2010年,一种强大的旨在攻击西门子制造的工业控制系统的计算机病毒“Stuxnet”出现,该病毒会传播到插入电脑USB接口的设备中,并从中窃取数据。这是骇客首次尝试入侵大型工业电脑系统病毒。此次事件敲响了“防范病毒攻击”的警钟。
2010年“震网”病毒事件破坏了伊朗核设施,震惊全球。这标志着网络攻击从传统“软攻击”阶段升级为直接攻击电力、金融、通信、核设施等核心要害系统的“硬摧毁”阶段。应对高强度连续攻击(APT)已成为确保国家关键基础设施安全,保障国家安全、社会稳定、经济发展、人民生活安定的核心问题。而传统的封堵安全防护做法难以解决封闭实时处理的工业控制系统安全问题。
2013年六月的“棱镜门”事件,信息安全再次广泛引起关注。当大数据的获取和分析成为棱镜计划的必经之路,不可避免地,身处科技前沿的企业卷入这一计划。智能工业控制领域也无法独善其身。
工业是国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。当前,工业控制信息化、三网融合、物联网、云计算在内的多种新型信息技术的发展与应用,给工业控制系统信息安全保障工作提出了新任务、新挑战,工业控制系统的安全问题不容忽视。
物联网快速发展中不可以忽视的安全问题
从某种意义上讲,物联网面对的是一个无穷的实物集合,一种虚拟网络与现实世界实时交互的新型系统,其核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络,通过其网络层实现信息的转发和传送,将感知层获取的信息传送到远端,为数据在远端进行智能处理和分析决策提供强有力的支持。
随着物联网在国家基础设施方面的广泛应用,物联网的安全问题已经上升到了国家层面,石油、石化、冶金、电力、煤矿等主要工业行业,是关系国家经济基础和社会稳定的重要行业,重视工业物联网信息安全,加强控制系统的安全保护工作,不仅保证国家基础设施安全,同时促进工业领域物联网产业的有序健康发展。
工业是物联网应用的重要领域。具有环境感知能力的各类终端、基于泛在技术的计算模式、移动通信等不断融入到工业生产的各个环节,可大幅提高制造效率,改善产品质量,降低产品成本和资源消耗,将传统工业提升到智能工业的新阶段。在工业领域,物联网的发展和应用最终可以落实在信息化层面,物联网将信息化贯穿到生产环节中的各个方面,使信息化更加深化和扩大,其大规模应用将有效促进工业化和信息化“两化融合”,成为经济转型期产业升级。技术进步。经济发展的重要推动力。但,物联网在工业领域实施过程中,面临众多问题,比如,技术人员需要将多种技术综合起来,实现多种不同协议之间的数据采集与共享,才能把感知层的数据真正的汇聚到数据库中,整个过程中,不仅要面临不同协议之间的数据处理问题,还需要面对当控制网络与信息网络连接后所面临的网络安全问题。
物联网应用是信息技术与行业专业技术紧密结合的产物。不同行业的物联网信息安全有自己的特点和重点,因此所采取的对策也不尽相同。安全是智能制造系统成功的关键。保障设备和产品自身不会引起使用者的危险,也不会对环境造成污染十分重要。同时,设备和产品中包含的信息特别需要被保护,以防止这些信息被滥用或者在未被授权的情况下使用。这将对工业控制系统安全提出了更高的要求。
在过程自动化领域中,由于工艺复杂并且设备繁多,自动控制系统如果在安全性能方面存在薄弱环节,很可能导致整体控制系统的故障,甚至导致恶性安全事故,最终对人员、设备和环境造成严重的后果。
国家政策大力支持
2004年9月15日由公安部、国家保密局、国家密码管理局和国信办联合下发《关于信息安全等级保护工作的实施意见》明确实施等级保护的基本做法。
2007年6月22日又由四单位联合下发《信息安全等级保护管理办法》(43号文件),规范了信息安全等级保护的管理。
