導(dǎo)讀:隨著物理控制和電子系統(tǒng)的高度集成,在嚴(yán)峻的安全威脅形勢(shì)下,工業(yè)控制系統(tǒng)安全事關(guān)國家關(guān)鍵基礎(chǔ)設(shè)施安全和民生安全,必須大力加強(qiáng)安全管理。針對(duì)工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全問題提供解決思路和落地技術(shù)手段,提高工控信息安全防護(hù)技術(shù)水平刻不容緩。
工控信息安全問題日益突出
從工業(yè)控制系統(tǒng)自身來看,隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,尤其是信息化與工業(yè)化的深度融合,工業(yè)控制系統(tǒng)越來越多地采用通用協(xié)議、通用硬件和通用軟件,通過互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接的業(yè)務(wù)系統(tǒng)也越來越普遍,這使得針對(duì)工業(yè)控制系統(tǒng)的攻擊行為大幅度增長,也使得工業(yè)控制系統(tǒng)的脆弱性正在逐漸顯現(xiàn),面臨的信息安全問題日益突出。
2010年的“震網(wǎng)”病毒、2012年的超級(jí)病毒“火焰”、2014年的Havex病毒等專門針對(duì)工業(yè)控制系統(tǒng)的病毒給用戶帶來了巨大的損失,同時(shí)也直接或間接地威脅到國家安全。從2015年發(fā)生的烏克蘭電力遭受攻擊事件我們可以看到,在不需要利用復(fù)雜攻擊手段、不需要完整還原業(yè)務(wù)系統(tǒng)運(yùn)行過程的情況下,就可以對(duì)工控系統(tǒng)的運(yùn)行造成影響。
隨著各方對(duì)工控系統(tǒng)的關(guān)注,近年來工控系統(tǒng)被挖掘的漏洞呈現(xiàn)總體上升的趨勢(shì),但由于工業(yè)控制系統(tǒng)漏洞具有更高的價(jià)值,仍有大量的工控漏洞已被發(fā)現(xiàn),卻未被曝光,因此,實(shí)際的工控漏洞數(shù)量應(yīng)超出已有統(tǒng)計(jì)數(shù),同時(shí),SCADA、HMI、PLC、工業(yè)交換機(jī)等占曝光的漏洞數(shù)的前幾位。從分布的廠商來看,Siemens、advantech、scheider仍是漏洞大戶,他們的漏洞總和占全體工控漏洞總數(shù)的近30%。
我國同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾,比如2010年齊魯石化、2011年大慶石化煉油廠,工控系統(tǒng)分別感染Conficker病毒,都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷。
工控安全政策、標(biāo)準(zhǔn)先行
伴隨著國家政策的指引以及行業(yè)內(nèi)對(duì)工控安全的行業(yè)引導(dǎo),在相關(guān)因素驅(qū)動(dòng)下,工控安全產(chǎn)品應(yīng)用實(shí)例的增多及實(shí)際應(yīng)用效果得到業(yè)界的認(rèn)可,預(yù)計(jì)在不久的將來,工業(yè)控制系統(tǒng)的安全必將迅猛發(fā)展。
IEC 62443是在國際上被廣泛采納和認(rèn)可的工控系統(tǒng)標(biāo)準(zhǔn)。各國、各行業(yè)制定工控相關(guān)標(biāo)準(zhǔn)政策都會(huì)參考和吸收該標(biāo)準(zhǔn)提供的概念、方法、模型。不論是想系統(tǒng)地了解工控安全問題及其應(yīng)對(duì)措施,還是想了解部分內(nèi)容,都可以從該標(biāo)準(zhǔn)入手。
IEC62443針對(duì)工控系統(tǒng)信息安全的定義是:
A、保護(hù)系統(tǒng)所采取的措施;
B、由建立和維護(hù)保護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);
