工業控製的安全正在成為未來網絡戰爭的主場地。

去年聖誕節前，烏克蘭電網遭到黑客攻擊，造成了大規模停電，影響到140萬名居民。黑客利用欺騙手段讓電力公司員工下載了一款名為BlackEnergy的惡意軟件
，攻擊了約60座變電站。

同樣的，2014年10月至2015年9月
，美國發生了295起入侵關鍵基礎設施的黑客攻擊案件，如機場、隧道和煉油廠等。在世界各地
，還有許多攻擊事件未被曝光。

對於傳統互聯網安全軟件而言
，工業安全領域依舊是一個盲點。國內人口密集，電力、交通情況更為複雜

，供電、供水這些基礎設施的核心控製器件是工控係統，如果遭遇黑客攻擊，會麵臨更大麵積的癱瘓。

而一些創業者正在圍繞“這一盲點”嚐試著創業。

“工業控製係統與傳統IT係統存在很大的差異，工控協議類型繁多、shiyongyubutongdekongzhihuanjing，womenzaiduizhexiexieyijinxingshendujiexizhihou，tuichulegongkongjianceshenjixitong，zhexieruanjianxuyaobushuzaikehuwangluodewangguanchu
，nengjiluzhengzaifashengdewangluoxingwei，bingjiancedaoyichangxingwei。”北京匡恩網絡科技高級副總裁李江力告訴鈦媒體。

匡恩網絡在工業控製係統網絡安全領域探索多年，今年完成B輪融資
，曾牽頭製定“工控網絡監測”、“工控漏洞挖掘”、“智慧城市安全”、“數控安全”dengduoxiangguojiahexingyebiaozhun。zuijin
，gaigongsifabulemianxianggongyekongzhixitonghewulianwanganquandeweixietaishiganzhipingtaiheloudongwajueyunfuwupingtai
，shitujiejuegongyekongzhixitongwangluoanquanhewulianwanganquandewenti。

智能製造時代的創業機遇

中國過去以工業製造為核心的產業結構正在改變，早已經不再是“世界工廠”，國家開始把“智能製造”作為國家產業轉型升級的一個必然的方向。

國內一些企業已經加入智能製造的浪潮，海爾這兩年先後建造了7家智能工廠，這對於匡恩網絡這樣的創業公司，是一個機遇。

在國家發改委提出的《智能製造2025白皮書》中，從價值鏈、生命周期和係統架構三個緯度定義智能製造。李江力告訴鈦媒體：其中，係統架構產業鏈包括設備層、控製層、管理層、企業層、網絡層，在設備層和控製層，尤其需要植入工業控製網絡安全基因。

在傳統工業控製網絡中，底層是設備層，包括儀表、電動機
、機床等等
，上一層是PLC、DCS，統控製機器運行；再往上是操作層
，比如工作站
、服務器等；然後是企業管理、企業數據；最頂端是企業層，比如企業OA
、企業郵。

前三層和傳統IT相關，四、五層是工業控製領域一個被忽視的地方。李江力說：

“智能製造時代，底層的智能設備，實際上是控製層和設備層的一個智能化融合，很多控製器件和我們的設備融為一體了，比如機器人。”

機(ji)器(qi)人(ren)本(ben)身(shen)是(shi)自(zi)帶(dai)智(zhi)能(neng)控(kong)製(zhi)的(de)，同(tong)時(shi)它(ta)又(you)是(shi)一(yi)個(ge)執(zhi)行(xing)終(zhong)端(duan)，而(er)智(zhi)能(neng)儀(yi)表(biao)
，智(zhi)能(neng)電(dian)機(ji)等(deng)還(hai)具(ju)有(you)感(gan)知(zhi)功(gong)能(neng)

，把(ba)數(shu)據(ju)往(wang)上(shang)傳(chuan)，部(bu)分(fen)代(dai)替(ti)工(gong)業(ye)物(wu)聯(lian)網(wang)的(de)感(gan)知(zhi)層(ceng)。從(cong)感(gan)知(zhi)層(ceng)到(dao)管(guan)理(li)層(ceng)
、企業層、雲端，都需要工業控製係統的安全保護。

