国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

ACS880-07C
關(guān)注中國自動化產(chǎn)業(yè)發(fā)展的先行者!
CAIAC 2025
2024
工業(yè)智能邊緣計算2024年會
2023年工業(yè)安全大會
OICT公益講堂
當前位置:首頁 >> 資訊 >> 行業(yè)資訊

資訊頻道

警惕!工控系統(tǒng)安全的6大挑戰(zhàn)與5個誤區(qū)
  • 點擊數(shù):1345     發(fā)布時間:2019-10-25 17:44:00
  • 分享到:
事件表明,網(wǎng)絡(luò)空間的安全威脅已從傳統(tǒng)的互聯(lián)網(wǎng)、計算機等虛擬空間迅速延伸擴展至物理世界的工業(yè)控制系統(tǒng)。即“計算機病毒”可以在不破壞工控系統(tǒng)本身的情況下,通過操控工業(yè)控制系統(tǒng),引發(fā)生產(chǎn)中斷、管道泄漏、環(huán)境污染、裝備損毀,甚至可以引發(fā)災(zāi)難事故,導(dǎo)致社會動蕩,國家安全就會受到極大威脅。工控系統(tǒng)已成為網(wǎng)絡(luò)空間安全越來越重要的新戰(zhàn)場。人們?yōu)閰^(qū)別于傳統(tǒng)虛擬空間的病毒,把“震網(wǎng)”稱為“超級巡航導(dǎo)彈”、“軟件原子彈”,等等。
關(guān)鍵詞:

一、工控系統(tǒng)已成為網(wǎng)絡(luò)空間安全的重要戰(zhàn)場

2010年,伊朗發(fā)生了震驚世人的“震網(wǎng)”(Stuxnet)事件,“震網(wǎng)”計算機病毒破壞了大量鈾濃縮離心機和布什爾核電站發(fā)電機組,導(dǎo)致伊朗核計劃至少被延遲2年。

事件表明,網(wǎng)絡(luò)空間的安全威脅已從傳統(tǒng)的互聯(lián)網(wǎng)、計算機等虛擬空間迅速延伸擴展至物理世界的工業(yè)控制系統(tǒng)。即“計算機病毒”可以在不破壞工控系統(tǒng)本身的情況下,通過操控工業(yè)控制系統(tǒng),引發(fā)生產(chǎn)中斷、管道泄漏、環(huán)境污染、裝備損毀,甚至可以引發(fā)災(zāi)難事故,導(dǎo)致社會動蕩,國家安全就會受到極大威脅。工控系統(tǒng)已成為網(wǎng)絡(luò)空間安全越來越重要的新戰(zhàn)場。人們?yōu)閰^(qū)別于傳統(tǒng)虛擬空間的病毒,把“震網(wǎng)”稱為“超級巡航導(dǎo)彈”、“軟件原子彈”,等等。

自“震網(wǎng)”事件之后,針對工控系統(tǒng)攻擊的這種“軟件原子彈”威脅越來越多、離我們也越來越近,甚至原先我們認為物理隔離的工控系統(tǒng)也未能幸免:

(1)如2015年12月,被認為使用專網(wǎng)的烏克蘭伊萬諾-弗蘭科夫斯克地區(qū)電力監(jiān)控系統(tǒng)遭到“BlackEnergy”惡意代碼的攻擊。烏克蘭新聞媒體TSN報道稱:“至少有三個電力區(qū)域被攻擊,導(dǎo)致了數(shù)小時的停電事故”;“攻擊者入侵了監(jiān)控管理系統(tǒng),超過一半的地區(qū)和部分伊萬諾-弗蘭科夫斯克地區(qū)斷電幾個小時。”Kyivoblenergo 電力公司發(fā)布公告稱:“公司因遭到入侵,導(dǎo)致7 個110KV 的變電站和23 個35KV 的變電站出現(xiàn)故障,導(dǎo)致80000 用戶斷電。”

