今日頭條
官方微信
官方抖音
資訊頻道摘要:本文針對(duì)我國工業(yè)控制系統(tǒng)信息安全面臨的外部安全形勢與內(nèi)在安全需求,總結(jié)了我國工業(yè)控制系統(tǒng)信息安全面臨的緊迫性問題,包括控制系統(tǒng)非自主可控問題、薄弱的基礎(chǔ)與快速發(fā)展不平衡的問題、工控系統(tǒng)安全本質(zhì)問題以及安全人才問題,在此基礎(chǔ)上提出了工業(yè)控制系統(tǒng)信息安全問題的對(duì)策分析,希望對(duì)我國工控系統(tǒng)安全的發(fā)展提供有益的思考。
關(guān)鍵詞:工業(yè)控制系統(tǒng);信息安全;緊迫問題;趨勢;內(nèi)生安全
1 引言
隨著國家安全政策的大力推廣,信息安全技術(shù)的快速升級(jí)與創(chuàng)新、工業(yè)控制系統(tǒng)安全需求的大力推動(dòng),泛在物聯(lián)網(wǎng)狀態(tài)的工業(yè)控制系統(tǒng)面臨大安全威脅不斷升級(jí),嚴(yán)重影響了關(guān)鍵基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行,超過80%的涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動(dòng)化作業(yè),工業(yè)控制系統(tǒng)作為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,其安全關(guān)系到國家安全。同時(shí)國際環(huán)境的激烈競爭、網(wǎng)絡(luò)空間安全戰(zhàn)略的發(fā)展,也將工業(yè)控制系統(tǒng)安全上升到了國家戰(zhàn)略安全層面。
2 工業(yè)控制系統(tǒng)安全成為安全重點(diǎn)領(lǐng)域
2.1 工業(yè)控制系統(tǒng)安全問題突出
我國進(jìn)入工業(yè)轉(zhuǎn)型的快速發(fā)展期,智能制造推動(dòng)著信息化與工業(yè)化的不斷融合,導(dǎo)致工業(yè)控制系統(tǒng)的信息安全問題更加突出。工業(yè)控制系統(tǒng)安全問題是內(nèi)外交加困難性突出,行業(yè)應(yīng)用特殊性明顯。
一是由于工業(yè)控制系統(tǒng)開發(fā)本身安全性考慮不足,自身安全性能不強(qiáng),表現(xiàn)在當(dāng)前主流的工業(yè)控制系統(tǒng)普遍存在安全漏洞,且多為能夠造成遠(yuǎn)程攻擊、越權(quán)執(zhí)行的嚴(yán)重威脅類漏洞,近年來漏洞的數(shù)量呈快速增長的趨勢,特別是SCADA、HMI、PLC、工業(yè)交換機(jī)等漏洞數(shù)量排名靠前。
二是專有的工業(yè)控制系統(tǒng)協(xié)議缺乏足夠的安全性考慮,各控制系統(tǒng)廠商的私有通信協(xié)議或規(guī)約在設(shè)計(jì)時(shí)側(cè)重于實(shí)時(shí)性、可用性,缺乏安全性,如普遍的加密算法能力不足、薄弱的安全認(rèn)證機(jī)制、不完善的授權(quán)權(quán)限,無線通信協(xié)議尤為明顯。協(xié)議的不安全性增加了網(wǎng)絡(luò)層竊聽、篡改、冒用攻擊的吸引力。
三是在工業(yè)生產(chǎn)環(huán)境系統(tǒng)長期運(yùn)行的實(shí)際環(huán)境,使得系統(tǒng)和軟件存在大量老舊不進(jìn)行升級(jí)的普遍情況,并且系統(tǒng)補(bǔ)丁兼容性差、系統(tǒng)軟件難以及時(shí)升級(jí)。
四是工業(yè)企業(yè)覆蓋面廣,細(xì)分行業(yè)眾多,行業(yè)存在安全門檻。普遍認(rèn)為進(jìn)入電力行業(yè)的工控安全產(chǎn)品具有較高的標(biāo)準(zhǔn)和門檻,其他如能源、軌道交通、煙草、醫(yī)藥、制造業(yè)由于其業(yè)務(wù)應(yīng)用場景不同,要基于其行業(yè)業(yè)務(wù)應(yīng)用規(guī)則或工藝場景進(jìn)行安全防護(hù);同時(shí)各工業(yè)企業(yè)信息安全水平不一而足,差距明顯。
