ICS高峰對話：工控系統信息安全的掣肘與突破策略

　　【中國智能制造網 名家論壇】隨著智能制造進入實施階段，互聯互通將不再局限于控制層和企業內部，因此未來面臨的信息安全風險會越來越大。在未來的智能環境下，工控系統信息安全風險相比現在有哪些新特點，又該如何預防？　　在今年的2016ICS論壇上，緊張、精彩的環節就是“高峰對話”環節了！唇槍舌戰，思維碰撞，誰也不放過誰。那么，他們到底都說了啥？
　　
　　潘英章：先說現實問題，經過幾年的市場宣傳，工控系統信息安全的認知已有較好基礎，大家都知道系統有風險，而且也有反面案例，但是受制于眾多現實約束，市場仍未進入爆發期。請各位分析個中原因，并分享您的突破策略。
　　
　　龍國東：市場推廣的幾年間，從一開始舉步維艱，到現在跟客戶交流理念達成一致，我們發現工控安全的需求逐步趨于合規性，整個工業信息安全推廣過程逐步透明化正面化。這時，廠商發揮自身優勢，不管是基于傳統工控產品銷售渠道還是利用傳統信息化產品銷售渠道推廣業務都將有比較良好的發展態勢。我預測，未來工控安全市場或許會有井噴式發展。
　　
　　孫博文：基于電力系統網狀結構的特性，所以必須重視信息安全，尤其是2000年“二灘事件”又將安全問題上升到全新的高度。目前在工控安全市場推廣上，像龍總所說，市場趨于合規性的市場模式，國家推出標準，工控系統安全標準場上希望看到，決策，產業的影響，設備防御系統需要提升迭代，基于不同的行業和領域政府政策出臺也是循序漸進而并非一蹴而就。除了政府在落實政策之外，廠家立預防性思維很重要，所以還是需要將廠商安全意識激發出來。
　　
　　井柯：今天主題是智能制造，匡恩從14年到現在發展飛快，但在之中也發現問題。設計院、集成商、廠商、業主和用戶是幾座市場大山。與電力系統相比，市政網絡相對簡單但是離散，SCAD系統較多。所以安全廠商不要拘泥于產品，要基于設備系統的特性上來考慮安全問題并提出解決方案，順應時代，廠商眼界要放寬。這樣才有優勢。因此，工控安全要基于用戶需求，業務場景和環境。脫離用戶設備而之談安全產品和服務的話，會令用戶感到頭痛。
　　
　　許鑫：以前安全是個敏感的話題，很多廠商不敢太多涉足，更多想把問題寄托在政府制定標準，但我認為光依靠政策的推動有點“偷懶”的嫌疑，關鍵還是要培育用戶及廠商關于安全的前瞻性意識，因為設備安全問題是固有的，工業化信息化的融合系統的脆弱性逐步放大，包括制造業在內的各個行業是。政府制定政策帶有宏觀視角，所以它有前瞻性。我在想為什么業主和設計院不能有點前瞻性呢？這樣減產、停產的情況就會減少。可能是因為用戶還沒遇到過類似的問題，客戶想的是如果萬一出現問題，但是這里防御的成本和潛在的損失沒有有效地被量化。
　　
　　趙捷：考慮到市政行業網絡安全設施的特殊性——它們比較分散，如污水廠，那些散布的污水廠就像一座座孤島。后來通過信息化網絡通過工業控制，這些孤島被連接入網了。但是問題也隨著網絡化和信息化的步伐而到來。現在大家都在提智慧水務，但是水務管理的智能化管理很還不夠。這是因為市政行業沒有經濟效益只有社會效益，所以包括設計院在內的行業從業方還是趨于保守，這時候就需要國家能夠強制要求、提高相應的標準。
　　
　　潘英章：再說未來，隨著智能制造進入實施階段，互聯互通將不再局限于控制層和企業內部，因此未來面臨的信息安全風險會越來越大。請各位暢想，在未來的智能環境下，我們的安全風險相比現在有哪些新特點，又該如何預防？
　　
　　井柯：為什么我在講撥云見霧，因為，談大數據云計算技術發展同時要切實考慮安全性。智能制造不局限于O2O模式，所以做安全不能聚焦在一個點，安全領域涉獵廣泛，要在工廠所有設備都安全的情況下來保證可靠生產。在安全技術普及過程中要做到生產過程上下互聯貫通，縱向集成。同時我認為安全領域起步階段想已經過了，現在是爬坡階段，而工控安全不同于互聯網安全，它需要長久性的研發和付出，包括與制造業的匹配，關注前瞻性技術，貼和用戶需求及滿足用戶需要。工控市場雖好，大家一擁而上，但后貼近客戶的才是，才能有好口碑。
　　
　　龍國東：我從工作實例來說：日韓企業生產線PC終端就有防護措施，這是他們的內生需求，因為優勢生產線會停工。包括去年我們合作的企業，曾經也出現機床設備不聯網設備數據無法協同的問題。云數據庫太過龐大，網絡終端安全，邊界安全……問題層出不窮。因此智能制造的安全方案選擇不拘泥于單一產品，、智能制造下的安全可以根據用戶行為習慣進行考量和分析，是綜合的且動態的。
　　
　　孫博文：剛才大家談到一些關于安全技術、包括加密、網絡審計、漏洞修復等技術，這些固然重要。但是除了技術之外更重要因素是人。航向隔離縱向加密。現在測試結果來看，有經驗攻擊者可以很短時間拿下電廠，在于運行人員技術性薄弱。操作人員對于密碼及漏洞問題不是很懂，所以無論制造企業的制度及信息安全培訓很重要。給基層員工普及安全意識，加上制度健全了，我們的安全解決措施才能落地。
　　
　　王玉敏：標準制定的時候經過了充分調研。由于國內并沒有現成的經驗，我們編制組只好橫向參考方面的經驗。其實，我們所做的評估規范是一個通用的準則，但是如果按照通用原則來做某某具體行業標準行不通，必須根據行業進行細化，當然結合行業制定標準是比較理想的，根據每個行業測試的情況因地制宜。
　　
　　潘英章：今天在座有信息安全的各個環節的參與者，在一個成長初期的市場中，其實大家不是競爭者，也不是簡單的買賣關系，而應該是信息安全生態的共同培育者和合作者。請大家暢談，我們之間該怎樣合作，共同建設好這個生態，服務于我們共同的安全，共同的市場？
　　
　　趙捷：根據市政行業情況，要從大局化考慮。不急功近利到后就會長遠受益。
　　
　　孫博文：信息安全就是一場戰爭。誰充電偵察兵先偵查到風險，誰主導戰爭和戰斗。這里面需要做的事很多，因此市場也很大，未來發展潛力也很大。希望大家共同努力，形成合力。
　　
　　井柯：蛋糕就在那里，但是我們討論技術及市場環境時候要去解決客戶真正關心的那些問題。
　　
　　許鑫：市場足夠大，現狀是需求不明確，我們更多需要從廠商推動而不是讓用戶自發推動，我們希望各種途徑來發現市場需求并推動市場。
　　
　　王玉敏：我們希望把標準體系更完善。讓市場倒逼工控安全升級。我們有能力與各方攜手打造完善的工控安全。
　　
　　龍國東：威努特作為工控安全解決方案提供商，“開放”是我們的策略，提供整體的解決方案而非單一產品，是我們未來要做的。