今日頭條
官方微信
官方抖音
資訊頻道2012年已經(jīng)逝去,回顧這一年,遭受美國金融風暴、歐債危機以來,自動化并無重大突破,但也有一些進展。
工業(yè)控制系統(tǒng)的安保(Security)
名詞問題
在工控領域內(nèi),safety指功能安全;而Security則表示安保,但也有人稱之為信息安全,在英文中表達明確。如果將Security譯為信息安全,那么,功能安全和信息安全譯為英文就變?yōu)閒unction safety與information safety,這樣極易混淆,不利于中外交流。因此Security應譯為安保。
目前狀況
2010年6月“震網(wǎng)”(stuxnet)攻擊伊朗核電站,使其發(fā)電時間推遲了18個月,這一嚴重后果引起了人們的注意。原來我們的基礎工業(yè)竟是一座“不設防的城市”。我國工信部于2011年9月下發(fā)了(工信部協(xié)[2011]451號)《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》要求各有關單位予以重視,采取對策。
去年,俄羅斯一家研究所又發(fā)現(xiàn)了“火焰”病毒在中東傳播,據(jù)說其烈度為“震網(wǎng)”的20倍,需10年時間將之克服。
有跡象表明,這些病毒并非個人行為,可能來自舉國之力。
目前有兩家公司可提供解決方案:其一是青島Tofino公司與加拿大一家小公司合作,可以提供解決方案,有的已在國內(nèi)一些石化企業(yè)應用;另外一家是德國菲尼克斯收購德國一家小公司Inomation,研發(fā)出了FL MGUARD工業(yè)信息安全組件。
去年8月,在上海舉辦的MICONEX上,西門子公司的唐文博士做了“工業(yè)基礎設施信息安全”的報告,著重講了國際上能源、水利與水處理、交通和制造業(yè)所發(fā)生的17起攻擊事件、Security的需求分析與縱深防御的解決方案;上海工業(yè)自動化儀表研究院王英副總工做了“大型石化裝置的ICS信息安全技術”的報告,該技術正在上海高橋石化進行試驗。目前國內(nèi)外一些大公司都在積極研發(fā),預計明年將陸續(xù)出臺解決方案。
存在問題
現(xiàn)有的解決方案是被動的,處于“挨打”的局面。目前的解決方案和標準是先將整個企業(yè)按地理位置或流程分為若干區(qū)(zone),各個區(qū)之間由管道來連接,在管道上安裝防火墻或安全網(wǎng)關,再用黑名單和白名單的辦法,若信息符合白名單上的協(xié)議就可以通過。而所謂縱深防御,就是從企業(yè)的ERP層往下,層層設關,最多可達5層,而且按IEC62443標準,如有需要則還可在重要的控制器前再設“分”或“二次”防火墻。一旦出現(xiàn)工業(yè)信息安全威脅,生產(chǎn)人員不知道“敵人”何時入侵,也不知已潛伏的“定時炸彈”何時爆炸,一有風吹草動,不免風聲鶴唳,草木皆兵,怎么叫人安心生產(chǎn)?
此外,其實用性也有待驗證。據(jù)了解,目前的解決方案或標準均出自于IT行業(yè)。例如IEC62443提及IT行業(yè)的信息與工控信息要求的區(qū)別在于IT行業(yè)對信息要求的排序是保密性-完整性-可用性;而工控行業(yè)信息要求則為可用性-完整性-保密性。從工控行業(yè)的觀點來看則應從實時性-可靠性-安全性方面來對比。縱深防御、層層把關,對工控系統(tǒng)的正常運行(實時性、可靠性、安全性)是否會產(chǎn)生負面影響?
同時,這也增加了很大的成本一次投資固然會增加,但今后的維護、升級的費用將會更多。
有關安全的標準應該是強制性的還是推薦性、參考性的?目前的IEC62443是屬于“預標準(pre-standard)”,而正在轉化的國標也是推薦性的。例如在IEC62443標準中,幾乎都是“宜”(should),而不是“應”(shall)。“宜”就是可以這樣做,也可以不這樣做。對于安全來講這樣做是否合適呢?另外,IEC62443篇幅浩繁,有些地方深奧難懂,可操作性差,但反過來講,在需要與可能存在很大差距的情況下,這樣做總比無所作為好一些吧?
北京市公安局海淀分局備案號:11010802023656號