今日頭條
官方微信
官方抖音
資訊頻道
我國工業控制系統安全存在多個薄弱環節,工控系統國產化程度不高,尤其是在高端市場基本被國外壟斷,核心的技術和元件均掌握在國外廠商手中,工業控制系統高度依賴國外,安全形勢嚴竣。
今年7月,“蜻蜓”團伙采用郵件和釣魚等方式攻擊電網等工控系統,再次將工業控制系統(以下稱工控系統)信息安全引入公眾視野。
面對工控系統信息安全的嚴峻形勢,由中國電子技術標準化研究院信息安全研究中心和其他23家單位共同發起成立了“工業控制系統信息安全產業聯盟”。該產業聯盟成立的宗旨是搭建政府、用戶、企業、科研院所之間的交流平臺,發揮紐帶與橋梁作用,共同推進我國工業控制系統信息安全產業發展,保障關鍵基礎設施安全穩定運行,支撐中國工業健康可持續發展。
聯盟致力于為我國工業控制系統信息安全在體系建設、風險評估、標準制定、產品開發和評測等方面迅速有效地取得積極成效而搭建一個交流平臺。
形勢嚴峻
我國正處于工業轉型升級的關鍵期,信息化與工業化深度融合的智能化生產成為發展趨勢。在工業信息化過程中,現有工控系統的軟硬件、通信協議,以及管理環節往往都存在信息安全隱患風險。工控系統信息安全事件在近年來逐年增加,嚴重影響國 家和地區的重要基礎設施安全,造成的損失和危害越來越嚴重,安全形勢刻不容緩。
美歐等國已將關鍵基礎設施與工控安全列為國家戰略。美國高度重視工控系統安全,采取了一系列的措施 來保障關鍵基礎設施和工控系統的信息安全,通過發布國家法規戰略、制 定工業控制系統安全路線圖、制定工控信息安全深度防御策略和標準、開 展工控系統信息安全檢查和評估來保 障工控系統的安全。
反觀現階段我國的工控系統信息安全,就會發現我國工控系統信息安全產業的規模與國外相比還有很大差距, 相關工控系統信息安全國家標準還不夠完善。我國工控系統信息安全工作起步晚,總體上技術研究尚屬起步階段, 管理制度不健全,相關標準體系不完善,安全防護能力和應急處理測評能力不高。因此,應盡快制定相關政策及標準,將工控系統安全納入到工業和信息化行業,并上升到國家網絡安全戰略高度予以部署推進。
我國工控系統安全存在多個薄弱環節,工控系統國產化程度不高,尤其是在高端市場基本被國外壟斷,核心的技術和元件均掌握在國外廠商手中,工控系統高度依賴國外,安全形勢嚴峻。
首先,國外工控系統在產品設 計、配置等方面不可避免地存在漏洞,這些漏洞一旦被敵對勢力、恐怖組織、商業間諜、黑客組織等利用,將帶來關鍵數據和信息被竊取、被篡改破壞等問題,還可能使涉及國計民生的工業、能源、交通等關鍵基礎設施遭到破壞。
其次,國外廠商會對工控系統進行遠程維護,關鍵核心數據可能被竊取并被利用。
當前我國工控系統的安全保護水平和安全管理偏低,表現在缺乏有效的管理標準來監管工控系統的安全,未對工控系統采取有效的分層保護措施、未經允許控制的遠程訪問等。
此外,我國目前還缺乏應用于工控系統的安全防護產品,工控系統的安全防護產品門類不全、為形成應用于各個系統層級、各個應用領域的安全防護產品體系不夠健全。
未來重點
為保障我國工控系統乃至關鍵基礎設施的安全,在有關政府主管部門的組織下,相關工控企業、標準研 究機構、測評機構、聯盟組織應全力合作,從建立工作機制、制定標準、 提高測評能力、培養工控安全人員信息安全意識等方面推進工控系統信息安全工作。
首先,應建立主管部門和工控系統企業的聯動工作機制,政府提供政策支 持,企業自身做好管理和技術支持,二 者協調統一。相關企業和科研機構應對出現的安全事件的原因分析總結,及時發現我國現有工控系統的隱患并給出解決方案。同時,政府指導推動工控行業和優勢企業,發展具有自主產權的工控系統的核心軟硬件,改變目前這種嚴重依賴關鍵技術產品進口的不利局面,加速提升我國在工控系統方面的核心競爭力,掌握工控產業發展的主動權。
其次,應加快制定工控系統信息安全國家標準。依據工業和信息化部發布《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號文)和《國務院關于大力推進信息化發展和 切實保障信息安全的若干意見》(國 發〔2012〕23 號)等相關文件,并結 合ISO/IEC JTC1/SC27、IEC 62443、NIST SP800-82等工控安全相關國際國外標準,從工控系統的技術線、管理線出發,以工控系統安全管理標準帶動工控系統技術標準制定,統籌工控安全產業發展,建立標準體系,維護工控系統信息安全。
再次,應加強工控系統安全評估能力建設。目前,國際上工控系統的物理安全測評認證主要由歐盟、德國、英國主導,工控系統核心安全數據、核心評估工具均被國外企業和評估機構壟斷。 在工控系統信息安全測評領域,我國也剛剛起步,亟須加強測評技術研究、測評工具開發、測評環境建設等能力提升工作,逐步形成我國獨特的工控系統信息安全測評體系和工控系統網絡安全審查體系。
最后,應提高工控系統企業信息安全意識。當前,很多工控安全事件都是由于企業信息安全管理不當或員工缺乏 信息安全意識的誤操作引起的,因此, 相關企業在對系統進行管理時要對管理 人員進行信息安全培訓,國家有關主管部門可定期對管理和操作人員進行考核認證,并建立問責機制。此外還可以委托相關信息安全測評機構建立演練模擬平臺,定期對企業員工進行信息安全事故演練,模擬在面對工控安全突發事件時的應急響應。
(作者系中國電子技術標準化研究院信息安全研究中心副主任、工業控制系統信息安全產業聯盟理事)
北京市公安局海淀分局備案號:11010802023656號