早期的工控系統和企業管理系統是封閉與隔離的。隨著資訊化與工業化交互融合，以及物聯網技術的迅速發展，工控系統的環境變得更加開放、多變，其脆弱性隨之暴露，傳統工控系統的潛在安全性正遭受嚴重的挑戰，潛在威脅極大。為此，德國萊因TÜV工業服務總經理趙斌在工業控制安全領域為我們深度剖析市場現狀及未來走向，針對企業平穩有序發展提供參考建議。

 

目前在歐洲頒發了資訊安全規範。幾乎所有的企業都比較重視這塊，尤其在工業控制領域，目前一些主要的PLC廠商、可程式設計邏輯控制器廠商，這些廠商已經透過德國萊因TÜV獲得資訊安全相關的證書。他們拿到證書後對產業的影響是比較大的。如果不考慮資訊安全，不使用這樣的系統，就會影響資訊安全。也就是說你的工控系統有可能會被駭客控制，受到一些破壞。現階段，不少業主也逐漸開始有這方面的需求。雖然市場屬於初期階段，但是發展的速度還是被看好的。

這個標準剛剛發佈不久。市場從沒有標準到有標準，逐漸開始有客戶詢問。我們也感覺到市場是比較熱切地想去瞭解這個標準，想去使用這個標準。所以我相信這也是未來的一個趨勢。

這個問題實際上要從三個方向去思考。

第一，從管理角度進行管理。

例如公司管理不善，門開著有人進來了，把隨身碟插到你的電腦系統裡，進行駭客活動。這是一種潛在隱患。所以要從管理上就杜絕這個問題。

第二，要從整個系統設計的角度。

例如在工廠中，工控系統包括資訊系統，在系統設計的時候就要進行預先的防護。如何從系統層面對各個控制器，各個相關的生產控制上進行防護。

第三，從產品進行思考。

我也提到過PLC。PLC本身如果出現了一些設計上的問題缺陷，也可能讓駭客透過一些相應的攻擊手段進入工控系統裡，從而控制整個的生產過程。有些生產過程一旦出現控制上的失效，有可能會造成一些人員與生產上的事故。

這是從三個大的方向去評估。資訊安全同時也是從三個層面去思考，第一，我們稱為保密性：confidential。第二就是完整性：integrity。第三個方面就是可用性：availability。縮寫就是CIA。

未來三年的趨勢將主要在流程工業和核電領域。核電也開始有自己的資訊安全標準。據我們德國同事透露，明年汽車產業會正式發佈一項資訊安全標準。從我個人的觀點來看，汽車產業的發展速度是非常快的，尤其近幾年車聯網的大量應用。汽車產業逐漸轉向一些智慧控制以及和雲端相關的控制、資料的下載、數據的下載。這些就有可能衍生資訊安全相關的問題。所以我相信汽車產業在未來三年會是發展最迅速的一個產業。

我們在這方面有很多的優勢。第一，我們從德國方面拿到相關的認證，DaKKs的認證能夠頒發資訊安全的證書。另外，美國的ISASecure認證我們也同樣具有。就是說我們可以一次測試，提供給企業2個國家的證書。這是我們非常大的一個優勢。

同時德國萊因TÜV為企業提供一站式的解決方案，包括三個方向。第一個是針對產品線的資訊安全認證，也就是我剛才提到的PLC產品線的檢驗測試認證、頒發產品線的證書。這個服務其實是為資訊安全產業做的一個基礎性服務，將來我們要達到資訊安全標準的要求，整個系統、整個管理都是建立在基本的零配件是要符合資訊安全要求的基礎上。所以產品線的認證是一個基礎服務。

在這個服務基礎上，越來越多的產品達到了資訊安全的要求，我們就開始做資訊安全系統級的評估。就是說如何把這些認證過的安全零配件與IT的資訊安全零配件，組合成系統進行防護，來防止駭客的一些攻擊。這是我們的第二個層面，就是針對系統層級的評估。

第三個方向的服務，就是我們對企業的管理進行評估。我們可以協助企業建立一套資訊安全的管理系統。從而解決管理混亂而帶來的資訊安全問題。

 

專家介紹

趙 斌

德國萊因TÜV工業服務總經理

在德國萊因TÜV近15年工作經驗，目前主要負責TÜV萊因在大中華區內的功能安全及網路安全培訓、諮詢、審核、驗證等安全解決方案。曾經參與多個和軌道交通、汽車電子、流程自動化、工廠自動化、電動扶梯安全控制等領域，安全產品相關的功能安全及網路安全驗證、諮詢、評估等相關專案。