我國對信息安全的可控性、可知性和可預防性的認識水平和重視程度還需要大幅提高,需要建立自主可控、安全可靠的信息安全體系。
薛一波 博士,清華大學信息技術研究院研究員
現任清華大學CPU&SoC研究中心副主任,兼任IEEE會員、ACM會員、IEEE ComSoc 通信安全技術委員會委員、中國計算機學會高級會員、計算機體系結構專委會常務委員、計算機容錯計算專委會委員、國家網絡安全實驗平臺項目專家、國家242計劃專家、北京市經信委專家。目前主要從事網絡與信息安全、云安全、計算機體系結構等領域的研究工作,先后參加過自然科學基金重大項目、攀登計劃項目、國家公益類科研專項、核高基、中科院重大項目、國家科技支撐計劃、973計劃、863計劃、242計劃等多個重大科研項目,以及“2.5G SDH光傳輸系統”和“10G SDH光傳輸系統”等重大產品的研發,具有豐富的科研和產品研發經驗,在國內外重要學術會議和期刊上發表論文150余篇,申請發明專利40余項,承擔課題40余項,獲得過中科院科技進步二等獎一項。
2010年9月,伊朗布什爾核電站遭到Stuxnet病毒攻擊,這是第一次從虛擬信息世界對現實物理世界的網絡攻擊。如今,工業控制系統在我國應用十分廣泛,涉及重要的基礎設施,如水、電、氣、交通等。
工業控制系統信息安全(以下簡稱“工控信息安全”)問題一直存在,并越來越突出。早期的工控系統發展,致力于解決用戶的功能應用問題,由于信息化技術的快速發展,以及以太網在工控系統中的應用,工控系統的安全問題隨之而來。清華大學信息技術研究院研究員薛一波博士一直關注該問題,并與一些工業控制領域的公司展開合作。通過近幾年的課題研究和與企業合作,在工控信息安全領域積累了一些成果,主要針對通用信息安全技術在工業控制領域的特殊應用,以及用戶的實際需求,研究適用于工業控制領域的信息安全解決方案。
認識問題,發現問題
據薛一波介紹,工業控制系統信息安全除涉及傳統的物理安全、數據安全、網絡安全、內容安全等之外,還涉及啟動安全(BOOT)、認證安全(SSL)、內部安全和外部安全、社交工程攻擊、流量攻擊、APT攻擊等。相比IT信息安全,工業控制系統信息安全有很多不一樣的特點:首先,工業控制系統的信息安全更加重要,工業控制系統不能間斷,因此信息安全保障不再可有可無,而必須是一個使命性的保障,所以需要在信息安全和性能方面進行平衡和折中,寧可犧牲性能,也要保障安全;其次,工業控制系統信息安全涉及一些工業控制方面的協議,如SCADA、Modbus協議等,需要對這些協議的安全性進行深入的分析和驗證;第三,工業控制系統中CPU的處理能力不高、系統資源有限,IT領域普遍采用的核心技術和關鍵算法不一定適用,需要提出新的實現方法等,不一而足。
薛一波用表1以對比的方式清晰地闡述了工業控制網絡與IT網絡各自不同的特點:
通過比較IT網絡與工業控制網絡的差異可以發現,常規的IT網絡安全技術都不是專門針對工業控制網絡需求設計的,用在工業控制網絡上就會存在很多局限性。薛一波告訴記者:“工業控制安全具有自身的特殊性,為了保障工業控制系統信息安全,需要解決以下問題:(1)潛心研究工業控制領域協議的安全性,及時發現漏洞;(2)分析工業控制系統的特點,如什么是CPU?多少資源?有無操作系統?輕操作系統如何?無操作系統如何?Firmware如何?等;(3)根據工業控制系統的特點和安全需求,提出高效算法,實現核心技術;(4)提出測評規范和標準等。”
采訪中,薛一波多次強調,目前,我國控制領域用于控制基礎設施的核心系統配置相對較高,但是很多軟、硬件配置都全套采用了國外主流技術和產品。雖然在設備配置方面走在了前列,但是對信息安全的可控性、可知性和可預防性的認識水平和重視程度還需要大幅提高,需要建立自主可控、安全可靠的信息安全體系,對非自主產品應增強防范意識、加強控制管理、制定風險應對措施,有效避免安全威脅。
信息安全問題應得到高度重視
據了解,網絡已經成為繼陸地、海洋、天空、太空之外的第五維國家安全領域,它是一個新的國家核心利益和戰略制高點,目前,已有50余個國家發布網絡安全戰略,超過40個國家組建了網絡作戰部隊,網絡安全已經引起各國政府的高度重視。
薛一波談道:“在中國,未被保護,認識不足,重視不夠,是工控安全最為突出的問題。生產廠商不僅需要不斷修復自身設備和產品的安全隱患,還需要國家的政策指引、標準制定、第三方權威機構和服務商等角色的參與,共同討論,合理分工,方能在工控安全各環節預防問題、發現問題和解決問題。”
2014年2月27日,以國家主席習近平為組長的中央網絡安全與信息化領導小組正式成立,標志著網絡安全進入了一個新高度。在被問及如何看待“中央網絡安全與信息化領導小組”的成立時,薛一波表示,在該領導小組的第一次會議上,首次提出“網絡安全和信息化是一體之兩翼、驅動之雙輪”,指出“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”,首次把網絡安全提升到一個戰略高度,與信息化齊名,解決了過去“重發展、輕安全”的問題;強調“必須統一謀劃、統一部署、統一推進、統一實施”,解決了過去“缺乏統一規劃,缺乏協調機制,各自為戰,頭痛醫頭、腳痛醫腳”的問題。該小組的作用一是要意識到我國工業控制領域信息安全方面的嚴重性和緊迫性;二是要制定該領域的總體規劃和發展戰略;三是整合全社會的力量,加大投入,鼓勵創新,激發科研機構和企業的熱情和動力,研發自主設備,提供高效解決方案。
