今日頭條
官方微信
官方抖音
資訊頻道
中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所 總工程師 徐新國
控制網(wǎng):您如何看待當(dāng)前倍受關(guān)注的工業(yè)控制系統(tǒng)信息安全問題?
徐新國:工業(yè)控制系統(tǒng)信息安全問題其實(shí)一直存在,只是因?yàn)樵瓉淼墓た叵到y(tǒng)相對封閉,這方面暴露出的問題較少,沒有得到相應(yīng)的重視。但是隨著近年來信息技術(shù)的快速發(fā)展,工控系統(tǒng)越來越開放,更多的采用通用操作系統(tǒng)、通訊協(xié)議和標(biāo)準(zhǔn),與信息化系統(tǒng)結(jié)合也越來越緊密,信息安全的問題也就顯得尤為突出,“震網(wǎng)”病毒事件為我們敲響了警鐘。早在2010年我們就向工信部信息安全協(xié)調(diào)司提交了“關(guān)于工業(yè)控制系統(tǒng)信息安全應(yīng)當(dāng)引起高度重視的情況報(bào)告和相關(guān)管理建議”,工控系統(tǒng)在我國已經(jīng)廣泛應(yīng)用于國民經(jīng)濟(jì)的各主要行業(yè)和領(lǐng)域,成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成,但是絕大部分采用國外產(chǎn)品,一旦出現(xiàn)問題往往是災(zāi)難性的,造成的損失也是巨大的,因此工控系統(tǒng)的安全問題是關(guān)系國家經(jīng)濟(jì)安全和戰(zhàn)略安全的重要問題。
控制網(wǎng):工業(yè)控制系統(tǒng)的安全漏洞有哪些?
徐新國:工控系統(tǒng)包括的種類很多,根據(jù)不同的應(yīng)用環(huán)境,大致可以分為設(shè)備級、現(xiàn)場級和系統(tǒng)級。設(shè)備級和現(xiàn)場級系統(tǒng)大多采用嵌入式的結(jié)構(gòu),使用專用實(shí)時(shí)操作系統(tǒng)和實(shí)時(shí)數(shù)據(jù)庫。由于其計(jì)算資源有限,為了保證實(shí)時(shí)性和可用性,系統(tǒng)在設(shè)計(jì)時(shí)往往無法過多考慮信息安全的需求,從關(guān)鍵芯片到文件系統(tǒng)、進(jìn)程調(diào)度、內(nèi)存分配等都可能存在安全漏洞。隨著設(shè)備和現(xiàn)場級系統(tǒng)越來越智能化和網(wǎng)絡(luò)化,它已經(jīng)成為重點(diǎn)攻擊目標(biāo)。類似“震網(wǎng)”病毒入侵PLC這種具有很強(qiáng)目的性和專業(yè)性的入侵攻擊,一旦掌握了系統(tǒng)的安全漏洞,其后果和損失往往是巨大的。在系統(tǒng)級,由于考慮人機(jī)交互以及與其它生產(chǎn)管理系統(tǒng)、信息系統(tǒng)的互聯(lián),越來越多的采用通用操作系統(tǒng),例如操作員站一般采用的都是WINDOWS平臺,但為了系統(tǒng)的穩(wěn)定運(yùn)行,通常現(xiàn)場工程師在系統(tǒng)投入運(yùn)行后不會對系統(tǒng)平臺安裝任何補(bǔ)丁,從而使通用操作系統(tǒng)的安全漏洞暴露無遺。
在網(wǎng)絡(luò)方面,隨著TCP/IP 協(xié)議和OPC 協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,通信協(xié)議漏洞問題也日益突出。例如:OPC通訊采用不固定的端口號,導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。
對于應(yīng)用軟件,一方面隨著越來越多的功能要求,工業(yè)軟件的規(guī)模和復(fù)雜度不斷增大,再加上普遍使用中斷和優(yōu)先級來滿足系統(tǒng)實(shí)時(shí)性需求,帶來了軟件流程不確定性問題,這些都加大了對軟件進(jìn)行測試的難度。另一方面由于缺少統(tǒng)一的安全防護(hù)規(guī)范,工業(yè)軟件普遍存在安全設(shè)計(jì)缺陷,而應(yīng)用軟件產(chǎn)生的漏洞是最容易被攻擊者利用,取得被控設(shè)備的控制權(quán),從而造成嚴(yán)重后果。
控制網(wǎng):工業(yè)控制系統(tǒng)信息安全問題的發(fā)生有何特點(diǎn)?在哪些應(yīng)用領(lǐng)域中易于發(fā)生?