C、能夠免于對(duì)系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失;
D、基于計(jì)算機(jī)系統(tǒng)的能力,能夠保證非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能,卻保證授權(quán)人員和系統(tǒng)不被阻止;
E、防止對(duì)工控系統(tǒng)的非法或有害入侵,或者干擾其正確和計(jì)劃的操作。
縱觀國際工控安全的發(fā)展態(tài)勢(shì),美國是最早開始研究和執(zhí)行工控安全標(biāo)準(zhǔn)的國家,北美電力可靠性公司給予 CIP系列標(biāo)準(zhǔn)的要求開展在北美電力開展針對(duì)電力企業(yè)安全安全檢查(包含核電);歐洲已經(jīng)按照 WIB標(biāo)準(zhǔn)來檢測(cè)工控產(chǎn)品安全,并且以德國為代表的國家,已經(jīng)開始基于 ISO 27000系列的ISO 27009 進(jìn)行工控安全的建設(shè);日本基于 IEC 62443要求結(jié)合阿基里斯認(rèn)證要求,從 2013年起規(guī)定所有工控產(chǎn)品必須通過國家標(biāo)準(zhǔn)認(rèn)證才能在國內(nèi)使用,并且已經(jīng)在一些重點(diǎn)行業(yè)如能源和化工行業(yè)開始了工控安全檢查和建設(shè);以色列已成立國家級(jí)工控產(chǎn)品安全檢測(cè)中心,用于工控安全產(chǎn)品入網(wǎng)前的安全檢測(cè)。
2011年,工信部出臺(tái)了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號(hào))文件,第一次對(duì)工控安全管理工作提出了具體要求。近年來隨著信息技術(shù)與工業(yè)生產(chǎn)活動(dòng)的不斷融合,工控安全形勢(shì)日益嚴(yán)峻,原451號(hào)文件在指導(dǎo)開展工控安全防護(hù)工作上存在操作性不強(qiáng)、技術(shù)性不夠等不足之處。工控安全主管部門和工業(yè)控制系統(tǒng)應(yīng)用單位,都急需一個(gè)簡(jiǎn)單明了、措施化、易于落地的防護(hù)指導(dǎo)手冊(cè)。
2016年對(duì)于我國工業(yè)控制系統(tǒng)信息安全市場(chǎng)來說,應(yīng)該是收獲頗為豐厚的一年。尤其是在相關(guān)法律法規(guī)、標(biāo)準(zhǔn)等方面都取得了突破性的進(jìn)展。
2016年10月,工業(yè)和信息化部印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,其中指出,工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實(shí)責(zé)任11個(gè)方面做好工控安全防護(hù)工作。《指南》的發(fā)布是對(duì)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求的充分落實(shí),也為新時(shí)期、新形勢(shì)下做好工控安全防護(hù)工作提供了重要的參考。
《指南》在充分考慮可操作性、務(wù)實(shí)性、實(shí)施便利性等基礎(chǔ)上,提出了11大項(xiàng)、30小項(xiàng)工控安全防護(hù)措施,為相關(guān)單位開展工控安全防護(hù)工作提供了有效參考。
企業(yè)要擔(dān)負(fù)起主體責(zé)任
對(duì)大型分布式控制系統(tǒng)(DCS)實(shí)施信息安全比可編程控制器(PLC)系統(tǒng)要容易得多,因?yàn)樗鼈兌鄶?shù)部署在大型廠內(nèi),且DCS系統(tǒng)的設(shè)計(jì)安裝要依據(jù)最佳工程實(shí)踐,有一致性的標(biāo)準(zhǔn)和驗(yàn)收流程。而多數(shù)安裝在工廠的PLC系統(tǒng),則沒有統(tǒng)一的設(shè)計(jì)、規(guī)劃、實(shí)施和驗(yàn)收,因?yàn)橘徺I金額相對(duì)較小,安裝和調(diào)試的管理相對(duì)簡(jiǎn)單粗狂,因此留下諸多隱患。