所suo有you底di層ceng設she備bei，要yao實shi現xian自zi動dong化hua與yu智zhi能neng化hua，必bi須xu依yi靠kao工gong業ye控kong製zhi係xi統tong，工gong控kong係xi統tong一yi旦dan遭zao遇yu黑hei客ke攻gong擊ji，像xiang烏wu克ke蘭lan的de電dian力li係xi統tong一yi樣yang崩beng潰kui，網wang絡luo戰zhan爭zheng的de爆bao發fa會hui變bian得de非fei常chang容rong易yi。

解決這些問題，是創業公司的機遇。

未來的工業控製風險有哪些？

美國工業互聯網應急響應中心統計全球工控安全事件
，基本上呈逐年遞增態勢，2015年是295件，2014年是245起。

再來看來自工信部互聯網響應中心的數據：國內的漏洞，大概有65%以上是屬於中高危的，有33%是屬於高危的，漏洞的性質大部分還是一些信息泄露、跨站攻擊、安全繞過。

lijiangliduitaimeitibiaoshi，tamenxiangyouguanbumentichulianggewenti，yishigongkongshebeideguochanhualvxuyaozengjia
，diergejinkoushebeideanquanjiancexuyaoyoushouduan
，faxianloudongtamenxuyaojiejuebanfa。gongkonghuanjingdefengxian，zaixianchangkongzhiceng
、監控層、生產層、運營層都存在。

比如，各網段之間可能缺乏有效的隔離，一些主機設備可能是一些弱口令，還有一些服務沒有口令就可以登陸。一些OPC服務器配置錯誤造成數據被越權讀取
，很多設備的日誌安全問題沒有解決等等。

一個工業控製安全距離的案例是：Havex病毒是針對OPC的漏洞的，Havex病毒首先幹擾目標機
，然後非法獲取OPC的一些數據
，黑客拿到數據之後會上傳到數據端
，進行非法操作。

李江力為工業控製係統的安全問題做了歸納：

首先是工控設備漏洞，其次是外國設備存在後門
，比如說遠程維護功能，一旦遠程維護功能被人惡意利用，可能就是一個安全風險；以及針對工控環境的APT攻擊

，比如烏克蘭電力事件，是典型的APT攻擊事件。

其他還有無線技術的應用，比如說3G、4G
、Wi-Fi
，在方便現場使用的同時，也會帶來安全的風險和數據丟失。

一個完整的安全網絡體係是什麼樣
？

匡恩網絡試圖搭建一個安全網絡體係。工業網絡安全保障體係需要考慮結構安全、本體安全、行為安全、基因安全和時間持續性保護。李江力說，匡恩網絡的安全設計包括這幾塊：

首先是本體安全是指設備本身的安全性能，保證漏洞不出問題有，一個方法是原廠商直接打補丁
，其次是給它額外加修補措施。

zaijiegouanquanfangmian，tongguohelidequyuhuafen，baozhangmeigequyudeanquan。erwukelandianlishijianshiheikebuduansaomiaochangshi，zuihoudachenggongji，zheshihenduoxingweidezuhe，xuyaoanquanbaozhangxitongduizhexiexingweijinxingzonghefenxihetongji。

基因安全是設備本身的安全屬性，也被稱為自主可控的安全性。這需要有國產的CPU、國產的操作係統、國產的芯片，還要加上輔助器件。此外還需要持續的安全管理和安全運營。

談到時間持續性保護，就是建立長效的安全防護機製，在持續對抗中保障工業控製係統安全。從技術、設備
、人員
、管理等多個維度


，實現綜合安全服務能力，保障工業控製係統及關鍵基礎設施全生命周期的安全性。

據李江力介紹，在不同的場合、quyuzhijian
，xuyaojiarugongyefanghuoqianghuogongyewangzhajinxingwangluogeli，yijiyixiegongyekongzhishenjixitonglaishenhewangluoxingweidefengxian

，youcidechubaogao，gaosuyonghushenmedifangchulewenti、有異常流量需要怎麼解決。

在底層，通過國產化CPU國產化器件、國產化的數據庫和可信計算技術保證係統自主安全可控。

“匡恩網絡解決方案這幾年在能源電力、機械製造、軌道交通、冶金
、煙草等行業廣泛實施，隨著智能製造進程的加深，未來我們會進入更多領域。”他說。