徐新國:工控系統(tǒng)面臨的威脅可以來自多種來源,既包括來自外部的對抗性威脅,如敵對政府、恐怖組織、工業(yè)間諜、惡意入侵者等,也包括內(nèi)部問題引起的威脅,如系統(tǒng)的復(fù)雜性或設(shè)計(jì)缺陷、人為錯(cuò)誤和意外事故、設(shè)備故障等等。無論哪種威脅,最終都是通過工控系統(tǒng)本身的錯(cuò)誤動作、故障甚至崩潰引起被控設(shè)備的意外停機(jī)、嚴(yán)重?fù)p壞來體現(xiàn)的。伊朗布什爾核電站事件就是一個(gè)典型的例子,“震網(wǎng)”病毒通過傳統(tǒng)的傳播方式感染了大量的計(jì)算機(jī),但只有當(dāng)其被帶入核電站控制系統(tǒng)后才發(fā)作,它取得了系統(tǒng)的控制權(quán),使控制系統(tǒng)發(fā)出錯(cuò)誤的運(yùn)行指令,同時(shí)發(fā)布欺騙信息,最終導(dǎo)致被控的關(guān)鍵設(shè)備超負(fù)荷運(yùn)行直至損毀。由此可見,來自外部的威脅,通過內(nèi)部的安全漏洞,取得控制系統(tǒng)的合法權(quán)限并發(fā)生作用,往往更難防范,造成的損失也更巨大。
隨著類似事件的不斷發(fā)生,我們應(yīng)該意識到,此類事件的目的性、隱蔽性和專業(yè)性越來越強(qiáng),它已不再是企業(yè)層面的問題,而是涉及國家戰(zhàn)略安全的問題。在我國重要基礎(chǔ)設(shè)施中的工控系統(tǒng)都可能面臨著嚴(yán)重的安全威脅,越是應(yīng)用環(huán)境復(fù)雜,性能要求和安全要求都很高的領(lǐng)域,例如電力、石化、軌道交通等,越是需要重點(diǎn)防范。
控制網(wǎng):信息安全不是一個(gè)新的話題,您認(rèn)為工業(yè)控制系統(tǒng)的信息安全與傳統(tǒng)IT領(lǐng)域的信息安全有何不同?
