“安全問(wèn)題是國(guó)家乃至全球的大事,針對(duì)自動(dòng)化領(lǐng)域,最常見的安全問(wèn)題就是工業(yè)控制系統(tǒng)的信息安全。”
在日前的“2014工業(yè)控制系統(tǒng)信息安全年”大型主題系列活動(dòng)——北京站活動(dòng)中,中國(guó)自動(dòng)化學(xué)會(huì)副理事長(zhǎng)、清華大學(xué)自動(dòng)化系主任周東華教授如是強(qiáng)調(diào)說(shuō)。
事實(shí)上,我國(guó)目前也在遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾。據(jù)中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心副主任范科峰博士的調(diào)研來(lái)看,從2003年到現(xiàn)在,我國(guó)每年都有工業(yè)控制系統(tǒng)的信息安全事件發(fā)生,形勢(shì)非常嚴(yán)峻。
在這場(chǎng)由中國(guó)自動(dòng)化學(xué)會(huì)專家咨詢工作委員會(huì)主辦、工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟(ICSISIA)協(xié)辦、主題為“環(huán)保與安全”的活動(dòng)中,有來(lái)自全國(guó)30個(gè)省市自治區(qū)的百余名代表出席,他們從各自的專業(yè)領(lǐng)域,為我國(guó)工控系統(tǒng)的信息安全發(fā)展紛紛支招。
信息安全危機(jī)四伏
據(jù)報(bào)道,權(quán)威工業(yè)安全事件信息庫(kù)RISI的統(tǒng)計(jì)顯示,截至2011年10月,全球已發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件。而2001年后,通用開發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用,使得針對(duì)工業(yè)控制系統(tǒng)(ICS)的病毒、木馬等攻擊行為大幅度增長(zhǎng),結(jié)果導(dǎo)致整體控制系統(tǒng)的故障,甚至惡性安全事故,對(duì)人員、設(shè)備和環(huán)境造成嚴(yán)重的后果。比如伊朗核電站的震網(wǎng)病毒等事件,給全球工業(yè)界控制系統(tǒng)的信息安全問(wèn)題都敲響了警鐘。
“目前我國(guó)工控系統(tǒng)的信息安全形勢(shì)非常嚴(yán)峻,而近年來(lái)的工控安全事件也逐漸增加,嚴(yán)重影響了國(guó)家尤其是基礎(chǔ)設(shè)施領(lǐng)域的信息安全。”在中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心副主任范科峰博士看來(lái),我國(guó)當(dāng)前工控系統(tǒng)的信息安全形勢(shì)不容樂(lè)觀,工控領(lǐng)域的安全可靠性問(wèn)題比較突出。
他介紹說(shuō),美國(guó)、歐洲已經(jīng)把工控安全和國(guó)家的基礎(chǔ)設(shè)施安全統(tǒng)一列為國(guó)家的安全戰(zhàn)略。而美國(guó)政府更是高度重視工控安全,采取很多措施來(lái)保證基礎(chǔ)設(shè)施的工控信息安全,同時(shí)在國(guó)家工控系統(tǒng)相關(guān)的法規(guī)戰(zhàn)略、縱深防御戰(zhàn)略、以及評(píng)估等方面都做了很多工作。
而國(guó)內(nèi)的狀況是,工控系統(tǒng)的核心基礎(chǔ)設(shè)備依賴國(guó)外產(chǎn)品,嵌入式軟件、總線協(xié)議、工控軟件等核心技術(shù)都受制于國(guó)外,由于我國(guó)的工控產(chǎn)業(yè)綜合競(jìng)爭(zhēng)力不強(qiáng),工控系統(tǒng)面臨的威脅比較多,而且漏洞頻發(fā)。
“我們通過(guò)調(diào)研了解到,工控系統(tǒng)很多都缺乏比較完善的、安全的架構(gòu)、設(shè)計(jì),包括風(fēng)險(xiǎn)評(píng)估和基本的安全保證能力都比較缺乏,工控系統(tǒng)的信息安全還缺乏正式發(fā)布的、完善的標(biāo)準(zhǔn)等。”范科峰表示。
安全意識(shí)亟待提高
在會(huì)議上,京力控華康科技有限公司副總經(jīng)理龔亮華做了《工控信息安全形勢(shì)分析與風(fēng)險(xiǎn)評(píng)估》的報(bào)告,他認(rèn)為,很多的信息安全問(wèn)題都是由于管理不善造成的,技術(shù)只是亡羊補(bǔ)牢的手段,因此,“企業(yè)最應(yīng)該做的就是提高安全意識(shí),采用更加完善的管理手段。”
他表示,構(gòu)建滿足工業(yè)控制系統(tǒng)的全廠級(jí)風(fēng)險(xiǎn)識(shí)別模型,除了需要細(xì)化工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)因素,還需要建立基于工業(yè)控制系統(tǒng)的安全管理域,實(shí)施分等級(jí)的基線建設(shè),兼顧包括終端與鏈路、威脅與異常、安全與可用性等綜合因素的功能考慮。
而帶來(lái)《Havex病毒的“X”分析——新一代的工控網(wǎng)絡(luò)APT對(duì)抗》報(bào)告的匡恩網(wǎng)絡(luò)科技總裁兼首席執(zhí)行官孫一桉,也認(rèn)為,要真正解決信息安全對(duì)抗體系,必須要有前沿的技術(shù)和體系的創(chuàng)新,而我國(guó)現(xiàn)今的工業(yè)控制信息安全產(chǎn)業(yè)鏈?zhǔn)欠浅2煌暾模虼宋覀兏岢w的解決方案。