堵住工控系统的漏洞
2013-04-29姜红德
姜红德
随着两化融合和物联网的应用普及,工控系统已经成为我国关键基础设施的重要组成部分。
工控系统信息安全事关国家命脉,先前人们较少提及,而在近期突然成为一个新的关注点。2010~2012年间,伊朗、叙利亚等中东国家的计算机网络先后出现了“震网”、“火焰”等病毒,能够对与石油工业相关的计算机实施监控、截取信息乃至破坏。
随着两化融合和物联网的应用普及,工控系统已经成为我国关键基础设施的重要组成部分。因此,这些工控系统一旦遭受信息安全威胁,其后果的严重性不堪设想。两化深度融合的挑战
2009年至2012年期间,工业和信息化部组织专业研究力量先后对钢铁、机床、汽车、棉纺织、家电等17个行业开展了两化融合发展水平评估工作。报告显示,随着我国工业化和信息化的深度融合以及物联网的快速发展,工业控制系统面临的信息安全问题日益严重。
越来越多的数控系统和智能设备应用到了工业现场中,它们更多的采用了开放性和透明性较强的通用协议、通用硬件和通用软件,并通过各种方式与企业内网以及互联网实现连接,使企业的生产计划、调度指令等可通过信息系统直接下达到车间、生产线,甚至具体生产装备,实现企业生产过程的管控一体化。然而,网络的互联性、开放性越是先进,其承受的恶意企图也就越多。
在2012年10月于杭州举办的全国首期“工业控制系统信息安全保障能力建设高级研修班”上,工信部信息安全协调司欧阳武副司长接受记者采访时表示,我国工控系统的安全形势非常严峻。“约80%的企业从来不对工控系统进行升级和漏洞修补,有52%的工控系统与企业的管理系统、内网甚至互联网连接;此外,一些存在漏洞的国外工控产品依然在国内的某些重要装置上使用。更为严重的问题还在于,对于发现风险源头缺乏手段,对控制风险的技术与方法缺乏必要的研究。”
欧阳武司长认为,工控系统信息安全成为关注点主要有两个原因:一方面,随着计算机技术的发展,很多专业的系统实现了通用化,现在的工控系统开始在通用技术的基础上做专业的系统设计,这样一来,存在于计算机信息系统中的漏洞被带到了工控系统里。另一方面,长期以来工控系统并没有因为信息安全问题发生大的事故,人们普遍存在“病毒很少能对工业控制系统造成危害”的意识。但是,伊朗的“震网”事件,给了全世界一个警示,计算机病毒不仅可以感染到工控系统,而且可以对控制对象进行物质破坏。
据介绍,目前我国在工控高端设备上还在使用国外的产品,软件开发中存在逻辑冲突和错误不可避免,彻底消除信息安全漏洞是不现实的,在这种现实情况下,就必须加强管理。2011年9月29日,经国务院同意,工信部下发了《关于加强工业控制系统信息安全管理的通知》,标志着我国工业系统信息安全工作的启动。
围绕着这一文件的落实,工信部对重要工业控制系统及其应用单位、中央企业有了基本的了解,并对所有中央企业在本集团内部进行了摸底调查。接下来工信部办公厅于2012年又印发了《关于开展工业控制系统信息安全风险信息发布工作的通知》,对工业控制系统信息安全风险信息发布工作做出了安排,目前国内已经发布了200多个漏洞。
如何堵住漏洞?
工控系统的安全问题日益严重,确保工控系统的安全可控,已经不仅仅是单个研究机构或企业要思考的问题,更需要国家层面进行战略布局,产业界群策群力。
据中国机械工业仪器仪表综合技术经济研究所所长欧阳劲松介绍,传统IT信息安全一般要实现三个目标,即保密性、完整性和可用性,通常都将保密性放在首位,并配以必要的访问控制,以保护用户信息的安全,防止信息盗取事件的发生,完整性放在第二位,而可用性则放在最后。对于工业自动化控制系统而言,目标优先级的顺序则正好相反,工控系统信息安全首要考虑的是所有系统部件的可用性,完整性则在第二位,保密性通常都在最后考虑。
面对我国工业控制系统安全的压力,欧阳劲松表示,当下最为紧迫的任务是树立工控系统安全和防范意识、建立出台相关标准与法规、系统管理第三方认证机构,同时他认为工业控制系统信息安全问题必须在国家的推动和贯彻下才能得到切实解决。
目前在传统IT信息安全领域,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,我国已经发布了《信息安全等级保护管理办法》,对信息系统分等级实行安全保护。同样地,为保障工业控制系统的信息安全,更加迫切地需要有关政府部门发布相关法令法规,引起各行业足够的重视,并规范行业实践。
标准化的工作由于涉及到工控系统的各项具体指标,对工控系统的安全产生的影响更加深入。据了解,在国际上IEC/TC65(工业过程测量、控制和自动化标准化技术委员会)负责制定控制领域用于工业测量与控制的系统以及元件方面的国际标准。
“在国内,工业系统信息安全的标准制定也是一直受到关注和重视的领域”,据欧阳劲松介绍,全国工业过程测量和控制标准化技术委员会已经获工信部批准,正式立项启动了3项IEC62443国际标准转化为行业标准的制定工作,并成立了专门的工业控制系统信息安全起草工作组。