近期,乌克兰西部地区的电力系统被具有高度破坏性的恶意软件攻击并导致大规模停电。据当地新闻机构TSN报道称,匿名黑客获取了机械系统已更新的远程管理控制权限,可能是通过负责工业过程自动化可编程逻辑控制器(PLC)实施的。这一事件,进一步提高了业界对工业控制系统信息安全重要性的认识。
“和2010年伊朗核设施被震网病毒攻击一样,乌克兰停电事件再一次给我们敲响了警钟,事件表明仅有物理安全隔离是远远不够的,工控系统还要具备安全机制。”1月15日,工业控制系统信息安全技术国家工程实验室理事会第二次会议暨联合创新成果展在京举办,国家工程实验室理事会理事长宋黎定在会上接受《中国电子报》记者采访时这样表示。
“十三五”目标是可替代
目前,我国高度重视工控信息安全,近期,工信部发布的《关于贯彻落实〈国务院关于积极推进“互联网+”行动的指导意见〉的行动计划(2015~2018年)》就明确指出,要加强工业信息系统安全保障体系建设,开展重点领域工控系统信息安全检查和风险评估,支持工控系统信息安全核心技术、产品研发和产业化。
据宋黎定介绍,我国工控系统信息安全分三步走,即可发现、可防范、可替代。可发现是指对现有系统的漏洞能及时发现,可防范是指系统对受到的攻击能及时处理,将损失降到最小。由于目前我国工控系统核心领域技术产品仍然被国外公司垄断,因此,国产化替代则是第三个目标。
“目前我们已经可以做到可发现、可防范,‘十三五’的目标则是可替代。”宋黎定表示。
不过,即使实现了”可替代“,我国国产工控系统技术和产品从可用到好用还需要进一步攻关。中国航天科技集团第九研究院第772研究所所长赵元富告诉《中国电子报》记者,即使达到可替代,也离应用有一段距离,这需要通过国家意志,通过示范工程应用推广来实现。毕竟,企业对工业控制产品的稳定性可靠性要求非常高,都不愿意成为首个吃螃蟹的人来应用国产品牌的新品。
记者了解到,国家工程实验室由国家发改委于2014年1月批复成立,承建单位为中国电子信息产业集团有限公司第六研究所。自挂牌成立一年多时间,实验室已发布工业控制系统信息安全仿真验证平台;完成了国产安全测试机的研发;搭建了集成研发平台和西门子典型系列PLC评估验证平台,以具有安全技术机制的全国产化自主可控PLC产品研发为主攻方向,针对国防领域的具体需求联合有关单位开展设计,NX系列PLC完成了样机的研制;开发的安全RTU产品获得了电子学会科技成果三等奖,并已完成基于安全RTU的工控SCADA系统研发;启动了基于嵌入式操作系统工控交换机的研发。由于工控信息安全是一项复杂的系统工程,国家工程实验室将通过“集智攻关、联合创新”的发展模式,加强产、学、研、用在优势资源上的协同与集成,促进技术创新与产业孵化。
从“工控的安全”到“安全的工控”
工业病毒只是工控信息安全面临的一种威胁。匡恩网络总裁兼CEO孙一桉告诉《中国电子报》记者,设备存在的漏洞、用于远程监控的后门以及无线技术的应用都会使得工控系统“大门洞开”。
据介绍,目前,大部分工业控制设备普遍存在高危漏洞,其中有些漏洞是不可改的。在设备制造商和集成商眼中,这些漏洞或许仅是设备内部存在的小缺陷,但从恶意的角度它也可成为整个系统的攻击介质。对于远程控制的后门,目前众多知名厂商的设备普遍存在后门,在正常时期用来远程监控,在非正常时期也是整个系统的一大安全隐患。另外,越来越多的无线技术的应用,已成为工业发展趋势之一。对于现代工业,无线技术无疑是把双刃剑,在机场、地铁、铁路等民生基础设施中,无线技术为企业带来高速运营和管理;同时,无线技术的规模化应用,也使工控系统面临安全隐患。
“信息化与工业化的日渐融合,给国家关键生产设施和基础设施运行的神经中枢——工控系统的安全管理提出更高要求。实现以信息化技术为载体的两化融合和《中国制造2025》,需加强工业控制领域的网络安全保障体系建设。而工业控制系统网络安全,必须逐步地从‘工控的安全’发展到‘安全的工控’,以全方位的技术和防护体系的创新实现工控系统与网络安全的融合,从而达到工控系统的‘细胞级’安全。”孙一桉表示。
他认为,要实现“细胞级”安全,需要有涵盖全生命周期的解决方案,这种全生命周期的解决方案要有全方位的、体系性的创新,并非简单边界防护,或者把信息安全再包装,而是涵盖从检测工具到保护系统,再到安全服务,最后到安全数据库,而且还要能够为工业用户提供培训、评估、监测、审计、防护、长期维护等系统服务。
本文转自d1net(转载)