(2)2017年6月12日,一款針對電力變電站系統(tǒng)進行惡意攻擊的工控網(wǎng)絡(luò)攻擊武器Industroyer被發(fā)現(xiàn)對烏克蘭電網(wǎng)發(fā)起了攻擊。與 BlackEnergy不同的是,Industroyer據(jù)稱沒有利用任何漏洞,而是利用電力系統(tǒng)自身的工控協(xié)議,直接控制斷路器,導(dǎo)致變電站斷電。

此外,由于工控系統(tǒng)在操作人員的界面軟件使用了微軟操作系統(tǒng),因此針對互聯(lián)網(wǎng)、計算機操作系統(tǒng)攻擊的病毒(如勒索病毒W(wǎng)annaCry)對工控系統(tǒng)也多多少少產(chǎn)生了一些影響。

二、我國對工控系統(tǒng)網(wǎng)絡(luò)安全給予了前所未有的高度重視

自2010年震網(wǎng)事件發(fā)生后,我國從中央、各級部門,到各大企業(yè)對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全給予了前所未有的高度重視:

(1)從國家層面,中央不僅成立了網(wǎng)絡(luò)安全與信息化委員會,而且先后發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號)、《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見(國發(fā)〔2012〕23號)》等文件,全國人民代表大會常務(wù)委員會也于2016年11月7日批準發(fā)布了《網(wǎng)絡(luò)安全法》,自2017年6月1日起施行,表明包括工控系統(tǒng)網(wǎng)絡(luò)安全在內(nèi)的網(wǎng)絡(luò)空間安全已上升到黨和國家、法律的高度;

(2)從國家機關(guān)職能上,國家和地方各職能機關(guān)、部門都已把工控安全放在十分重要的位置,不僅出臺了相應(yīng)的文件,而且開展了各種形式的工控安全培訓(xùn)、大賽等科普活動以及等級保護測評、安全評估、安全檢測、安全檢查等實質(zhì)性工作;

(3)從標準層面,全國信息安全標委會TC260、工業(yè)測量與控制標委會TC124、全國電力系統(tǒng)管理及其信息交換標準化技術(shù)委員會TC82等都在工控安全領(lǐng)域開展了大量工作,發(fā)布了一系列與工控安全相關(guān)的國家標準、行業(yè)標準。2019年 5月13日, 包括云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全在內(nèi)的網(wǎng)絡(luò)安全等級保護2.0標準(以下簡稱 等保2.0標準) 也在眾人期待下正式發(fā)布,并將于2019年12月1日開始實施。

(4)從科研組織上,教育部也新設(shè)立了網(wǎng)絡(luò)空間安全一級學(xué)科,各大高校也紛紛成立了相關(guān)學(xué)院和專業(yè)。

(5)從產(chǎn)業(yè)組織上,工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟,國家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟,中國信息安全技術(shù)產(chǎn)業(yè)聯(lián)盟、中國工業(yè)信息安全聯(lián)盟等發(fā)展也很迅猛。

(6)在具體落實層面,各工業(yè)企業(yè),特別是各重點基礎(chǔ)設(shè)施企業(yè)無不紛紛成立了專門的信息安全機構(gòu),可見其重視程度。

由此可見,我國已建立起了覆蓋從國家層面、法律、職能機構(gòu)再到科研、標準、產(chǎn)業(yè)和企業(yè)等所有層面的工控安全體系,足見對工控安全的重視程度。

三、工控系統(tǒng)面臨的安全威脅仍很嚴峻

當前,隨著“兩化融合”的不斷深入,我國電力系統(tǒng)、石油煉化、水利、城市與軌道交通、輸油管線、國防裝備、以及其他公用工程仍在大量使用的國外控制系統(tǒng),很難做到與互聯(lián)網(wǎng)物理隔離;工控系統(tǒng)的維護、維修也仍然由這些工控系統(tǒng)的生產(chǎn)廠商所承擔(dān),因此面臨的安全形勢依然嚴峻:

(1)來自網(wǎng)絡(luò)的遠程攻擊,如通過互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、無線網(wǎng),黑客和攻擊者就可以遠程對工控系統(tǒng)實施攻擊;

(2)通過移動介質(zhì)的帶入攻擊,如移動硬盤、U盤、光盤、移動終端等;

(3)預(yù)埋代碼的潛伏式攻擊,典型的途徑有工程實施時的預(yù)埋、通過備品備件的預(yù)埋、通過維修維護帶入的預(yù)埋。

四、工控系統(tǒng)安全的主要威脅是有組織的專業(yè)化攻擊

從技術(shù)上看,工控系統(tǒng)所面臨的網(wǎng)絡(luò)安全威脅來自于兩個方面:一個是傳統(tǒng)的網(wǎng)絡(luò)安全威脅,即利用操作系統(tǒng)、應(yīng)用軟件的漏洞發(fā)起的攻擊威脅。這類威脅主要是針對計算機所使用的計算機操作系統(tǒng)和應(yīng)用軟件(如辦公軟件、網(wǎng)站軟件等)的漏洞,獲取計算機操作權(quán)限,或竊取隱私或敏感信息。另一個更重要的安全威脅來源于對工控系統(tǒng)及其所控制的生產(chǎn)裝置、生產(chǎn)工藝非常熟悉的有組織的攻擊。

針對工控系統(tǒng)核心部件攻擊的“黑客”除了要具有一般的計算機操作系統(tǒng)和軟件知識外,更利用了工控系統(tǒng)本身的軟件硬件特性和通信協(xié)議、操作指令和基礎(chǔ)設(shè)施生產(chǎn)裝置的弱點,導(dǎo)致一般的互聯(lián)網(wǎng)安全技術(shù)人員難以發(fā)現(xiàn),即具有“高專業(yè)性、高隱蔽性、高復(fù)雜性、難以被發(fā)現(xiàn)、難以被跟蹤”(即“三高兩難”)特性。

五、工控系統(tǒng)安全保護挑戰(zhàn)比一般信息系統(tǒng)大很多

從2010年的“震網(wǎng)”事件至今的近9年多時間里,我國在實施工控系統(tǒng)網(wǎng)絡(luò)安全各項工作的同時,也遇到了與互聯(lián)網(wǎng)安全、信息系統(tǒng)安全完全不同的困難和挑戰(zhàn),主要表現(xiàn)為以下幾個方面:

(1)對工控安全的理解,更多還停留在互聯(lián)網(wǎng)安全和協(xié)議層面

與互聯(lián)網(wǎng)系統(tǒng)、信息系統(tǒng)相比,工控系統(tǒng)大多是由傳感器、控制裝置、執(zhí)行機構(gòu)等多環(huán)節(jié)構(gòu)成的閉環(huán)系統(tǒng),其監(jiān)控軟件也是供操作員進行工況監(jiān)視和簡單的操作,工控協(xié)議用于傳輸生產(chǎn)過程中的數(shù)據(jù)。因此,工控系統(tǒng)的網(wǎng)絡(luò)安全需要從以上所有要素以及生產(chǎn)裝置本身進行綜合的考慮。

(2)對工控安全惡意代碼攻擊原理和機制的了解有限

如今,各種公開報道、微博等各種社交媒體文件,以及許多文章、報告對工控安全事件的報道較多、技術(shù)性分析較少;對工控安全網(wǎng)絡(luò)部分威脅的渲染較多,對工控內(nèi)部的威脅分析較少;對操作系統(tǒng)“漏洞”介紹較多,對工控系統(tǒng)自身軟硬件漏洞分析較少;對操作系統(tǒng)、郵件等的漏洞利用介紹較多,對于工控惡意代碼“長什么樣,什么時候來,什么時候觸發(fā),如何觸發(fā),什么時候離開”等技術(shù)問題,研究較少,導(dǎo)致工控安全工作的開展難以深入。

