化企，你的信息管控系统安全吗

发布时间：2019/10/29 10:12:35     浏览次数：1516

今年开始，化工行业中一些龙头企业纷纷行动起来，开工建设一体化管控信息平台。物大云移（物联网、大数据、云技术、移动互联）等新技术的普及与应用，为传统化工行业的转型升级吹来了一股暖风。新型信息化技术使企业信息孤岛互联通道，提升了信息的交互与管理的效率，但同时也给黑客入侵、病毒木马、漏洞攻击等网络安全杀手大开方便之门，使之可轻而易举地深入到企业核心生产管理系统，大大增加了工业控制系统（ICS）被攻击的概率。

　　上周，工控系统信息安全方面的专家在接受记者采访时提醒：化工企业在热衷于信息化、智能化升级的同时，对工控系统信息安全不能掉以轻心；在享受信息化技术带来的便利时，首先要做好安全防护。

工控安全形势严峻

　　随着两化深度融合的推进以及物联网的快速发展，我国化工行业的工控系统升级速度非常快。目前许多企业都采用了DCS、SCADA、PLC等自动控制系统，其中DCS已经进入了第四代，其突出特点就是具有高度的开放性。随着两化融合的逐步推进，越来越多的生产层与管理层联网，一些企业开始采用MES、SCM等先进的信息化技术加强生产管理，工控系统信息安全也就此被推到风口浪尖上，所面临的安全形势变得越来越严峻。建立全面的安全保障体系，减少工控系统面临的内外部威胁，是当前化工企业面临的重大挑战。

　　北京匡恩网络科技有限公司CTO李江力表示，对于工业互联网而言，网络是基础，数据是核心，安全是保障。而工业互联网的安全又涉及多个要素，包括设备安全、网络安全、控制安全、应用安全和数据安全。工业互联网安全问题包含了所有IT安全问题，传统互联网发生的问题在工业互联网都有可能发生，同时又增加了工业控制安全和工业物联网安全。因此工业互联网的安全问题更加复杂，更具挑战。

　　“对于石油和化工行业而言，工控系统信息安全的挑战表现在化工行业生产运行系统的特殊性上。在化工企业中，保障生产系统的稳定运行是首要的，这也就决定了生产运行系统不大可能像计算机系统一样可以随时升级或打补丁，因为控制系统的软件一旦升级就必须先做全面的配套环境、可用性和安全性测试，以确保不影响生产装置的稳定运行。一般情况，企业不会去主动升级工控系统软件，这就造成了在役生产运行系统存在大量漏洞。”北京力控华康科技有限公司总经理马国华告诉记者。

　　北京匡恩网络科技有限责任公司的调查也佐证了这一观点。调查显示，目前约80%的企业从来不对工控系统进行升级和漏洞修补。而与此同时，有52%的工控系统已经与企业的管理系统、内网甚至互联网连接，一些存在漏洞的国外工控产品依然在国内的某些重要装置上使用。

安全防护从现在做起

　　采访中记者发现，谈到工控系统信息安全，化工企业中的高管很少有人能说清其真正的内涵及重要性，因为工控系统设计之初是为了完成各种实时的控制功能，并没有考虑安全防护问题。而当生产层、控制层与管理层联网后，工控系统被暴露在互联网上，各种安全风险和隐患纷至沓来。

　　李江力分析认为，工控系统信息安全不受重视有两个方面原因。一方面，过去的工业控制系统使用了专业的系统，只有小范围人群了解和掌握。但随着计算机技术的发展，很多专业的系统实现了通用化，现在的工控系统开始在通用技术的基础上做专业系统设计，这样一来，存在于计算机信息系统中的漏洞也就被带到工控系统里，但用户了解这一点的并不多；另一方面，由于过去互联网不发达，工控系统并没有因为信息安全问题发生大的事故，造成“病毒很少能对工业控制系统造成危害”的假象。

　　然而，事实却是工业控制系统的安全威胁已经无处不在，企业管理者对工控系统安全意识的淡薄使“病毒”愈加肆虐。一旦控制系统与管理系统联网，工控系统就变成了开放的状态，办公系统的网络病毒就会对生产系统产生威胁。

　　近年来工控信息安全事件逐渐增多，给化工企业敲响了警钟。有机构预测，2017年针对工控网络的黑客行为将更加突出，恶意软件的威胁也会增加，网络勒索诈骗也将从民用领域扩展到工业领域。

“工控系统的信息安全问题越来越突出，是时候为企业建立一道可靠有效的安全屏障了。”提及化工行业工控系统信息安全的话题时，多家企业负责人向记者表达了这样的观点。

　　在对企业的采访中，记者了解到，一些安全意识较强的化工企业已经开始行动。万华化学集团股份有限公司运营管理中心总经理李庆告诉记者：“公司将2017年的管理主题确定为安全管理年，在去年工业4.0导入工作的基础上，今年工作重点是全面提升化工装置的本质安全保障能力。”另外，像山东东岳集团、辽宁奥克集团等一批行业龙头企业，在智能管控一体化平台的设计建设之初，就开始同期布局工控系统信息安全系统。

　　“在对一些化工企业高管讲解和普及功能安全的基本概念和原理过程中，能明显感觉到化工企业管理层的安全意识普遍在提高，化工行业对工业控制系统信息安全产品和解决方案的需求也在增加，许多企业已经开始采取各种措施来加强生产系统的安全保障能力。”机械工业仪器仪表综合技术经济研究所功能安全中心主任史学玲说。

切勿重检测轻防护

　　化工企业的安全意识正在提高，工控系统信息安全的市场也逐渐热了起来，吸引了众多信息安全公司的关注。近几年来，提供工控系统信息安全服务的厂商一下子多了起来，一些做通用信息安全的公司也开始向工业控制领域渗透。

　　这一现象让业内人士感到喜忧参半，喜的是工控系统信息安全的市场蛋糕正在发酵，未来市场将呈现供需两旺的局面；忧的是目前真正有能力提供全面解决方案的供应商并不多，化工企业正在陷入如何选择、选择什么、为什么选择的尴尬境地。

　　记者了解到，目前市场上与工控信息安全相关的供应商所提供的产品和服务包含漏洞发现、态势感知、安全评估、边界防护等方面，很少有公司基于化工企业管控一体化的实际业务，为企业提供持续提升的整套安全解决方案。目前一些用户被引入了重检测、轻防护的误区。一位业内专家对此不无担忧：“这就好比一个人到医院用先进仪器做了一个检查，知道自己生了什么病，但这家医院既没有好的医生也没有合适的药物。”

　　马国华强调：“在化工行业中，信息安全是为生产服务的，重点应该放在保障生产运行系统功能的发挥上。对于化工企业的工业控制系统而言，发现漏洞和威胁固然重要，但更重要的是提供有效的技术手段来防御、阻挡攻击和入侵。”

　　“由于化工行业工控系统生产的连续性和复杂性、行业的特殊性、用户需求多样化等，目前能够提供完整有效、切实可行的安全产品和解决方案的供应商并不多。同时，化工行业的工控系统信息安全的市场还没有大规模启动，这也是出现重检测、轻防护现象的原因之一。”马国华分析道。

　　匡恩网络技术委员会主席兼首席战略官孙一桉也表示，匡恩网络倡导的是一体化大安全的理念，提出了结构安全、本体安全、行为安全和基因安全加时间持续性的“4+1”安全保障体系。工控系统的安全保障是一个内容丰富而完整的产业链条，它为化工企业提供的应该是一个全生命周期的保障体系，而不是一个简单系统加一个防护设备的问题。