掌握自主知識產權是當務之急
目前,中國的工控信息安全領域呈現出幾大現狀:國外廠商不提供核心技術;國內廠商處于起步階段;用戶企業對專業知識缺乏,對安全問題不重視。薛一波具體講道:“國外廠商通常不會向中國用戶提供核心技術(或相關專利),因此國內用戶很難對設備的安全性進行全面檢測,也就很難發現設備中是否存在‘后門’、‘陷阱’、‘漏洞’、‘軟件炸彈’、‘隱蔽指令’等安全威脅,一旦這些漏洞被用來對工業控制網絡實施攻擊,其后果將不堪設想。”據統計,近年來國內很多信息安全事件均與此類漏洞有關。因此,提高自主可控能力,在一定程度上能夠起到堵塞信息安全漏洞、防患于未然的效果。他接著說:“工業控制領域核心信息系統投資規模大,很多企業的基礎網絡平臺、服務系統平臺、安全支撐平臺、控制和智能化系統都被國外產品壟斷,這些非自主產品具有封閉性強、操作復雜、技術資料短缺、持續升級維護能力差等特點,國內用戶很難組織二次開發或者自主生產。因此,提高自主可控能力,也是信息化建設的戰略需要。”
正如薛一波所言,國內廠商在工業控制領域信息安全領域基本處于空白和剛起步階段,國外研究較早,有一些好的品牌和產品,但出于國家安全的考慮,需要自主可控、安全可靠。他認為,國家正在出臺一系列的政策、專項資金來鼓勵國內企業加大研發,突破技術,掌握知識產權,推出自己的工業控制領域的信息安全產品,這是解決國家當下信息安全形勢的當務之急。
據相關數據統計,2011年國家信息安全漏洞共享平臺就收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍。深入這些數據之后,有80%以上來自于國外品牌,這些漏洞幾乎全部由國外發現,國內企業發現的漏洞很少。“我國的工業控制領域,90%以上的控制系統來自于國外,這些已知或未知漏洞的核心技術,并沒有被國內所掌握,如果發生攻擊,將非常被動,這對國內工業控制安全形勢而言是非常嚴峻的。”薛一波講道,“與此同時,安全漏洞和威脅還會繼續大幅增長,越來越多的安全人員和黑客開始關注這一領域,不斷尋找新的攻擊方法,這就意味著我國工業控制的信息安全問題會越來越多、越來越突出,需要國家、政府和企業高度重視、未雨綢繆、身行力踐,因此需要加大對國產自主品牌的支持力度,通過資金、政策、產品首試、認證測試等環節,給予扶持和指導。由此也為國產自主品牌創造了巨大的商機和前景。”
產學研用結合,構建良好生態系統
薛一波這樣評價工業用戶:工業用戶對信息安全問題的重視程度不高,一是領導重視不夠,一般只重視生產和效率,而忽視安全,特別是信息安全,認為是“既麻煩,又白花錢”;二是對計算機和網絡的了解不足,特別是對信息安全的危害性認識不夠;三是從業人員的整體素質不高,安全意識薄弱,培訓不足等。當然,這樣的結果并不僅是一方原因導致。他說道:“用戶企業自身的問題,不重視;政府監督的問題,一是本身就沒有意識到信息安全的重要性,二是監督不力;安全產品廠商的問題,沒有開發高效、實用、已用的拳頭產品,讓用戶用起來感到麻煩;科研機構的問題,沒有及時跟進這一領域,提出好的解決方案。”
為了解決工業控制系統信息安全的問題,薛一波深知需要動用全社會的力量,整合資源、統一規劃、合理布局,整合產、學、研、用幾方面的力量,構建良好的研發生態系統,打造完整的產業鏈。大學和科研機構在協議安全性、核心算法、關鍵技術、實現方案等方面要敢于突破和創新,提出實用的解決技術和手段,大學還需要多培養這方面的人才;生產企業要加強產品設計、測試和生產;廣大用戶要多試用,發現問題,提出問題,反饋需求。各個方面相互合作,相互融合,相互促進,才能共同推進工業控制系統信息安全的健康發展。
目前,清華大學與國內率先進入并專注于工控信息安全領域的北京力控華康科技有限公司展開合作,在信息與數據安全技術、加密和存儲技術等方面,采用聯合研發、技術引進和知識產權轉讓等方式,整合相關資源,縮短了研發周期。
除了學校與企業的進一步合作外,第三方機構的出現也是促進工控信息安全產業快速發展的重要手段。談到工業控制系統信息安全產業聯盟的成立,薛一波這樣說:“工業控制系統信息安全產業聯盟的成立,無論對于政府,還是用戶、廠商來說,都是極大的利好消息,這是一次很好的嘗試,也是一步很好的實踐。成立此聯盟,可以協調各方資源,整合各方力量,統籌總體規劃,制定行業標準,促進合作交流,引領產業健康發展。”
在薛一波眼中,工控系統信息安全的問題主要包括兩方面:一是,在工業控制領域重要的設備基本由國外壟斷和控制;二是,工業控制系統的信息安全非常薄弱,基本處于空白,因此開發我國的拳頭產品勢在必行。近年來,薛一波不斷嘗試突破一些關鍵技術,并取得了一些知識產權。我們期待能有更多像薛一波這樣將產、學、研、用相結合的技術專家,為國家的工業控制系統信息安全貢獻力量。
摘自 工業控制系統信息安全專刊