(3)當前工控安全防護措施和產(chǎn)品的有效性有待檢驗

當前,無論是針對工控系統(tǒng)的安全等級保護測評、安全評估、安全檢測、安全檢查,還是各種工控安全產(chǎn)品,雖然形式多樣,但其有效性還遠未得到用戶的認可,尤其是針對工控系統(tǒng)終端設(shè)備面臨的安全威脅,“對錯了癥、下錯了藥”的問題至今還未真正得到解決。

(4)工控安全的標準難以在工控系統(tǒng)終端落地

當前,關(guān)于工控安全的標準已有很多,如IEC 62443國際標準(美國國際自動化協(xié)會ISA的ISA 99)、美國NIST發(fā)布的SP-800.53,以及我國的等保2.0標準GB/T22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》等。但在實施過程中,面對運行中的工控系統(tǒng)(尤其是其核心部件的控制器)時,還會遇到“碰不得、摸不得”的尷尬。

(5)工控安全的實施難以得到工控設(shè)備生產(chǎn)廠商的配合

工控系統(tǒng)不同于互聯(lián)網(wǎng)系統(tǒng)、信息系統(tǒng),不僅要保證生產(chǎn)過程按工藝設(shè)計要求運行在預(yù)定的工況,同時還要避免安全事故的發(fā)生。換言之,工控系統(tǒng)的生產(chǎn)廠商、集成廠商不僅要對生產(chǎn)過程的連續(xù)性、可靠性負責(zé),還需要對生產(chǎn)的安全負責(zé)。這是傳統(tǒng)信息安全廠商和安全產(chǎn)品難以做到的。

六、工控系統(tǒng)安全需要注意避免的幾個誤區(qū)

如上所述,工控系統(tǒng)的網(wǎng)絡(luò)安全需要圍繞控制系統(tǒng)本身與生產(chǎn)裝置安全開展,在實踐中,要注意避免以下幾個誤區(qū):

(1) 過于強調(diào)基于漏洞掃描的安全防護

如前所述,工控系統(tǒng)設(shè)計開發(fā)工程師關(guān)注的是如何使產(chǎn)品更可靠、可用性更高,所開發(fā)的控制算法如何使被控對象更穩(wěn)定、對外界干擾的魯棒性更高,對網(wǎng)絡(luò)安全關(guān)注較少,因此其軟件、硬件都存在著這樣或那樣的漏洞。

然而,目前市場流通的漏洞掃描產(chǎn)品僅僅能發(fā)現(xiàn)引發(fā)工控系統(tǒng)溢出、宕機的漏洞,而像“震網(wǎng)”、Industroyer、TRITON那樣所能利用的漏洞,通過傳統(tǒng)的手段還難以發(fā)現(xiàn)。

(2)過于強調(diào)補丁升級管理

眾所周知,由于工控系統(tǒng)的軟件硬件之間的耦合非常緊密,使用了大量非私有的協(xié)議、技術(shù)和功能模塊,一旦沒有經(jīng)過嚴格測試而給系統(tǒng)打補丁或者版本更新,輕則導(dǎo)致藍屏、重則導(dǎo)致這些組態(tài)監(jiān)控軟件不再可用;而工控系統(tǒng)的重啟是一個極其復(fù)雜的過程,一旦不慎,極易導(dǎo)致生產(chǎn)中斷、或因生產(chǎn)設(shè)備工藝不匹配而導(dǎo)致裝置損毀。

因此,對于一些重要、尤其是核心基礎(chǔ)設(shè)施的工控系統(tǒng),打補丁、軟件版本更新必須慎之又慎!

