今日頭條
官方微信
官方抖音
訪談頻道
中國電子信息產業集團有限公司第六研究所 總工程師 徐新國
控制網:您如何看待當前倍受關注的工業控制系統信息安全問題?
徐新國:工業控制系統信息安全問題其實一直存在,只是因為原來的工控系統相對封閉,這方面暴露出的問題較少,沒有得到相應的重視。但是隨著近年來信息技術的快速發展,工控系統越來越開放,更多的采用通用操作系統、通訊協議和標準,與信息化系統結合也越來越緊密,信息安全的問題也就顯得尤為突出,“震網”病毒事件為我們敲響了警鐘。早在2010年我們就向工信部信息安全協調司提交了“關于工業控制系統信息安全應當引起高度重視的情況報告和相關管理建議”,工控系統在我國已經廣泛應用于國民經濟的各主要行業和領域,成為國家關鍵基礎設施的重要組成,但是絕大部分采用國外產品,一旦出現問題往往是災難性的,造成的損失也是巨大的,因此工控系統的安全問題是關系國家經濟安全和戰略安全的重要問題。
控制網:工業控制系統的安全漏洞有哪些?
徐新國:工控系統包括的種類很多,根據不同的應用環境,大致可以分為設備級、現場級和系統級。設備級和現場級系統大多采用嵌入式的結構,使用專用實時操作系統和實時數據庫。由于其計算資源有限,為了保證實時性和可用性,系統在設計時往往無法過多考慮信息安全的需求,從關鍵芯片到文件系統、進程調度、內存分配等都可能存在安全漏洞。隨著設備和現場級系統越來越智能化和網絡化,它已經成為重點攻擊目標。類似“震網”病毒入侵PLC這種具有很強目的性和專業性的入侵攻擊,一旦掌握了系統的安全漏洞,其后果和損失往往是巨大的。在系統級,由于考慮人機交互以及與其它生產管理系統、信息系統的互聯,越來越多的采用通用操作系統,例如操作員站一般采用的都是WINDOWS平臺,但為了系統的穩定運行,通常現場工程師在系統投入運行后不會對系統平臺安裝任何補丁,從而使通用操作系統的安全漏洞暴露無遺。
在網絡方面,隨著TCP/IP 協議和OPC 協議等通用協議越來越廣泛地應用在工業控制網絡中,通信協議漏洞問題也日益突出。例如:OPC通訊采用不固定的端口號,導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。
對于應用軟件,一方面隨著越來越多的功能要求,工業軟件的規模和復雜度不斷增大,再加上普遍使用中斷和優先級來滿足系統實時性需求,帶來了軟件流程不確定性問題,這些都加大了對軟件進行測試的難度。另一方面由于缺少統一的安全防護規范,工業軟件普遍存在安全設計缺陷,而應用軟件產生的漏洞是最容易被攻擊者利用,取得被控設備的控制權,從而造成嚴重后果。
控制網:工業控制系統信息安全問題的發生有何特點?在哪些應用領域中易于發生?
徐新國:工控系統面臨的威脅可以來自多種來源,既包括來自外部的對抗性威脅,如敵對政府、恐怖組織、工業間諜、惡意入侵者等,也包括內部問題引起的威脅,如系統的復雜性或設計缺陷、人為錯誤和意外事故、設備故障等等。無論哪種威脅,最終都是通過工控系統本身的錯誤動作、故障甚至崩潰引起被控設備的意外停機、嚴重損壞來體現的。伊朗布什爾核電站事件就是一個典型的例子,“震網”病毒通過傳統的傳播方式感染了大量的計算機,但只有當其被帶入核電站控制系統后才發作,它取得了系統的控制權,使控制系統發出錯誤的運行指令,同時發布欺騙信息,最終導致被控的關鍵設備超負荷運行直至損毀。由此可見,來自外部的威脅,通過內部的安全漏洞,取得控制系統的合法權限并發生作用,往往更難防范,造成的損失也更巨大。
隨著類似事件的不斷發生,我們應該意識到,此類事件的目的性、隱蔽性和專業性越來越強,它已不再是企業層面的問題,而是涉及國家戰略安全的問題。在我國重要基礎設施中的工控系統都可能面臨著嚴重的安全威脅,越是應用環境復雜,性能要求和安全要求都很高的領域,例如電力、石化、軌道交通等,越是需要重點防范。
控制網:信息安全不是一個新的話題,您認為工業控制系統的信息安全與傳統IT領域的信息安全有何不同?
徐新國:工控系統與一般IT系統在性能需求、可用性需求等方面都存在很大差異。工控系統首先要求實時性、低延遲,它可用的計算資源往往非常有限,尤其是在嵌入式系統中,都要求最大限度地控制系統資源,很少甚至沒有額外容量給第三方的網絡安全解決方案。在可用性方面,工控系統一般都要求長時間連續運行,不定期殺毒、升級、打補丁,以及意外重啟或停機都是不能允許的。另外,在工控系統的應用部門中,與信息系統的管理人員和管理模式也往往是不同的。這些因素都導致目前商用的信息安全解決方案不可能直接用于工控系統,靠犧牲實時性和可用性來達到安全的目的在工控系統中是不可取的。
在安全性要求方面,由于工控系統與物理設備緊密相連,不僅要求信息安全,更要求功能安全,一旦信息安全的問題導致系統功能安全的破壞,其后果將是災難性的,因此,將功能安全與信息安全完全的割裂開來,只采用傳統的信息安全防護手段,即便這些防護手段已經過適用性和兼容性的改造和測試,也遠遠不能滿足工控系統安全的需求。只有將兩者融合成一個無縫的安全體系,充分發揮不同的安全技術協作優勢,才能達到1+1>2的效果,保障工業系統的安全運行。
總的來說,工控系統安全漏洞存在于多層次和多環節中,在資源受限的條件下,傳統信息安全防護手段固有的被動性和滯后性,無法滿足工控系統本質安全的需要。特別是我國工控系統缺乏自主可控技術,主要軟硬件依賴進口,安全問題受制于人。只有將安全設計的理念融入系統設計中,在研究統一的貫穿整個系統的安全設計框架基礎上,研發自主安全的核心芯片、實時操作系統和數據庫、工業應用軟件等,才能真正做到自主可信、安全可控。
控制網:當前針對工業控制系統信息安全問題有哪些應對策略?能否滿足應對危機的需求?
徐新國:從國家層面上看,工信部在去年發布了《關于加強工業控制系統信息安全管理的通知》(451號文),并將風險評估列入2012年的工作重點。今年6月在《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》中,也特別強調要加強重要領域工業控制系統的安全防護和管理,定期開展安全檢查和風險評估。重點對可能危及生命和公共財產安全的工業控制系統加強監管。對重點領域使用的關鍵產品開展安全測評,實行安全風險和漏洞通報制度。目前,工信部正在開展對我國關鍵基礎設施中的工控系統信息安全問題的大規模調查工作。國家發改委也在今年的信息安全專項中支持工控系統信息安全產品產業化和專業服務方面的項目。電力、石化等重點行業和領域,正在開展相關行業標準和國家標準的制定。
從技術的角度看,我國的研究工作剛剛起步,關鍵的技術和工控系統對國外產品的依賴程度很高,對于巨大的存量市場,短期內很難做到自主可控。對于增量市場,尚未形成一套切實可行的統一安全架構和安全體系。
在管理體制方面,目前還缺乏對工控系統產品的信息安全檢測、評估、認證手段和機制,這必須是國家和政府行為,僅靠企業是無法推動的。可以借鑒美國的做法,依托模擬仿真平臺、綜合采用現場檢查測評與實驗室測評相結合的測評方法。以模擬仿真平臺為基礎,開展驗證服務和自主可控測評服務。
控制網:您認為面對越來越頻繁發生的工業控制系統信息安全問題,當前最緊迫的事情是什么?應該從哪些方面著手?
徐新國:在國家層面,應盡快加強對工業控制系統信息安全防護工作的組織領導和宏觀規劃;深入研究設計工業控制系統信息安全防護體系架構,制定工業控制系統信息安全防護策略;打破各自為戰的格局,推進工業控制系統信息安全防護體系建設,開展工業控制系統信息安全漏洞分析、風險評估、準入認證工作,加快建立相關行業及國家標準。
加大技術研究投資的力度。工控系統信息安全的特殊性和重要性,決定了它不能按照傳統信息安全的解決路線來走,更不能只依靠現有的信息安全技術和產品。國家應重點支持對自主可控的一體化安全框架的研究,包括其相關的關鍵、共性和支撐技術;鼓勵對控制技術、信息技術、電力電子技術等相關技術和信息安全技術融合的研究;落實針對不同行業特點的仿真驗證測試平臺的搭建。
在產業層面,要打破行業界限,加強聯合,產生一批跨信息安全、自動控制等領域的企業,一方面根據不同行業的特點,針對巨大的存量市場,在研究資源受限條件下輕量級、可裁剪的信息安全技術的同時,按照功能安全與信息安全融合的思路,研究具有主動防御功能的工控信息安全產品,例如目前我們正在研究適用于終端設備、控制現場和上層監控系統的“防危”機制和“防危”產品。它的作用是保護關鍵、重要設備不被非法操作,既防止取得控制系統合法權限的外部惡意攻擊對設備的破壞性操作,也防止由于系統復雜性和設計缺陷、以及內部誤操作等帶來的安全隱患,保證相關聯設備處于安全狀態,預見和避免災難性后果的發生。另一方面,面向未來的增量市場,在安全設計框架基礎上,掌握實時操作系統、實時數據庫等核心技術,研究融合控制技術、信息技術、信息安全技術的新一代自主可信工業控制系統。
總之,工控系統的信息安全要靠政府和行業、企業共同建立和完善一整套安全防護體系,更重要的是必須改變被動防御的思路,才能實現自主、可控、本質安全的目標。
北京市公安局海淀分局備案號:11010802023656號