工業自動控制系統是由計算機設備與工業過程控制部件組成的自動控制系統。工業過程控制部件對實時數據進行采集、監測,在計算機調配下,實現設施自動化運行和業務流程管理與監控。隨著制造業的發展和當前市場劇烈的競爭,工業控制受到越來越多的關注,尤其是其安全問題,已是國家安全戰略的重要組成部分。
工業控制受重視
隨著工業自動化熱度不斷升溫,中國工業自動控制系統裝置制造行業取得了長足的發展,其發展產量一直保持在年增長20%以上。
工業自動控制系統裝置制造,指用于工業產品制造或加工過程中,連續自動測量、控制材料或產品的溫度、壓力、粘度等變量的工業控制用計算機系統、儀表和裝置的制造。
根據研究院發布的《2014-2018年中國工業自動控制系統裝置制造行業產銷需求預測與轉型升級分析報告》分析:2010年,中國工業自動控制系統裝置制造行業共完成工業總產值1495.02億元,同比增長45.71%;產品銷售收入1466.93億元,同比增長44.19%;實現利潤總額138.03億元,同比增長57.41%.國產自動控制系統相繼在火電、化肥、煉油領域取得了突破。
目前,中國的工業自動化市場主體主要由軟硬件制造商、系統集成商、產品分銷商等組成。中國擁有世界最大的工業自動控制系統裝置市場,傳統工業技術改造、工廠自動化、企業信息化需要大量的工業自動化系統,市場前景廣闊。
工業控制自動化技術正在向智能化、網絡化和集成化方向發展。基于工業自動化控制較好的發展前景,預計2015年工業自動控制系統裝置制造行業市場規模將超過3500億元。
安全問題引擔憂
工業控制系統的使用范圍不僅僅限于制造業,在礦產、公用事業、航空航天行業中的使用也相當廣泛。據不完全統計,超過80%涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業,工業控制系統已是國家安全戰略的重要組成部分。
隨著企業內外網對接、信息系統與客戶及供應商的聯結、設備自動化的水平上升,企業的信息網絡變得更加的開放與智能化。以智能精密機床為例,其系統的通訊方面已經配備了微機上才具備的USB接口與網線接口,未來的生產指令與調度程序將統一通過中央控制系統的方式加以推送,生產任務的建立、更換、取消也將更加智能。
然而開放與智能帶來的副作用就是安全威脅。有別于傳統的安全威脅,如果工業控制成為了攻擊的目標導致系統無法正常工作或損壞,那么將不僅僅限于虛擬化的信息層面,而直接影響人員的生命安全。事實上,國外此類事件的發生已經造成了嚴重的后果。
工業控制系統需要進行橫向分層、縱向分域、區域分等級進行安全防護。橫向分層用來區分管理信息系統,每層系統有不同的信息系統管理需求,縱向分域用來分離各個不同的生產執行業務線,而區域分等級將根據資產與生產過程的核心等級逐級建立層層嚴格防護屏障,一旦產生了安全威脅能夠將威脅控制在最小層面,防止其向其它層面擴散,最大程度上保證整體工業生產系統的安全與穩定。
通常橫向分層分為計劃管理層、制造執行層、工業控制層。計劃管理層一般包括了以ERP為核心的管理信息系統。制造執行層處于工業控制層與計劃管理層之間,主要負責生產管理和調度執行,通過制造執行層管理者可以及時掌握和了解生產工藝各流程的運行狀況和工藝參數的變化,實現對工藝的過程監視與控制。
工業控制層是直接面向生產的終端層,由自動化控制組件和實時數據采集、監測的過程控制組件共同構成,完成具體的加工作業、檢測和操控作業、作業管理等功能。
根據業界專業觀點,工控系統的三層橫向分層中需要對層與層之間的數據交換和信息處理進行防護,催生了工控系統的兩層防護體系。首先是計劃管理層與制造執行層之間進行的防護,避免這兩層系統通訊交換帶來的威脅,具體表現形式為避免非授權訪問和濫用、對操作失誤篡改數據及抵賴行為的可控制、可追溯性、避免終端違規操作、及時發現非法入侵行為、過濾惡意代碼。
其次是制造執行層與工業控制層之間的安全防護,通過部署工業安全防火墻的方式能夠避免從計劃管理層未經授權的指令或者有害代碼,完成區域隔離、通信管控、實時報警等重要功能。
相對于其他行業信息安全防護,工控安全防護在實時性、可靠性及安全性方面的需求等級更高,要求也更加嚴格。一旦發生了安全威脅,需要在最短的時間內進行發現、矯正或者停止作業,防止危害進一步向其他系統或者層級滲透,同時能夠第一時間發出警報供安全管理人員和生產執行人員知曉,及時采取行動應對特殊事件。
基于工控安全的特點,需要通過四類產品對此領域安全進行全面防護:網關類安全產品、異常檢測類產品、安全管理類產品、日志審批類產,而這四類產品均需對于工業安全進行針對性的調整和優化才能保證整體的安全。
工控安全在設計及應用方面具有其特殊性,例如工業管理系統中通常不會采用TCP/IP或者IPX這樣的常用協議,而采用系統間或者生產廠商自建的專門協議,這類協議的建立一方面是生產廠商對于自身商業利益產品閉環的考慮,另一方面是出于對安全的考慮。在傳統協議上傳播的安全威脅難以對專用協議產生影響,但隨著威脅程度不斷加劇,攻擊水平不斷提高,而專用協議由于沒有被公開環境所熟識并加以監督完善而存在更多安全隱患,對于安全廠商的發現和控制難度進一步加劇。
因此,網絡監控除了在傳統協議層面上推行,各種各樣的專用協議也需要納入分析管控的范圍,并對其中的數據進行深入精確的判別。
同時由于工業控制將極有可能出現在極端情況下,溫度、濕度的適應能力、電磁防護能力等在普通環境下極少檢測的指標,在這一領域卻會顯得異常重要。這些要求對廠商的技術實力提出了新的挑戰,也成為未來產品發展的方向所在。
此外,隨著創意型企業和科技類的公司逐漸增多,BYOD概念未來幾年或在國內生根發芽。
BYOD(Bring Your Own Device)即允許員工攜帶自己的設備進行辦公,這些設備包括個人電腦、手機、平板等。在國外的商業環境中,許多高科技公司通常允許員工以這樣的方式辦公,企業在滿足員工自身對于新科技和個性化追求的同時能夠提高員工的工作效率,降低企業在移動終端上的成本和投入。
由于員工使用自帶設備,設備與設備之間的差異度非常明顯,設備本身硬件設計與操作系統的安全等級不盡相同,攻擊方只需要從安全防護最弱的系統或者硬件中入手就可以掌握設備的信息從而達到入侵公司系統的初步條件。同時由于員工在自身的設備中會安裝應用程序,其中含有惡意代碼、病毒信息或獲取不正當權限的情況就更有可能發生。相對于在公司內網中有防火墻的保護,設備在外部網絡環境中遭受的侵襲概率明顯增大。
鏈路通訊方面的情況也會由于BYOD的實施變得更加復雜多樣化,由于自帶設備在公開網絡中使用的情形會遠多于固定場所中,那么網絡狀態也會呈現五花八門的狀態,在對信息安全防護不夠到位的場所和地區,Wi-Fi沒有加密的保護,或者無線信號發射源本身含有惡意的代碼或被偵聽,這些情況都會對自有設備與公司的通訊安全造成威脅。
移動終端安全管理領域,國內廠商雖然起步較晚,但是市場需求和自身的努力下發展迅速,華為公司、東軟集團、國信靈通、天暢信息等廠商均在此領域中謀得一席之地。隨著未來BYOD概念在國內的不斷壯大,國內企業對于終端安全防護國產化自主可控的訴求也將與日俱增,具備本土優勢和技術實力的國內安全廠商將充分受益。