今日頭條
官方微信
官方抖音
資訊頻道 國家互聯網應急中心(CNCERT)日前發布《2011年中國互聯網網絡安全態勢報告》,指出: 2011年國家信息安全漏洞共享平臺收錄了100多個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍,涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統制造商的產品,對正常生產秩序形成嚴重威脅。工業控制系統信息安全問題再成焦點。
2010年伊朗爆發的“震網”病毒,給全球工業界控制系統的信息安全問題敲響了警鐘。現在,國內外生產企業都把工業控制系統安全防護建設提上了日程。工信部協【2011】451號通知明確指出:“SCADA、DCS、PCS、PLC等工業控制系統廣泛運用于工業、能源、交通、水利以及市政等領域,用于控制生產設備的運行。隨著計算機和網絡技術的發展,特別是信息化與工業化深度融合以及物聯網的快速發展,工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與互聯網等公共網絡連接,病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統信息安全問題日益突出。2010年發生的“震網”病毒事件,充分反映出工業控制系統信息安全面臨著嚴峻的形勢。對此,各地區、各部門、各單位務必高度重視,增強風險意識、責任意識和緊迫感,切實加強工業控制系統信息安全管理。”
問題已擺在面前,如何解決?當然首要問題就是撥開迷霧,探尋問題實質。隨著互聯網的飛速發展,我國對于傳統IT信息安全問題已有相關標準、法規,工業控制系統信息安全是否能依照而行?而在工業控制領域,一直以來備受關注的功能安全問題又與信息安全問題有著怎樣的區別與聯系?日前,本刊記者采訪了機械工業儀器儀表綜合技術經濟研究所所長歐陽勁松以上問題進行了詳細解讀:
工業控制系統信息安全與傳統IT信息安全的區別
傳統IT信息安全一般是要實現三個目標,即保密性、完整性和可用性,通常都將保密性放在首位,并配以必要的訪問控制,以保護用戶信息的安全,防止信息盜取事件的發生。完整性放在第二位,而可用性則放在最后。
對于工業自動化控制系統而言,目標優先級的順序則正好相反。工控系統信息安全首要考慮的是所有系統部件的可用性。完整性則在第二位,保密性通常都在最后考慮。因為工業數據都是原始格式,需要配合有關使用環境進行分析才能獲取其價值。而系統的可用性則直接影響到企業生產,生產線停機或者誤動作都可能導致巨大經濟損失,甚至是人員生命危險和環境的破壞。
除此之外,工控系統的實時性指標也非常重要。控制系統要求響應時間大多在1毫秒以內,而通用商務系統能夠接受1秒或幾秒內完成。工業控制系統信息安全還要求必須保證持續的可操作性及穩定的系統訪問、系統性能、專用工業控制系統安全保護技術,以及全生命周期的安全支持。在些要求都是在保證信息安全的同時也必須滿足的。
功能安全和信息安全的區別
我們通常將安全可以分成3類,即功能安全(Functional Safety)、物理安全(Physical Safety)和信息安全(Security)。功能安全是為了達到設備和工廠安全功能,受保護的、和控制設備的安全相關部分必須正確執行其功能,而且當失效或故障發生時,設備或系統必須仍能保持安全條件或進入到安全狀態。物理安全是減少由于電擊、著火、輻射、機械危險、化學危險等因素造成的危害。在IEC 62443中針對工業控制系統對信息安全(security)的定義是:“(1)保護系統所采取的措施;(2)由建立和維護保護系統的措施所得到的系統狀態;(3)能夠免于對系統資源的非授權訪問和非授權或意外的變更、破壞或者損失;(4)基于計算機系統的能力,能夠保證非授權人員和系統既無法修改軟件及其數據也無法訪問系統功能,卻保證授權人員和系統不被阻止;(5)防止對工業控制系統的非法或有害入侵,或者干擾其正確和計劃的操作。”可見三種安全在定義和內涵上有很大的差別。
功能安全系統使用安全完整性等級(SIL,Safety Integrity Level)的概念已有近20年。它允許一個部件或系統的安全表示為單個數字,而這個數字是為了保障人員健康、生產安全和環境安全而提出的基于該部件或系統失效率的保護因子。工業控制系統信息安全的評估方法與功能安全的評估有所不同。雖然都是保障人員健康、生產安全或環境安全,但是功能安全使用安全完整性等級(SIL)是基于隨機硬件失效的一個部件或系統失效的可能性計算得出的,而信息安全系統有著更為廣闊的應用,以及更多可能的誘因和后果。影響信息安全的因數非常復雜,很難用一個簡單的數字描述出來。然而,功能安全的全生命周期安全理念同樣適用于信息安全,信息安全的管理和維護也須是周而復始不斷進行的。
針對我國工業自動化行業的現狀,最急迫的事情是什么?下一步的工作應該從哪幾方面入手?歐陽勁松認為:為保障工業控制系統的信息安全,更加迫切地需要有關政府部門發布相關法令法規,引起各行業足夠的重視,并規范行業實踐。工業控制系統涉及眾多行業,例如石化、電力、核電等。各行業的具體管理要求和系統設備工作環境不盡相同。因此,我們必須深入研究我國工業控制系統的行業特點和需求,有針對性地制定相關行業信息安全保障應用行規。同時,以工業自動化標準化機構為先導,聯合相關組織機構,研究我國工業信息安全標準體系,積極開展工業控制系統信息安全評估標準的制定工作,健全工業信息安全評估認證機制,建立有效的工業控制系統信息安全應急系統,形成我國自主的工業控制系統信息安全產業和管理體系。
日前,《我國重點領域工業控制系統信息安全現狀調查及問題研究》課題組聯合工業領域各重點行業協會以及《電子技術應用》、《自動化博覽》、控制網(www.miconline.com.cn)等關于我國重點領域工業控制系統信息安全現狀調查活動已正式展開,歡迎參與!詳情點擊:http://www.kongzhi.cn/news/ndetail.php?p=35414
北京市公安局海淀分局備案號:11010802023656號