五是外部網(wǎng)絡(luò)環(huán)境的變化,針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊、惡意軟件、漏洞利用事件頻發(fā)。國家層面的網(wǎng)絡(luò)空間安全博弈、利用信息和通信技術(shù)進(jìn)行的致命性攻擊以及對(duì)國家重要基礎(chǔ)設(shè)施對(duì)象和相關(guān)信息系統(tǒng)的攻擊愈加嚴(yán)峻。
2.2 工控行業(yè)安全發(fā)展趨勢迅猛
據(jù)研究機(jī)構(gòu)數(shù)據(jù)顯示,隨著國家及政策對(duì)工控安全的不斷重視和支持,工控安全將進(jìn)入快速發(fā)展時(shí)期。2010年國內(nèi)工控安全市場規(guī)模約2.3億元,2017年是工控安全的行業(yè)爆發(fā)年,國內(nèi)工控安全市場規(guī)模達(dá)到了17.12億元。我國工控安全市場未來增長速度持樂觀預(yù)期,預(yù)計(jì)至2025年,工控安全市場將超過70億元,行業(yè)發(fā)展前景持續(xù)看好。
信息安全廠商開始建立完善的安全產(chǎn)品和方案體系。國內(nèi)的科研院所、工控系統(tǒng)廠商、信息安全廠商以及一些專注做工控安全的新興企業(yè)都將一定的研發(fā)力量投入工控安全的研究及產(chǎn)品研發(fā)領(lǐng)域,安全產(chǎn)品線日益豐富,形成差異化競爭局面。此外多數(shù)信息安全服務(wù)商正在積極部署工業(yè)互聯(lián)網(wǎng)、工業(yè)云平臺(tái),以及將態(tài)勢感知、人工智能應(yīng)用于工控安全防御、監(jiān)測、預(yù)警等方面。
2.3 工控信息安全政策、法規(guī)、體系不斷完善
工控安全的發(fā)展得益于國家網(wǎng)絡(luò)安全政策的大力推廣,“沒有網(wǎng)絡(luò)安全就沒有國家安全”,國家提出要加強(qiáng)信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù),落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)責(zé)任,工業(yè)不但要發(fā)展,也要安全。
2014~2019年是安全政策與規(guī)范標(biāo)準(zhǔn)不斷出臺(tái)、逐漸完善、日益豐富的5年。國家對(duì)于工控安全的政策逐步加碼,標(biāo)準(zhǔn)落地加快,為我國工控安全發(fā)展提供了良好的產(chǎn)業(yè)環(huán)境。工信部2016年10月發(fā)布《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》被視為網(wǎng)絡(luò)安全等級(jí)保護(hù)制度先行版;2017年6月《中華人民共和國網(wǎng)絡(luò)安全法》提出“可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)”;2017年12月工信部發(fā)布《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》強(qiáng)調(diào)全國性的“一網(wǎng)一庫三平臺(tái)”的建設(shè),提出2020年前要實(shí)現(xiàn)“工控安全管理工作體系”;2019年網(wǎng)絡(luò)安全等級(jí)保護(hù)體系指南逐一推出,將工業(yè)控制系統(tǒng)作為新應(yīng)用納入等級(jí)保護(hù),對(duì)工控安全領(lǐng)域形成實(shí)質(zhì)性利好。同時(shí),產(chǎn)業(yè)聯(lián)盟的作用非常明顯,極大地促進(jìn)了信息安全資源整合,形成包括“安全等級(jí)、安全要求、安全實(shí)施、安全測評(píng)”等標(biāo)準(zhǔn)體系。
3 我國工業(yè)控制系統(tǒng)信息安全緊迫性問題
3.1 工業(yè)控制系統(tǒng)非自主化可控問題
首先,談到工控安全,不可回避的是控制系統(tǒng)的非國有化,這也是安全防護(hù)產(chǎn)品與解決方案在實(shí)際應(yīng)用的尷尬之處。縱觀我國工業(yè)企業(yè)的工控系統(tǒng)建設(shè)歷程,老、新系統(tǒng)都有國外廠商品牌參與其中,并且關(guān)鍵組件與系統(tǒng)的集成搭建仍由國外廠商實(shí)施,核心系統(tǒng)的非自主可控化,其安全態(tài)勢十分嚴(yán)峻。
其次,工業(yè)控制系統(tǒng)的傳輸協(xié)議也受制于國外,OPC、ModbusTCP、工業(yè)以太協(xié)議均是國外標(biāo)準(zhǔn)。通常采用的控制系統(tǒng),要求必須配套采用業(yè)務(wù)系統(tǒng)、數(shù)據(jù)傳輸系統(tǒng)。
再者,通用操作系統(tǒng)的安全漏洞也是非常嚴(yán)重的問題,在工業(yè)企業(yè)環(huán)境中由于升級(jí)補(bǔ)丁困難等現(xiàn)狀使其更加突出。如果網(wǎng)絡(luò)安全攻擊一旦滲透進(jìn)工業(yè)控制網(wǎng)絡(luò),那么諸多老舊的操作系統(tǒng),將成為內(nèi)部攻擊的絕佳跳板。
因此,我國實(shí)現(xiàn)工業(yè)控制系統(tǒng)自主可控的道路還很艱難。
3.2 工業(yè)控制系統(tǒng)基礎(chǔ)薄弱同時(shí)發(fā)展太快
我國工業(yè)企業(yè)的安全水平與智能化水平參差不齊。大量老舊的工業(yè)控制系統(tǒng)投產(chǎn)多年,安全防護(hù)狀態(tài)十分脆弱,安全改造十分困難。
當(dāng)前處于工業(yè)企業(yè)升級(jí)換代的大環(huán)境中,兩化融合和智能制造的不斷推進(jìn),將工業(yè)控制系統(tǒng)的模塊不斷集成、系統(tǒng)不斷擴(kuò)大,數(shù)據(jù)傳輸、生產(chǎn)集中管理的需求使工業(yè)生產(chǎn)網(wǎng)絡(luò)之間、生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間的交互越來越多。在將本來相對(duì)獨(dú)立的系統(tǒng)打通過程中,保護(hù)信息安全和網(wǎng)絡(luò)安全采用安全防護(hù)措施,并不是從系統(tǒng)整體性角度考慮,是單純強(qiáng)調(diào)信息安全。但工控系統(tǒng)實(shí)際上是強(qiáng)耦合、關(guān)聯(lián)作用緊密的整體,割裂工控系統(tǒng)做安全的結(jié)果就是將暴露系統(tǒng)更多的安全問題,引入新的安全風(fēng)險(xiǎn),如功能安全風(fēng)險(xiǎn)。
此外,諸多信息安全防護(hù)廠商提出了各自安全架構(gòu)平臺(tái)、應(yīng)用在向智能化、云平臺(tái)發(fā)展,這是一種發(fā)展趨勢,側(cè)重于安全攻防、態(tài)勢感知、動(dòng)態(tài)預(yù)警、智能研判與自我學(xué)習(xí),但是相比于工業(yè)企業(yè)的緊迫而實(shí)際、底層必須落地的安全需求,略顯超前。可以總結(jié)為新型概念層出不窮,安全落地舉步維艱。
3.3 安全防護(hù)思路與工業(yè)控制系統(tǒng)安全本質(zhì)
工業(yè)控制系統(tǒng)安全的防護(hù)思路,經(jīng)歷了“隔離就安全”-“單點(diǎn)防護(hù)”-“縱深防御”-“內(nèi)生安全”的演變。
從工業(yè)控制系統(tǒng)安全問題的提出,初始階段認(rèn)為工業(yè)控制網(wǎng)絡(luò)是隔離的,所以內(nèi)部系統(tǒng)即使“裸奔”也是安全的。隨著工業(yè)升級(jí)帶來的網(wǎng)絡(luò)界限被打破,以及內(nèi)部安全問題與事件的暴露,使“隔離就安全”這種理念被顛覆。之后進(jìn)入安全防護(hù)產(chǎn)品的戰(zhàn)國時(shí)代,各安全廠商進(jìn)行安全防護(hù)產(chǎn)品的開發(fā)與適用,如終端安全類、防火墻、網(wǎng)絡(luò)網(wǎng)關(guān)、審計(jì)類、監(jiān)測類。隨著產(chǎn)品體系不斷健全與完善,從打補(bǔ)丁單點(diǎn)防護(hù)到建立起安全防護(hù)體系,這是安全防護(hù)措施的集大成成果,但是存在著影響工控系統(tǒng)“實(shí)時(shí)性”、成本過高、防護(hù)過重等問題。
工控安全發(fā)展到現(xiàn)在,提出內(nèi)生安全的概念。表現(xiàn)在兩種思維,第一種思維是從控制系統(tǒng)的內(nèi)生安全出發(fā),強(qiáng)調(diào)源頭控制,建立工業(yè)控制系統(tǒng)的全生命周期安全管理,融合安全設(shè)計(jì)、安全編碼、安全測試等安全開發(fā)技術(shù),以及安全運(yùn)維、安全升級(jí)等安全管理技術(shù),以消除系統(tǒng)各生命階段可能出現(xiàn)的來自于人員知識(shí)和技能、開發(fā)環(huán)境、業(yè)務(wù)邏輯引入系統(tǒng)缺陷的安全風(fēng)險(xiǎn);第二種是強(qiáng)調(diào)安全防護(hù)系統(tǒng)的內(nèi)生安全,通過安全體系的規(guī)劃設(shè)計(jì),通過安全防護(hù)產(chǎn)品與安全防護(hù)管理措施落實(shí),采用智能化分析、態(tài)勢感知、大數(shù)據(jù)等先進(jìn)技術(shù),實(shí)現(xiàn)動(dòng)態(tài)綜合防護(hù)。第二種思維落于高處,依然回避了工業(yè)控制系統(tǒng)安全的本質(zhì)問題。
3.4 安全人才問題
安全人才短缺一直是網(wǎng)絡(luò)和信息安全發(fā)展面臨的最大的挑戰(zhàn),我國的信息安全從業(yè)者的水平不比歐美的水平差。雖然安全從業(yè)人員數(shù)量巨大但是缺口性相當(dāng)明顯,且能夠進(jìn)入到企業(yè)的安全管理與運(yùn)維人才十分稀缺,需要培養(yǎng)工控系統(tǒng)信息安全人才,提高相關(guān)崗位人員的知識(shí)、技能水平。
4 工業(yè)控制系統(tǒng)信息安全問題對(duì)策分析
為保障我國工業(yè)控制系統(tǒng)安全,加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù),提升工控安全防護(hù)能力,必須在政府主管部門的組織下,充分發(fā)揮產(chǎn)業(yè)聯(lián)盟、工控安全企業(yè)、標(biāo)準(zhǔn)研究機(jī)構(gòu)、控制系統(tǒng)廠商等安全鏈上下游的合作效應(yīng)。落實(shí)工控企業(yè)信息安全防護(hù)措施,推動(dòng)工業(yè)控制系統(tǒng)安全發(fā)展,共同維護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全,共同打造網(wǎng)絡(luò)安全生態(tài)圈。
4.1 落實(shí)企業(yè)基本的工控安全防護(hù)措施
面對(duì)企業(yè)工控安全的薄弱基礎(chǔ),應(yīng)主動(dòng)與工控安全服務(wù)商、控制系統(tǒng)廠商,建立聯(lián)動(dòng)工作機(jī)制,因地制宜地逐步消除企業(yè)自身工控系統(tǒng)的安全漏洞,如從弱口令密碼整改開始,逐步推進(jìn)漏洞補(bǔ)丁升級(jí)、部署安全防護(hù)設(shè)備、完善安全管理制度、建立安全管理體系。在消除薄弱基礎(chǔ)的前提下,可以充分利用物聯(lián)網(wǎng)技術(shù)、人工智能技術(shù)、大數(shù)據(jù)技術(shù),擴(kuò)展企業(yè)工控安全范圍,提高安全監(jiān)測、預(yù)警、分析判斷能力,提升安全態(tài)勢感知能力,從靜態(tài)防護(hù)走向動(dòng)態(tài)防御。
4.2 信息安全與功能安全的融合
工業(yè)控制系統(tǒng)信息安全需要強(qiáng)調(diào)工控系統(tǒng)內(nèi)生安全。工業(yè)控制系統(tǒng)安全是個(gè)大安全范圍,是工控系統(tǒng)在全生命周期的安全可達(dá)性,由控制系統(tǒng)本質(zhì)安全、安全防護(hù)軟件及系統(tǒng)本質(zhì)安全、業(yè)務(wù)生產(chǎn)過程安全、功能安全、系統(tǒng)網(wǎng)絡(luò)安全、信息安全共同構(gòu)成的安全,簡而言之應(yīng)該是功能安全與信息安全的融合。建立這樣的安全需要以保障工業(yè)系統(tǒng)可用性為目標(biāo),綜合運(yùn)用功能安全、信息安全等技術(shù)手段和防護(hù)措施,保障工控系統(tǒng)在生命周期內(nèi)的安全穩(wěn)定運(yùn)行。傳統(tǒng)的工業(yè)安全理論和單一的技術(shù)手段已經(jīng)不能保證工業(yè)的安全穩(wěn)定運(yùn)行,只有建立基于行業(yè)業(yè)務(wù)規(guī)則的新的理論和技術(shù)創(chuàng)新,才有可能解決工控系統(tǒng)的本質(zhì)安全,之后再從核心安全走向外圍安全,所有脫離工控系統(tǒng)功能安全談信息安全的都是偽安全,我們不能拋棄核心只專注于構(gòu)建“馬奇諾防線”。
4.3 基于行業(yè)應(yīng)用場景的工控系統(tǒng)安全
工業(yè)企業(yè)行業(yè)劃分較多,單純的采用一套安全防護(hù)體系,不能解決特定安全需求。行業(yè)之間的工藝場景、業(yè)務(wù)應(yīng)用造成設(shè)備間的差異,以及生產(chǎn)數(shù)據(jù)的保密要求,每個(gè)行業(yè)對(duì)現(xiàn)場控制裝置、控制系統(tǒng)的要求都不一樣。安全服務(wù)廠商應(yīng)基于業(yè)務(wù)應(yīng)用場景解決“個(gè)性化”安全需求,依據(jù)工業(yè)業(yè)務(wù)特點(diǎn)開藥方。
4.4 其他安全舉措
其他安全舉措包括建立企業(yè)安全工作機(jī)制,推動(dòng)安全措施落地;繼續(xù)推動(dòng)工控安全管理標(biāo)準(zhǔn)與技術(shù)標(biāo)準(zhǔn)的制定,統(tǒng)籌安全產(chǎn)業(yè)發(fā)展,使安全有法可依,有據(jù)可查;加強(qiáng)工控系統(tǒng)安全評(píng)估能力建設(shè),加強(qiáng)測評(píng)技術(shù)研究;高度重視網(wǎng)絡(luò)安全人才培養(yǎng)工作,不僅要培養(yǎng)精通信息系統(tǒng)使用和維護(hù)的技術(shù)人才,還要培養(yǎng)大批能夠開展網(wǎng)絡(luò)安全運(yùn)行維護(hù)、風(fēng)險(xiǎn)管控、應(yīng)急處置和綜合防護(hù)的人才,從而滿足國家和行業(yè)及企業(yè)自身的要求;最后,將安全落實(shí)到日常運(yùn)維管理中,使安全成為一種行為。
5 結(jié)語
對(duì)于安全服務(wù)商而言,工控安全市場面臨巨大的機(jī)遇與挑戰(zhàn),也需要強(qiáng)大的社會(huì)責(zé)任;對(duì)于工業(yè)企業(yè)而言,管控工控安全風(fēng)險(xiǎn)已經(jīng)成為日常運(yùn)維管理不可或缺的內(nèi)容。我們不能回避自身工控安全的基礎(chǔ),必須在落地基本安全防護(hù)措施的基礎(chǔ)上,進(jìn)行安全防護(hù)能力的提升;同時(shí)也要有技術(shù)自信,堅(jiān)持技術(shù)創(chuàng)新,積極探索安全新技術(shù),能夠抵御安全風(fēng)險(xiǎn)應(yīng)對(duì)安全事件,提高安全防護(hù)能力。構(gòu)架安全生態(tài)圈,推動(dòng)工控安全產(chǎn)業(yè)發(fā)展,加強(qiáng)網(wǎng)絡(luò)安全核心技術(shù)能力建設(shè),為提升我國網(wǎng)絡(luò)安全保障能力,構(gòu)筑我國網(wǎng)絡(luò)安全堅(jiān)固屏障不斷貢獻(xiàn)力量。
作者簡介
李曉龍,男,碩士,畢業(yè)于大連海事大學(xué),現(xiàn)就職于青島海天煒業(yè)過程控制技術(shù)股份有限公司,研究方向?yàn)楣I(yè)控制系統(tǒng)網(wǎng)絡(luò)安全和信息安全,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和安全評(píng)估技術(shù)、安全體系建設(shè)、安全防護(hù)方案,具有豐富的工業(yè)控制系統(tǒng)信息安全項(xiàng)目經(jīng)驗(yàn)與堅(jiān)實(shí)的信息安全技術(shù)與理論基礎(chǔ)。
參考文獻(xiàn):
[1] 林楓. 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的思考[J]. 信息通信, 2017, ( 5 ) : 123 - 124.
[2] 馮偉. 我國工業(yè)控制系統(tǒng)面臨的信息安全挑戰(zhàn)及措施建議[J]. 信息安全技術(shù), 2013, 2.
[3] 張敏, 張五一, 韓桂芬. 工業(yè)控制系統(tǒng)信息安全防護(hù)體系研究[J]. 工業(yè)控制計(jì)算機(jī), 2016.
[4]李國斌. 企業(yè)工控系統(tǒng)信息安全管理初探[J]. 科學(xué)與信息化,2018, ( 03 ) : 146.
[5]夏春明, 劉濤, 王華忠, 吳清. 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及發(fā)展趨勢[J]. 信息安全與技術(shù),2013, ( 02 ) : 13 - 18.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)