今日頭條
官方微信
官方抖音
訪談頻道
工業(yè)和信息化部電子科學技術(shù)情報研究所總工
工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟副理事長
尹麗波
2011年10月,我國工信部發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》,要求各地區(qū)、各有關(guān)部門、有關(guān)國有大型企業(yè)充分認識工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性,切實加強工業(yè)控制系統(tǒng)信息安全管理,以保障工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全,這標志著我國已開始著手加強工業(yè)控制系統(tǒng)信息安全的相關(guān)工作。作為工信部的直屬單位,工業(yè)和信息化部電子科學技術(shù)情報研究所(工業(yè)和信息化部電子第一研究所,以下簡稱一所)一直支撐工信部乃至國家在工業(yè)控制系統(tǒng)信息安全方面的研究工作。因此,記者特別采訪了工信部一所總工程師尹麗波,請她談談對于我國工業(yè)控制系統(tǒng)信息安全現(xiàn)狀的看法。
我國多數(shù)工控系統(tǒng)存在漏洞
北京大學兩化融合發(fā)展研究院副院長胡昌振教授曾用“神經(jīng)中樞”來比喻工業(yè)控制系統(tǒng)在工業(yè)信息化中的重要性。隨著我國工業(yè)與信息化融合的推進,工業(yè)控制系統(tǒng)規(guī)模已經(jīng)擴展到國家關(guān)鍵基礎設施行業(yè)(如交通、水電、油氣、國防等),成為其重要組成部分。工業(yè)控制系統(tǒng)一旦遭到信息攻擊或破壞,其影響不僅是控制系統(tǒng)性能下降、控制能力喪失,而且將造成人員傷亡、環(huán)境災難,甚至會危及公眾生活和國家安全,導致國家的戰(zhàn)略被動、受制于人。因此,工業(yè)控制系統(tǒng)信息安全關(guān)乎經(jīng)濟發(fā)展、社會穩(wěn)定、國家安全、公眾利益,已經(jīng)成為了工業(yè)與信息化融合中理應特別關(guān)注的問題。
尹麗波對此頗為認同:“以前大家對工業(yè)控制系統(tǒng)信息安全并不是很重視,因為過去工控系統(tǒng)并不需要連接到互聯(lián)網(wǎng)上,那么攻擊的原因基本是由于內(nèi)部管理不夠,所以只要做好物理層面的防范就已足夠。但隨著工業(yè)控制系統(tǒng)的逐漸開放,它已不再是‘信息孤島’,通過互聯(lián)網(wǎng)對其發(fā)起信息攻擊不僅可能,而且門檻越來越低。”據(jù)她透露,經(jīng)過他們的調(diào)研和測試,目前在中國與互聯(lián)網(wǎng)相連的很多工控系統(tǒng)都存在漏洞。她甚至用了“可怕”兩個字來形容她得到這些數(shù)據(jù)后的心情,“這些充滿漏洞的工控系統(tǒng)一旦被攻擊,則可以直接轉(zhuǎn)化為現(xiàn)實的物理行為,很快形成對整個工業(yè)系統(tǒng)乃至社會的巨大破壞力。”
“我國的工業(yè)控制系統(tǒng)信息安全還處在起步階段”
正是基于這樣的形勢,中國政府意識到事態(tài)的嚴重性,從2011年起著手開展提升我國工業(yè)控制系統(tǒng)信息安全水平的工作。學習、借鑒國外防范工業(yè)控制系統(tǒng)信息安全問題發(fā)生的經(jīng)驗成為了我國邁開提升工業(yè)控制系統(tǒng)信息安全水平“萬里長征”的第一步。
工業(yè)和信息化部電子科學技術(shù)情報
研究所的一項重要工作就是跟蹤和了解國外工業(yè)控制系統(tǒng)信息安全管理和研究等相關(guān)工作進展,因此,對于國外開展工業(yè)控制系統(tǒng)信息安全相關(guān)工作的情況,尹麗波了解得非常清楚。她坦言:“相比國外而言,我國的工業(yè)控制系統(tǒng)信息安全工作尚處在起步階段,差距還很遠。”
首先在法律法規(guī)層面, 以美國為例,早在1998年5月就簽署的第63號總統(tǒng)令(PDD-63)規(guī)定,在白宮的直接領導下,設立了一個機制,協(xié)調(diào)牽頭部門和相關(guān)機構(gòu)的行動,聯(lián)邦機構(gòu)還要與私營部門合作,以防范和抵御針對關(guān)鍵基礎設施的物理攻擊和網(wǎng)絡攻擊,特別是針對美國的網(wǎng)絡系統(tǒng)的攻擊。這項政策在2003年的《網(wǎng)絡空間安全國家戰(zhàn)略》中又進行了修訂。之后2003年的第7號國家安全總統(tǒng)令(HSPD-7)、2007年的《國家網(wǎng)絡安全綜合計劃》(CNCI)都對工業(yè)控制系統(tǒng)信息安全的具體職責和防御方法進行了進一步的細化。
