控安全能力的體系化建設(shè)中，可能會(huì)存在的問題主要有：

各廠商推出的工控安全管理平臺(tái)以管理自家的安全產(chǎn)品為主，如果用戶是分階段開展工控安全建設(shè)的，將很難對不同廠家的各類型工控安全產(chǎn)品進(jìn)行統(tǒng)一管理；

平臺(tái)化的作用沒有真正發(fā)揮出來，僅僅實(shí)現(xiàn)了統(tǒng)一的配置管理，但是多個(gè)安全產(chǎn)品并沒有形成一個(gè)有機(jī)整體，沒有達(dá)到1+1>2的防護(hù)效果。

從積極的方面來看，目前國內(nèi)主流工控安全廠商提供的新一代工控安全防護(hù)解決方案中，基本都采用了平臺(tái)化、體系化的更先進(jìn)建設(shè)思路，具備縱深防御的安全防護(hù)策略。通過一定時(shí)間的技術(shù)完善以及用戶安全意識(shí)的提升，相信越來越多的用戶會(huì)以平臺(tái)化的模式來開展體系化的工控安全能力建設(shè)。

安全牛：

您認(rèn)為推動(dòng)我國工業(yè)企業(yè)工控安全建設(shè)更好發(fā)展的主要因素是什么？

關(guān)勇：

目前來看，國內(nèi)工業(yè)企業(yè)網(wǎng)絡(luò)安全建設(shè)的第一驅(qū)動(dòng)力還是合規(guī)監(jiān)管，在2023年即將施行的《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》與《網(wǎng)絡(luò)安全法》（修訂版）會(huì)成為持續(xù)加強(qiáng)工業(yè)企業(yè)安全合規(guī)建設(shè)的驅(qū)動(dòng)力。

此外，工控安全建設(shè)的另一個(gè)驅(qū)動(dòng)力在現(xiàn)階段還會(huì)體現(xiàn)在對安全事件的響應(yīng)和補(bǔ)救上，當(dāng)實(shí)際遭受網(wǎng)絡(luò)威脅的損失時(shí)，企業(yè)就會(huì)提升對工控安全建設(shè)的認(rèn)知和理解。

同時(shí)，隨著工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型的加速推進(jìn)，加之近年來頻發(fā)的網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)攻擊和防范數(shù)據(jù)泄露成為了工業(yè)企業(yè)保障安全生產(chǎn)必須考慮的重要因素。再結(jié)合各級政府主管機(jī)構(gòu)的合規(guī)要求和不斷宣貫，相信工業(yè)企業(yè)保障安全生產(chǎn)的驅(qū)動(dòng)因素也會(huì)不斷強(qiáng)化。

安全牛：

從技術(shù)和產(chǎn)品的角度看，工業(yè)企業(yè)在開展新一代工控安全能力建設(shè)時(shí)，應(yīng)該把握哪些關(guān)鍵要點(diǎn)？又會(huì)有哪些應(yīng)用趨勢？

關(guān)勇：

目前的工控安全產(chǎn)品在合規(guī)性方面可以基本滿足企業(yè)的應(yīng)用要求，但是隨著云計(jì)算、大數(shù)據(jù)、數(shù)字孿生、人工智能、元宇宙等新興技術(shù)的不斷發(fā)展，使得網(wǎng)絡(luò)安全威脅的數(shù)量和方式都在不斷變化，因此需要針對工業(yè)領(lǐng)域特性不斷深挖防護(hù)需求，升級防護(hù)手段，推陳出新，才能與時(shí)俱進(jìn)，保護(hù)工控網(wǎng)絡(luò)系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行。

由于工業(yè)企業(yè)用戶普遍對工控安全產(chǎn)品的實(shí)施部署比較謹(jǐn)慎，因此目前工控安全項(xiàng)目的實(shí)施效率并不高。為了更好滿足工業(yè)企業(yè)的安全防護(hù)需求，我們會(huì)持續(xù)從以下方面進(jìn)行產(chǎn)品的優(yōu)化和研發(fā)：

對合規(guī)類工控安全產(chǎn)品，會(huì)基于統(tǒng)一的安全管理平臺(tái)，構(gòu)建多安全產(chǎn)品有機(jī)融合的安全防護(hù)方案。同時(shí)，需要更多地站在工業(yè)業(yè)務(wù)的需求視角進(jìn)行設(shè)計(jì)，縮小產(chǎn)品設(shè)計(jì)與實(shí)際業(yè)務(wù)需求之間的偏差，對于下一代工控安全產(chǎn)品而言，這也會(huì)是一個(gè)革新的機(jī)會(huì)；

對業(yè)務(wù)類工控安全產(chǎn)品，需要融合工業(yè)企業(yè)業(yè)務(wù)發(fā)展的需要，以及日常生產(chǎn)過程中的一些痛點(diǎn)需求，研發(fā)具有行業(yè)特色安全防護(hù)產(chǎn)品，以解決其現(xiàn)實(shí)存在的業(yè)務(wù)安全應(yīng)用訴求；

工業(yè)數(shù)據(jù)領(lǐng)域的安全建設(shè)將是一個(gè)重點(diǎn)，例如工業(yè)數(shù)據(jù)的分類分級系統(tǒng)，實(shí)時(shí)數(shù)據(jù)庫安全防護(hù)等。需要結(jié)合工業(yè)場景下的數(shù)據(jù)全生命周期與政策的合規(guī)要求，進(jìn)行工業(yè)數(shù)據(jù)安全的針對性技術(shù)研發(fā)和建設(shè)；

信創(chuàng)建設(shè)在工業(yè)制造領(lǐng)域正在快速推進(jìn)中，新一代工控安全產(chǎn)品也需要快速適應(yīng)這種發(fā)展趨勢，對國產(chǎn)化的系統(tǒng)和設(shè)備進(jìn)行適配。