(3)過于依賴工控系統(tǒng)的隔離安全

如前所述,隨著“兩化融合”的不斷推進,生產(chǎn)系統(tǒng)與管理系統(tǒng)的互聯(lián)已經(jīng)成為工控系統(tǒng)的基本架構(gòu),與外界完全隔離幾乎不可能。另外,維護用的移動設(shè)備或移動電腦、備品備件,都可能成為代碼帶入的工具。“震網(wǎng)”據(jù)說就是利用U盤帶入的。

(4)過于高估工業(yè)防火墻等傳統(tǒng)防護產(chǎn)品的作用

從目前工控系統(tǒng)的實際來看,工控系統(tǒng)除了它支持的私有協(xié)議和公開專用協(xié)議之外,其他所有的協(xié)議都會被過濾,不會被處理。換言之,工控系統(tǒng)一般都具備了一般防火墻的能力。從這個意義上看,目前市場上所謂的工業(yè)防火墻,也僅僅起到應(yīng)付檢查的自我安慰作用。

(5) 過于依賴單向通信隔離裝置

如上所述,針對工控系統(tǒng)的攻擊途徑有多種,有通過網(wǎng)絡(luò)遠程實施的,有通過無線接入的,更有通過移動介質(zhì)、工程實施與維保預(yù)埋、備品備件預(yù)埋等途徑,單向通信隔離裝置也只能起到一部分作用。

七、工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全保護必須覆蓋工控系統(tǒng)本身、生產(chǎn)工藝與操作流程等所有方面

從具體實踐來講,對工控系統(tǒng)的網(wǎng)絡(luò)安全防護和保護需要從以下幾個層面綜合考慮:

第一層,對工控系統(tǒng)的網(wǎng)絡(luò)安全防護和保護,需要覆蓋工控系統(tǒng)軟件、硬件和網(wǎng)絡(luò)等所有部件。

第二層,對工控系統(tǒng)的網(wǎng)絡(luò)安全防護和保護,需要結(jié)合生產(chǎn)工藝與操作流程而開展。

第三層,針對工控系統(tǒng)的網(wǎng)絡(luò)安全防護和保護,還必須覆蓋工控系統(tǒng)的設(shè)計、生產(chǎn)、調(diào)試、工程實施、維修、運行維護等全生命周期的所有環(huán)節(jié)。

工控系統(tǒng)的網(wǎng)絡(luò)安全防護和保護是一個極其復(fù)雜的系統(tǒng)工程,需要回歸控制系統(tǒng)的初心、回歸控制系統(tǒng)的本質(zhì),從工控系統(tǒng)的軟件、硬件、網(wǎng)絡(luò)以及生產(chǎn)工藝、生產(chǎn)流程、生產(chǎn)裝置等多方面同時著手,才能真正有效的對國家重要基礎(chǔ)設(shè)施安全進行保護。

來源:工業(yè)安全產(chǎn)業(yè)聯(lián)盟

熱點新聞

推薦產(chǎn)品

x
  • 在線反饋
1.我有以下需求:



2.詳細的需求:
姓名:
單位:
電話:
郵件:
主站蜘蛛池模板: 做爰成人五级在线视频| 久久福利网站| 香蕉久久成人网| 国产成人免费片在线视频观看| 日本欧美做爰全免费的视频| 亚洲午夜精品| 国产黄毛片| 免费v片在线观看| 欧美一级视频在线高清观看| 91精品国产免费| 成在线人视频免费视频| 精品久久久久久国产| 日韩欧美一区二区三区久久| 亚洲精品成人久久| aaaa级毛片| 成人性动漫高清免费观看网址| 久久国产成人午夜aⅴ影院 | 韩国自拍偷自拍亚洲精品| 久久精品一区二区影院| 亚洲成a人片| 香蕉久久网站| 在线观看黄网| 一级特黄一欧美俄罗斯毛片| 成人午夜大片| 国产第2页| 国产精品免费精品自在线观看| 美女张开腿双腿让男人桶| 久久最新视频| 日韩美视频网站| 欧美一级毛片俄罗斯| 亚洲字幕| 亚洲一区二区久久| 99视频在线观看高清| www.三级| a毛片在线看片免费| www.亚洲免费| 99视频只有精品| 怡红院在线观看在线视频| 99久久精品免费看国产一区二区三区| 福利社在线视频| 成人公开视频|