2011年10月25日发布了关于加强工业控制系统信息安全管理的通知,要求各地区、各有关部门、有关国有大型企业充分认识工业控制系统信息安全的重要性和紧迫性,切实加强工业控制系统信息安全管理,以保障工业生产运行安全、国家经济安全和人民生命财产安全。
2013年8月22日国家发改委下发《关于组织实施2013年国家信息安全专项有关事项的通知》,这是继去年该专项后的又一次政策支持。此次专项主要针对金融、云计算与大数据、信息系统保密管理、工业控制等领域面临的信息安全实际需要而来,专项重点支持领域包括金融信息安全领域、云计算与大数据信息安全领域、信息安全分级保护领域、工业控制信息安全等四大领域。
发展现状分析
工业领域的安全可分为三类,即功能安全(FunctionSafety),物理安全(PhysicalSafety)和信息安全(InformationSecurity)。作为信息安全,包含范围很大,工业控制系统的信息安全只是其中的一部分。我们要在全面了解通用信息安全的同时,了解工业控制系统信息安全的个性要求。
从总体结构上来讲,工业系统网络可分为三个层次:企业管理层、数采信息层和控制层。企业管理层主要是办公自动化系统,一般使用通用以太网,可以从数采信息层提取有关生产数据用于制定综合管理决策。数采信息层主要是从控制层获取数据,完成各种控制、运行参数的监测、报警和趋势分析等功能。控制层负责通过组态设汁,完成数据采集、A/D转换、数字滤波、温度压力补偿、PID控制等各种功能。
近十年来,随着信息技术的迅猛发展,信息化在生产企业中的应用取得了飞速发展,互联网技术的出现,使得工业控制网络中大量采用通用TCP/IP技术,ICS网络和企业管理网的联系越来越紧密。另一方面,传统工业控制系统采用专用的硬件、软件和通信协议,设计上基本没有考虑互联互通所必须考虑的通信安全问题。企业管理网与工业控制网的防护功能都很弱或者甚至几乎没有隔离功能,因此在工控系统开放的同时,也减弱了控制系统与外界的隔离,工控系统的安全隐患问题日益严峻。系统中任何一点受到攻击都有可能导致整个系统的瘫痪。
随着信息化和工业化深度融合的推进,网络化管理操作成为重要的发展趋势,同时也使得针对工业控制系统的病毒和木马攻击也呈现出攻击来源复杂化、攻击目的多样化以及攻击过程持续化的特征。此外,由于我国芯片、操作系统等软、硬件产品,以及通用协议和标准90%以上依赖进口,这使得我国工控系统的核心技术受制于国外,高端市场拥有自主知识产权的产品和系统较少。现在,工控安全开始被广泛关注,随着移动互联网技术的快速发展和海量数据的应用,也将我国本土信息安全技术创新和产业化推向飞速发展的前沿。
工业控制系统信息安全的三个目标优先级服务为可用性、完整性、保密性。对于今后信息安全产业发展的趋势,智能化、运营化、精细化是未来发展的必然选择,在大数据时代的智能化安全,将通过对海量安全数据的挖掘,通过数据融合,智能化深入分析和良好呈现,更注重体系的安全态势预知,强调系统的“预防”能力。应对措施分析
一是加强连接管理,严格管理工业控制系统与公共网络之间连接,严格控制移动设备的交叉使用。
二是加强组网管理,同步规划、同步建设、同步运行安全防护措施,采用虚拟专用网络、冗余备份、数据加密、身份认证等措施,加强关键工业控制系统通信网络的防护。
三是加强配置管理,建立服务器等关键设备安全配置和审计制度,严格账户、口令以及端口和服务的管理。
四是加强设备选择与升级管理,严格设备采购、技术服务的安全管理,严格软件升级、补丁安装管理。
五是加强数据管理,通过采取访问权限控制、数据加密、安全审计、灾难备份等措施加强对地理、矿产、原材料等国家基础数据以及其他重要敏感数据的保护,切实维护个人权益、企业利益和国家信息资源安全。
六是加强应急管理,制定信息安全应急预案,落实应急支撑队伍,视情采取必要的备机备件等容灾备份措施。