第二,我國相關(guān)的工業(yè)控制系統(tǒng)信息安全標準還不健全。尹麗波表示,目前美國已形成了相對完整的工業(yè)控制系統(tǒng)信息安全管理體制和技術(shù)體系,相繼提出了《工業(yè)控制系統(tǒng)安全指南》、《聯(lián)邦信息系統(tǒng)和組織的安全控制推薦》、《系統(tǒng)保護輪廓——工業(yè)控制系統(tǒng)》、《智能電網(wǎng)安全指南》、《中等健壯環(huán)境下的SCADA系統(tǒng)現(xiàn)場設備保護概況》、《提高SCADA系統(tǒng)網(wǎng)絡安全21步》、《中小規(guī)模能源設施風險管理核查事項》、《控制系統(tǒng)安全一覽表:標準推薦》、《加強SCADA系統(tǒng)及工業(yè)控制系統(tǒng)的安全》等一系列國家指南;推出了《北美大電力系統(tǒng)可靠性規(guī)范》、《核設施網(wǎng)絡安全措施》、《美國化工設施反恐標準》、《SCADA通信的加密保護》、《管道SCADA安全》和《石油工業(yè)安全指南》等行業(yè)標準規(guī)范。
第三,尹麗波認為,國外對研究機構(gòu)的投入也要更多和更早于我國。比如我國實驗室中雖然也有模擬系統(tǒng)可以進行測試,但是一般都是將最基本的DCS、SCADA等主要使用的設備和典型的環(huán)節(jié)以及流程放在實驗室里進行控制并測試。但是美國測試的對象卻是真正的測試床。例如美國的愛達荷實驗室,主要研究化工、電力、供水等方面的建模仿真測試,洛斯阿拉莫斯國家實驗室,主要研究交通等領域系統(tǒng)的安全,另外還有桑迪亞國家實驗室、太平洋西北國家實驗室、阿貢國家實驗室等,在工業(yè)控制領域研究十分深入,其仿真測試都是基于與真實系統(tǒng)完全一致的仿真測試床中。
她總結(jié)道:“雖然在很多方面,我們與國外還存在差距,但是我國的工業(yè)控制系統(tǒng)信息安全的相關(guān)工作已經(jīng)在有條不紊地進行。”以一所為例,除了前文提到的持續(xù)跟蹤國外工作進展,翻譯、轉(zhuǎn)化一些重要法規(guī)、標準等之外,他們還開發(fā)了兩套大型的模擬系統(tǒng),可以對控制系統(tǒng)進行信息安全的測試。一套是基于SCADA的石油管道運輸油氣系統(tǒng),它可以實現(xiàn)從油氣采集、分離,到最后輸送給用戶的整套模擬,這套系統(tǒng)上的控制產(chǎn)品都采用了當今主流廠商的設備。如果在這個系統(tǒng)上對一些產(chǎn)品和設備進行模擬攻擊,這些攻擊以及攻擊后果都可以直觀地演示出來。
另外一套是市政污水處理的模擬系統(tǒng),同樣,在這個系統(tǒng)上也可以模擬對主流國內(nèi)外廠商的DCS和PLC的攻擊。尹麗波說道:“這兩個模擬平臺,不僅可以對DCS、PLC、RTU等產(chǎn)品設備進行安全方面的研究,還可以對已經(jīng)發(fā)布出來的漏洞進行驗證。”
漏洞的發(fā)現(xiàn)與通報迫在眉睫
當記者問起她什么才是我國目前最亟待解決的問題時,她毫不猶豫地回答:“就是要知道到底有哪些重要的控制系統(tǒng)暴露在互聯(lián)網(wǎng)上, 對于這些系統(tǒng)該采取什么樣的保護措施,而又有多少系統(tǒng)在沒有保護的情況下正在運行著,這些系統(tǒng)有多少能夠被黑客遠程控制。”為此,一所研發(fā)了一套互聯(lián)網(wǎng)監(jiān)測系統(tǒng),目前已經(jīng)掃描到了很多沒有保護措施卻依然暴露在互聯(lián)網(wǎng)上的控制系統(tǒng), 其中有很多都應用在了關(guān)鍵的行業(yè),如電力、石化等。
有了發(fā)現(xiàn)漏洞的技術(shù),那么制定一套科學的漏洞發(fā)布機制就變得尤為重要。經(jīng)過對美、日等國家安全風險共享發(fā)布機制的研究與分析,尹麗波認為,我國應借鑒美日做法并結(jié)合國情,建立和完善工業(yè)控制系統(tǒng)信息安全風險發(fā)布機制,鼓勵和引導廠商、安全研究人員和重點行業(yè)運營單位積極上報工控產(chǎn)品漏洞,并依托高校、科研院所、企業(yè)和相關(guān)支撐單位建設工業(yè)控制系統(tǒng)信息安全測試床及實驗室,集中優(yōu)勢力量打造骨干技術(shù)研究基地,重點提升漏洞挖掘、驗證分析和安全解決方案制定等技術(shù)分析能力,建立國家級工業(yè)控制系統(tǒng)信息安全風險發(fā)布平臺,實施風險漏洞通報制度。
雖然,目前我國工業(yè)控制系統(tǒng)信息安全問題很嚴峻,相關(guān)工作還處在摸索階段,但是我們可以欣喜地看到,2014年2月,以習近平總書記為組長的中央網(wǎng)絡安全與信息化領導小組正式成立,把我國網(wǎng)絡安全與信息化整體推進到一個新的發(fā)展階段,也為工業(yè)控制系統(tǒng)信息安全營造了一個快速發(fā)展的大環(huán)境。然而,工業(yè)控制系統(tǒng)信息安全卻是一項需要持續(xù)推進的工作,不能僅憑一時的熱度,需要足夠的決心和有序的部署逐漸開展。“路漫漫其修遠兮 吾將上下而求索”,當記者問到尹麗波在新的一年里有何計劃時,她表示,她本人以及一所會繼續(xù)一如既往地開展工業(yè)控制系統(tǒng)信息安全研究等相關(guān)的工作。
沒有豪言壯語,有的只是勤勤懇懇、腳踏實地的走好每一步,這是尹麗波的態(tài)度,也恰恰是我國成功推進工業(yè)控制系統(tǒng)信息安全工作的關(guān)鍵。
摘自《自動化博覽》3月刊
北京市公安局海淀分局備案號:11010802023656號