為了防止網(wǎng)絡(luò)攻擊,信息安全項(xiàng)目需要一種有效和切實(shí)可行的機(jī)制,包括人員、規(guī)程和技術(shù)。我們不能指望多數(shù)制造商很快就對(duì)他們的自動(dòng)化系統(tǒng)實(shí)施網(wǎng)絡(luò)信息安全項(xiàng)目。
從性質(zhì)上看,工控安全是生產(chǎn)經(jīng)營安全,工業(yè)企業(yè)承擔(dān)工控安全防護(hù)的主體責(zé)任。企業(yè)要建立健全企業(yè)的工控安全生產(chǎn)責(zé)任制,不斷完善企業(yè)工控安全管理制度、加強(qiáng)企業(yè)人員管理、供應(yīng)鏈管理及系統(tǒng)運(yùn)維管理。
工業(yè)企業(yè)認(rèn)真研究和討論IEC62443標(biāo)準(zhǔn)和《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,檢查工廠的自動(dòng)化系統(tǒng),對(duì)工廠整體的運(yùn)行情況進(jìn)行評(píng)估,發(fā)現(xiàn)可能存在的隱含漏洞,和你的有關(guān)團(tuán)隊(duì)一起討論信息安全策略和解決方案,這不僅能提高工廠運(yùn)行的效率,而且隨時(shí)防止有一天可能出現(xiàn)的網(wǎng)絡(luò)攻擊,保護(hù)工廠的資產(chǎn)、人員和環(huán)境。
要從工控系統(tǒng)全生命周期做好安全防護(hù)。由于工業(yè)生產(chǎn)各業(yè)務(wù)環(huán)節(jié)及相關(guān)系統(tǒng)之間的連接越來越緊密,工業(yè)控制系統(tǒng)在設(shè)計(jì)、選型、建設(shè)、測(cè)試、運(yùn)行、檢修、廢棄各階段均需要做好防護(hù)工作,《指南》中的防護(hù)措施貫穿了工控系統(tǒng)的整個(gè)生命周期。
工控安全防護(hù)要從系統(tǒng)與設(shè)備安全、網(wǎng)絡(luò)安全、主機(jī)安全和數(shù)據(jù)安全方面建立綜合防護(hù)能力。傳統(tǒng)的單點(diǎn)防護(hù)已經(jīng)不能應(yīng)對(duì)日益嚴(yán)峻的安全形勢(shì),《指南》提出要在工控系統(tǒng)與設(shè)備、工業(yè)網(wǎng)絡(luò)、工業(yè)主機(jī)、工業(yè)數(shù)據(jù)各核心要素上都建立防護(hù)能力,大幅提高黑客攻擊工控系統(tǒng)的難度,切實(shí)提升工控系統(tǒng)安全水平。
要加快培養(yǎng)工控安全專業(yè)技術(shù)隊(duì)伍。當(dāng)前我國在工控安全方面的風(fēng)險(xiǎn)評(píng)估、防護(hù)方案規(guī)劃與實(shí)施方面的人才存在較大缺口,工業(yè)企業(yè)在落實(shí)《指南》中的防護(hù)措施時(shí),急需相關(guān)專業(yè)技術(shù)人員來實(shí)施有關(guān)工作。相關(guān)主管部門要通過專業(yè)建設(shè)、人才培育等多種措施,加快工控安全人才力量的建設(shè)。
小結(jié):隨著信息化網(wǎng)絡(luò)化等技術(shù)的不斷發(fā)展,控制系統(tǒng)接入互聯(lián)網(wǎng)也是大勢(shì)所趨,所以對(duì)于控制系統(tǒng)的信息安全和抵御黑客攻擊能力會(huì)要求更高。工業(yè)企業(yè)可參照《指南》選擇工控安全防護(hù)產(chǎn)品或解決方案,促進(jìn)企業(yè)落實(shí)工控安全防護(hù)措施,切實(shí)提升工控系統(tǒng)安全水平。
評(píng)論
查看更多