徐新國:工控系統(tǒng)與一般IT系統(tǒng)在性能需求、可用性需求等方面都存在很大差異。工控系統(tǒng)首先要求實(shí)時(shí)性、低延遲,它可用的計(jì)算資源往往非常有限,尤其是在嵌入式系統(tǒng)中,都要求最大限度地控制系統(tǒng)資源,很少甚至沒有額外容量給第三方的網(wǎng)絡(luò)安全解決方案。在可用性方面,工控系統(tǒng)一般都要求長時(shí)間連續(xù)運(yùn)行,不定期殺毒、升級、打補(bǔ)丁,以及意外重啟或停機(jī)都是不能允許的。另外,在工控系統(tǒng)的應(yīng)用部門中,與信息系統(tǒng)的管理人員和管理模式也往往是不同的。這些因素都導(dǎo)致目前商用的信息安全解決方案不可能直接用于工控系統(tǒng),靠犧牲實(shí)時(shí)性和可用性來達(dá)到安全的目的在工控系統(tǒng)中是不可取的。
在安全性要求方面,由于工控系統(tǒng)與物理設(shè)備緊密相連,不僅要求信息安全,更要求功能安全,一旦信息安全的問題導(dǎo)致系統(tǒng)功能安全的破壞,其后果將是災(zāi)難性的,因此,將功能安全與信息安全完全的割裂開來,只采用傳統(tǒng)的信息安全防護(hù)手段,即便這些防護(hù)手段已經(jīng)過適用性和兼容性的改造和測試,也遠(yuǎn)遠(yuǎn)不能滿足工控系統(tǒng)安全的需求。只有將兩者融合成一個(gè)無縫的安全體系,充分發(fā)揮不同的安全技術(shù)協(xié)作優(yōu)勢,才能達(dá)到1+1>2的效果,保障工業(yè)系統(tǒng)的安全運(yùn)行。
總的來說,工控系統(tǒng)安全漏洞存在于多層次和多環(huán)節(jié)中,在資源受限的條件下,傳統(tǒng)信息安全防護(hù)手段固有的被動性和滯后性,無法滿足工控系統(tǒng)本質(zhì)安全的需要。特別是我國工控系統(tǒng)缺乏自主可控技術(shù),主要軟硬件依賴進(jìn)口,安全問題受制于人。只有將安全設(shè)計(jì)的理念融入系統(tǒng)設(shè)計(jì)中,在研究統(tǒng)一的貫穿整個(gè)系統(tǒng)的安全設(shè)計(jì)框架基礎(chǔ)上,研發(fā)自主安全的核心芯片、實(shí)時(shí)操作系統(tǒng)和數(shù)據(jù)庫、工業(yè)應(yīng)用軟件等,才能真正做到自主可信、安全可控。
控制網(wǎng):當(dāng)前針對工業(yè)控制系統(tǒng)信息安全問題有哪些應(yīng)對策略?能否滿足應(yīng)對危機(jī)的需求?
徐新國:從國家層面上看,工信部在去年發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(451號文),并將風(fēng)險(xiǎn)評估列入2012年的工作重點(diǎn)。今年6月在《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》中,也特別強(qiáng)調(diào)要加強(qiáng)重要領(lǐng)域工業(yè)控制系統(tǒng)的安全防護(hù)和管理,定期開展安全檢查和風(fēng)險(xiǎn)評估。重點(diǎn)對可能危及生命和公共財(cái)產(chǎn)安全的工業(yè)控制系統(tǒng)加強(qiáng)監(jiān)管。對重點(diǎn)領(lǐng)域使用的關(guān)鍵產(chǎn)品開展安全測評,實(shí)行安全風(fēng)險(xiǎn)和漏洞通報(bào)制度。目前,工信部正在開展對我國關(guān)鍵基礎(chǔ)設(shè)施中的工控系統(tǒng)信息安全問題的大規(guī)模調(diào)查工作。國家發(fā)改委也在今年的信息安全專項(xiàng)中支持工控系統(tǒng)信息安全產(chǎn)品產(chǎn)業(yè)化和專業(yè)服務(wù)方面的項(xiàng)目。電力、石化等重點(diǎn)行業(yè)和領(lǐng)域,正在開展相關(guān)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的制定。
從技術(shù)的角度看,我國的研究工作剛剛起步,關(guān)鍵的技術(shù)和工控系統(tǒng)對國外產(chǎn)品的依賴程度很高,對于巨大的存量市場,短期內(nèi)很難做到自主可控。對于增量市場,尚未形成一套切實(shí)可行的統(tǒng)一安全架構(gòu)和安全體系。
在管理體制方面,目前還缺乏對工控系統(tǒng)產(chǎn)品的信息安全檢測、評估、認(rèn)證手段和機(jī)制,這必須是國家和政府行為,僅靠企業(yè)是無法推動的。可以借鑒美國的做法,依托模擬仿真平臺、綜合采用現(xiàn)場檢查測評與實(shí)驗(yàn)室測評相結(jié)合的測評方法。以模擬仿真平臺為基礎(chǔ),開展驗(yàn)證服務(wù)和自主可控測評服務(wù)。
控制網(wǎng):您認(rèn)為面對越來越頻繁發(fā)生的工業(yè)控制系統(tǒng)信息安全問題,當(dāng)前最緊迫的事情是什么?應(yīng)該從哪些方面著手?
