快捷搜索:

工控安全系统亟待顶层设计_2

  专门针对工业控制系统的震网病毒感染了全球超过45000个网络,它被称为有史以来最复杂的网络武器,因为它悄然袭击伊朗核设施的手法极其阴险。这给全球工业控制系统的安全敲响了警钟。

  目前我国工业控制系统尤其是高端系统还处于无设防的状态,一旦遇到信息安全事故后果不堪设想!工业控制系统信息安全技术国家工程实验室主任宋黎定在接受《中国电子报》记者采访时说。

  12月1日,我国工业控制系统信息安全技术国家工程实验室(以下简称实验室)在北京正式揭牌宣告成立,这标志着国家对工控系统信息安全的重视程度上升到新的高度,可发现、可防范、可替代将成为我国工控系统建设目标。

  我国工控安全形势严峻

  工控系统逐渐采用通用的通信协议、硬软件系统,不设防地暴露于互联网上。

  随着物联网等信息技术高速发展,以往相对封闭的工业控制系统逐渐采用通用的通信协议、硬软件系统,部分工业控制系统也能够以某些方式连接到互联网等公共网络上,越来越多的工业控制系统暴露于互联网上。

  由于工业控制系统广泛采用通用软硬件和网络设施,以及与企业管理信息系统的集成,导致工业控制系统越来越开放,并且与企业内网,甚至是与互联网产生了数据交换。传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向工控系统扩散。

  根据美国国土安全部的工业控制系统网络应急响应小组(ICS-CERT)的统计,从2012年10月~2013年5月,该组织响应的针对关键基础设施的攻击报告超过200起,已超过2012年全年,其中能源领域111起,占53%,关键制造业32起,占17%。

  我国工控安全形势更为严峻,原因有三个方面:首先,现有系统未建立安全防线。传统工业控制系统封闭运行,产品设计安全意识薄弱,基本未考虑安全防护,也没有形成针对工业控制的安全产品和技术。随着工业控制系统越来越多地采用公开协议、接入互联网,通用信息系统安全问题蔓延到工业控制系统,而现有工业控制系统基本处于没有任何信息安全防护措施的局面。

  其次,产品和服务对外依存度高,带病上岗普遍。据统计,我国22个行业900套工业控制系统主要由国外厂商提供产品,相关系统运维也由国外厂商直接接管,存在漏洞的国外工业控制产品大量应用于我国重点领域工业控制系统,在数据采集与监控系统(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)中国外产品分别占据了55.12%、53.78%及76.79%的份额,在大型可编程控制器(PLC)中则占据了94.34%的份额。

  最后,缺少工控系统信息安全仿真验证环境。工业控制系统多为实时在线系统且影响重大,不易进行安全故障分析排查、产品检测和替换、解决方案验证等工作的开展。

  可以说实验室的成立的目的就是对这些短板逐渐补齐。成立实验室首先要做三件事:制定标准,这是基础;成立系统检测、漏洞扫描的专业机构;加快国产化步伐。宋黎定表示。

  当然,实验室只是产业协同发展的一个平台部门。要想切实保障我国工业控制系统的信息安全,还需产、学、研、用以及各方面通力配合。西安电子科技大学副校长杨银堂说。

  正在完善安全标准体系

  完善工控安全标准体系迫在眉睫,检测、评估、认证服务领域隐藏巨大商机。

  我国工控领域现有系统在设计之初,并未考虑工控系统信息安全防护,而且传统信息安全技术不适应工控领域的特殊情况,因此,系统的顶层设计就显得格外关键。对于顶层设计而言,标准制定是其主要内容,也是基础。

  记者了解到,目前国内工控信息安全相关标准仍在建设之中,同时缺少自主可控的检测认证技术与工具,而且安全咨询评估等相关服务体系的建设仍在探索中,这一系列因素也造成了我国的大多数工控系统处于不设防状态。

  工业控制系统信息安全技术检测认证研究室副主任李航告诉记者,一个完善的工控系统信息安全标准体系必须适应工控系统所有应用领域,比如石油、化工、冶金和电力;不仅要涵盖现场设备层,还要涵盖现场控制层、过程监控层,以及MES层;还要贯穿于产品全生命周期,包括产品设计、制造、使用、维护和回收。

  据了解,实验室在制定标准方面的主要任务就是积极跟踪和参与国际相关标准规范制定,实现与国际认证机构的互认,体现我国工业安全意志;加快推动我国相关标准规范的制定,建立完善的标准体系;加速人才队伍培养,依据标准建设工控信息安全检测认证能力。

  制定标准完善标准体系只是第一步,接下来根据标准衍生出的检测、评估、认证服务也至关重要。

  目前,我国工控领域对信息安全服务认可度不高,一方面是因为缺少可供参考的标准规范,另一方面是因为针对工控领域信息安全的检测、评估、认证服务技术手段匮乏。李航坦言。

  他建议,为提升工控领域信息安全整体服务水平,在不断健全国家相关标准和发展自主可控安全技术体系的基础上,应该建设工业控制系统安全试验仿真平台服务支撑环境,从而为行业用户提供定制化的安全评估、安全咨询、安全防护等服务。

  在杨银堂副校长看来,随着整个工控系统信息安全市场环境不断改善和市场规模不断扩大,检测认证和安全防护等技术和服务将有巨大的市场空间。

您可能还会对下面的文章感兴趣: