長期以來,工業控制系統被認為是相對專業和封閉的、只有少數具有專業知識背景的技術人員才能夠了解和接觸到的控制系統,加之工業控制系統往往處于物理隔離狀態,所以一般地認為工業控制系統不太會受到信息安全方面的威脅。但這些年來,隨著信息化的推動和工業化進程的加速,越來越多的計算機和網絡技術應用于工業控制系統,在為工業生產帶來極大推動作用的同時,也帶來了諸如木馬、病毒、網絡攻擊等安全問題。尤其是近期“棱鏡門”事件曝光、工行6月發生系統升級事件,信息安全已被上升至國家戰略高度。那么,如何更好地保障工業控制系統的安全,如何更有力地免于外部威脅,是我們在推動兩化深度融合的進程中不斷思索和探討的問題。
“工業控制系統信息安全正面臨著嚴重的威脅。”工業和信息化部信息安全協調司副司長歐陽武在日前召開的首屆工業信息安全高峰論壇上指出,隨著計算機和互聯網的發展,特別是信息化與工業化的深度融合以及物聯網的快速發展,工業控制系統的安全問題越來越突出。
目前,我國如石油、電力、水利等部門均有各自的工業控制系統,若受到黑客攻擊,后果不堪設想。據工業和信息化部電子科學技術情報研究所同日發布的《2013年中國ICS信息安全市場研究》報告顯示,目前國內工業控制系統信息安全在工業擬態網、控制設備、應用軟件方面均存在較大隱患,其中化工與石化行業因控制系統的安全隱患受到的損失最大。報告同時認為,未來的工業控制系統信息安全將著重于安全審計及運營服務方面。2012年,國內工業控制系統信息安全市場已達11億元,未來5年還將保持年均15%的增長速度,其中交通系統將是發展最快領域。
攸關國計民生
近年來,各個工業行業頻發的信息安全事故表明,一直以來被認為相對安全、相對封閉的工業控制系統已經成為不法組織和黑客的攻擊目標,黑客攻擊正在從開放的互聯網向封閉的工控網蔓延。
工業控制系統包括過程控制、數據采集系統(SCADA)、分布式控制系統(DCS)、程序邏輯控制(PLC)以及其他控制系統等,目前已廣泛應用于電力、水力、石化、醫藥、食品以及汽車、航天等工業領域,成為國家關鍵基礎設施的重要組成部分,關系到國家的戰略安全。據不完全統計,超過80%涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業,工業控制系統已成為國家安全戰略的重要組成部分。
“經濟越發達,科技越進步,關鍵基礎設施中工業控制系統的地位和作用就越重要。”歐陽武表示。無論是高速鐵路、民用航空,還是火電、水電、電力的輸配線以及石油天然氣的管道運輸,抑或工業生產系統石油化工以及先進制造系統等,都和工業控制系統分不開。這些基礎設施的工業控制系統一旦受到攻擊,不僅會造成巨大的經濟損失,還會對人民的生命安全造成威脅。
在此不得不提及席卷全球工業界的病毒——“震網”。2010年6月,德國安全專家發現可攻擊工業控制系統的震網病毒。截至當年9月底,該病毒感染了全球超過45000個網絡,其中伊朗最為嚴重,直接造成其核電站推遲發電。震網病毒專門針對西門子公司的SIMATICWinCC監控與數據采集(SCADA)系統進行攻擊,通過直接篡改PLC控制代碼實施。而SIMATICWinCC監控與數據采集(SCADA)系統在中國的多個重要行業應用廣泛,如鋼鐵、電力、能源、化工等行業。
“工業控制系統信息安全問題不但在能源、化工、石化、交通運輸等國民經濟關鍵領域要關注,對于中小型制造企業方面更要引起重視。”和利時科技集團技術總監朱毅明表示。
專家建議,在關系到國計民生與國家安全的重大項目中,對國外品牌的選擇需要更加謹慎,并對中國自主研發的產品有足夠的重視。另有分析人士認為,在“棱鏡門”等事件的持續發酵下,未來進口替代將是投資工控信息安全產業的主要因素,未來3年,國內信息安全有望保持20%左右的復合增長率。
縱深防護應對
中國海洋石油總公司高級工程師郭強在談到工控系統面臨的威脅時說,工業控制系統面臨的威脅是多樣化的,一方面,敵對政府、恐怖組織、商業間諜、內部不法人員、外部非法入侵者等對系統虎視眈眈;另一方面,系統復雜性、人為事故、操作失誤、設備故障和自然災害等也會對工業控制系統造成破壞。
盡管工業控制系統信息安全問題無法避免,但也有規可循。西門子(中國)有限公司信息安全專家分析近些年出現的工控系統安全問題認為:“除少數特別復雜的攻擊外,主要的問題還是集中在工業PC感染IT病毒后導致工業應用失效,或影響到工業擬太網,其次是各種工控設備、應用在部署中普遍采用弱口令、空口令、靜態口令,再有就是利用工程師站上網或從事其他無關用途等管理脆弱性所帶來的安全問題。”
為了夯實工業控制系統脆弱的防護體系,以西門子和施耐德電氣為代表的工業控制系統廠商在2012年都推出了以縱深防御為核心的工業控制系統信息安全解決方案,他們認為縱深防御是實現工業控制系統信息安全的最佳方法。
施耐德電氣工業事業部工業信息安全技術總監王斌介紹,縱深防御體系包括設備級、系統級和管理級,涉及安全計劃、網絡分隔、邊界保護、網段分離、設備加固以及監視和更新6大安全防御步驟。
完善管理制度
歐陽武表示,我國的工業控制系統信息安全起步相對較晚,目前工業控制系統的安全防護能力還比較薄弱,有很多工作需要做。加快工業控制系統信息安全的制度建設,制定工業控制系統信息安全的標準,提升工業控制系統信息安全的保障能力等,都是需要著力的工作方面。
缺乏完整有