近期“棱鏡門”的持續發酵,正使得社會上下對網絡信息安全的問題高度關注。實際上,不僅僅在傳統的公用互聯網領域,由于關注度不夠和前期起步階段存在種種客觀問題,工業信息安全相對于傳統互聯網領域存有更大的隱患。
分析人士指出,工業控制系統面臨的信息安全問題正日益嚴重。為保證能源和基礎設施行業控制系統的安全穩定運行,需要建立有針對性的安全防護體系,創建“本質安全”的工業控制網。
在8月8日舉行的工業信息安全用戶高峰論壇上,參會者認為,工控信息安全產業的相關政策參考仍來自于工信部2011年的451號文,不排除未來政策加碼的可能,進口替代將是主推相關行業增長的主要邏輯。
系統軟硬件存隱患
不可否認,信息技術的迅猛發展正令我國的工業生產效率大幅提高,特別是互聯網技術的出現,使得工業控制網絡和企業管理網的聯系越來越緊密。但另一方面,傳統工業控制系統采用專用的硬件、軟件和通信協議,設計上基本沒有考慮過通信安全問題。因此,在工控系統開放的同時,安全隱患問題日益嚴峻。系統中任何一點受到攻擊,都有可能導致整個系統的癱瘓。目前,我國如石油、電力、水利等命脈部門均有各自的工業控制系統,若受到黑客攻擊,后果不堪設想。
分析人士認為,當前我國工控系統有兩大隱患較為突出:首先是通信協議和OS(操作系統)的安全問題。當前工業化、信息化深度融合,TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工業控制網絡中,通信協議漏洞問題日益突出。另外,目前我國工業控制軟件系統的OS多采用windows平臺,為了維持系統的穩定性,工程師在系統開車后一般不會再進行update更新,這同樣給安全問題埋下炸彈。
而在中游,安全策略和殺毒軟件同樣存有漏洞。近期一篇產業研究報告透露,我國工業控制系統中移動存儲介質包括筆記本電腦、U盤等設備的使用,存在不嚴格的訪問控制策略。為了保證工控應用軟件的可用性,許多工控系統操作站通常不會安裝殺毒軟件。而且,和OS一樣,為了維持系統的穩定,病毒庫系統也長期不更新。
下游的應用軟件層面,也應該形成統一的防護規范,以應對安全問題。當應用軟件面向網絡應用時,就必須開放其端口,攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞,較容易地獲取諸如污水處理廠、天然氣管道以及其他大型設備的控制權。
在2013工業信息安全用戶高峰論壇上,參會者指出,目前我國許多企業在信息安全的人才結構方面也不夠合理,許多企業的工控工程師不懂信息安全,軟件工程師不懂工控系統,使得目前許多企業在內部的協調上不夠默契。
自力更生 進口替代
目前我國工控系統信息安全的政策主要來自于工信部2011年451號文(《關于加強工業控制系統信息安全管理的通知》 )。451號文明確,重點加強核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關領域的工業控制系統信息安全管理,落實安全管理要求。
事實上,國外工控信息安全事故已有先例。據媒體報道,美國政府曾下令通過蠕蟲病毒“震網”,對伊朗主要鈾濃縮設施的計算機系統展開日益復雜的網絡攻擊,導致伊朗用來濃縮鈾的5000臺離心機中的1000臺癱瘓。
2012年9月,山西電監辦轉發國家電監會《關于做好對存在預制后門風險的羅杰康產品防范應對的工作通知》,要求對羅杰康的工業交換機進行排查。羅杰康是一家加拿大上市公司,其工業交換機產品主要應用于電力、交通等系統。據羅杰康財報顯示,公司在2008年登錄資本市場以來營收年度復核增長率接近40%,其在中國的業務更是遠超這一數字。
分析人士認為,在“棱鏡門”等事件的持續發酵下,未來進口替代將是投資工控信息安全產業的主要邏輯。西南證券研報認為,未來三年,國內信息安全有望保持20%左右的復合增長率。