徐新國:在國家層面,應(yīng)盡快加強(qiáng)對工業(yè)控制系統(tǒng)信息安全防護(hù)工作的組織領(lǐng)導(dǎo)和宏觀規(guī)劃;深入研究設(shè)計(jì)工業(yè)控制系統(tǒng)信息安全防護(hù)體系架構(gòu),制定工業(yè)控制系統(tǒng)信息安全防護(hù)策略;打破各自為戰(zhàn)的格局,推進(jìn)工業(yè)控制系統(tǒng)信息安全防護(hù)體系建設(shè),開展工業(yè)控制系統(tǒng)信息安全漏洞分析、風(fēng)險(xiǎn)評估、準(zhǔn)入認(rèn)證工作,加快建立相關(guān)行業(yè)及國家標(biāo)準(zhǔn)。
加大技術(shù)研究投資的力度。工控系統(tǒng)信息安全的特殊性和重要性,決定了它不能按照傳統(tǒng)信息安全的解決路線來走,更不能只依靠現(xiàn)有的信息安全技術(shù)和產(chǎn)品。國家應(yīng)重點(diǎn)支持對自主可控的一體化安全框架的研究,包括其相關(guān)的關(guān)鍵、共性和支撐技術(shù);鼓勵對控制技術(shù)、信息技術(shù)、電力電子技術(shù)等相關(guān)技術(shù)和信息安全技術(shù)融合的研究;落實(shí)針對不同行業(yè)特點(diǎn)的仿真驗(yàn)證測試平臺的搭建。
在產(chǎn)業(yè)層面,要打破行業(yè)界限,加強(qiáng)聯(lián)合,產(chǎn)生一批跨信息安全、自動控制等領(lǐng)域的企業(yè),一方面根據(jù)不同行業(yè)的特點(diǎn),針對巨大的存量市場,在研究資源受限條件下輕量級、可裁剪的信息安全技術(shù)的同時(shí),按照功能安全與信息安全融合的思路,研究具有主動防御功能的工控信息安全產(chǎn)品,例如目前我們正在研究適用于終端設(shè)備、控制現(xiàn)場和上層監(jiān)控系統(tǒng)的“防危”機(jī)制和“防危”產(chǎn)品。它的作用是保護(hù)關(guān)鍵、重要設(shè)備不被非法操作,既防止取得控制系統(tǒng)合法權(quán)限的外部惡意攻擊對設(shè)備的破壞性操作,也防止由于系統(tǒng)復(fù)雜性和設(shè)計(jì)缺陷、以及內(nèi)部誤操作等帶來的安全隱患,保證相關(guān)聯(lián)設(shè)備處于安全狀態(tài),預(yù)見和避免災(zāi)難性后果的發(fā)生。另一方面,面向未來的增量市場,在安全設(shè)計(jì)框架基礎(chǔ)上,掌握實(shí)時(shí)操作系統(tǒng)、實(shí)時(shí)數(shù)據(jù)庫等核心技術(shù),研究融合控制技術(shù)、信息技術(shù)、信息安全技術(shù)的新一代自主可信工業(yè)控制系統(tǒng)。
總之,工控系統(tǒng)的信息安全要靠政府和行業(yè)、企業(yè)共同建立和完善一整套安全防護(hù)體系,更重要的是必須改變被動防御的思路,才能實(shí)現(xiàn)自主、可控、本質(zhì)安全的目標(biāo)。
北京市公安局海淀分局備案號:11010802023656號