今日頭條
官方微信
官方抖音
資訊頻道
2010年9月,伊朗布什爾核電站遭到Stuxnet病毒攻擊,這是第一次從虛擬信息世界對(duì)現(xiàn)實(shí)物理世界的網(wǎng)絡(luò)攻擊。如今,工業(yè)控制系統(tǒng)在我國(guó)應(yīng)用十分廣泛,涉及重要的基礎(chǔ)設(shè)施,如水、電、氣、交通等。
工業(yè)控制系統(tǒng)信息安全(以下簡(jiǎn)稱“工控信息安全”)問(wèn)題一直存在,并越來(lái)越突出。早期的工控系統(tǒng)發(fā)展,致力于解決用戶的功能應(yīng)用問(wèn)題,由于信息化技術(shù)的快速發(fā)展,以及以太網(wǎng)在工控系統(tǒng)中的應(yīng)用,工控系統(tǒng)的安全問(wèn)題隨之而來(lái)。清華大學(xué)信息技術(shù)研究院研究員薛一波博士一直關(guān)注該問(wèn)題,并與一些工業(yè)控制領(lǐng)域的公司展開(kāi)合作。通過(guò)近幾年的課題研究和與企業(yè)合作,在工控信息安全領(lǐng)域積累了一些成果,主要針對(duì)通用信息安全技術(shù)在工業(yè)控制領(lǐng)域的特殊應(yīng)用,以及用戶的實(shí)際需求,研究適用于工業(yè)控制領(lǐng)域的信息安全解決方案。
認(rèn)識(shí)問(wèn)題,發(fā)現(xiàn)問(wèn)題
據(jù)薛一波介紹,工業(yè)控制系統(tǒng)信息安全除涉及傳統(tǒng)的物理安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、內(nèi)容安全等之外,還涉及啟動(dòng)安全(BOOT)、認(rèn)證安全(SSL)、內(nèi)部安全和外部安全、社交工程攻擊、流量攻擊、APT攻擊等。相比IT信息安全,工業(yè)控制系統(tǒng)信息安全有很多不一樣的特點(diǎn):首先,工業(yè)控制系統(tǒng)的信息安全更加重要,工業(yè)控制系統(tǒng)不能間斷,因此信息安全保障不再可有可無(wú),而必須是一個(gè)使命性的保障,所以需要在信息安全和性能方面進(jìn)行平衡和折中,寧可犧牲性能,也要保障安全;其次,工業(yè)控制系統(tǒng)信息安全涉及一些工業(yè)控制方面的協(xié)議,如SCADA、Modbus協(xié)議等,需要對(duì)這些協(xié)議的安全性進(jìn)行深入的分析和驗(yàn)證;第三,工業(yè)控制系統(tǒng)中CPU的處理能力不高、系統(tǒng)資源有限,IT領(lǐng)域普遍采用的核心技術(shù)和關(guān)鍵算法不一定適用,需要提出新的實(shí)現(xiàn)方法等,不一而足。
薛一波用表1以對(duì)比的方式清晰地闡述了工業(yè)控制網(wǎng)絡(luò)與IT網(wǎng)絡(luò)各自不同的特點(diǎn):
通過(guò)比較IT網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)的差異可以發(fā)現(xiàn),常規(guī)的IT網(wǎng)絡(luò)安全技術(shù)都不是專門針對(duì)工業(yè)控制網(wǎng)絡(luò)需求設(shè)計(jì)的,用在工業(yè)控制網(wǎng)絡(luò)上就會(huì)存在很多局限性。
薛一波告訴記者:“工業(yè)控制安全具有自身的特殊性,為了保障工業(yè)控制系統(tǒng)信息安全,需要解決以下問(wèn)題:(1)潛心研究工業(yè)控制領(lǐng)域協(xié)議的安全性,及時(shí)發(fā)現(xiàn)漏洞;(2)分析工業(yè)控制系統(tǒng)的特點(diǎn),如什么是CPU?多少資源?有無(wú)操作系統(tǒng)?輕操作系統(tǒng)如何?無(wú)操作系統(tǒng)如何?Firmware如何?等;(3)根據(jù)工業(yè)控制系統(tǒng)的特點(diǎn)和安全需求,提出高效算法,實(shí)現(xiàn)核心技術(shù);(4)提出測(cè)評(píng)規(guī)范和標(biāo)準(zhǔn)等。”
采訪中,薛一波多次強(qiáng)調(diào),目前,我國(guó)控制領(lǐng)域用于控制基礎(chǔ)設(shè)施的核心系統(tǒng)配置相對(duì)較高,但是很多軟、硬件配置都全套采用了國(guó)外主流技術(shù)和產(chǎn)品。雖然在設(shè)備配置方面走在了前列,但是對(duì)信息安全的可控性、可知性和可預(yù)防性的認(rèn)識(shí)水平和重視程度還需要大幅提高,需要建立自主可控、安全可靠的信息安全體系,對(duì)非自主產(chǎn)品應(yīng)增強(qiáng)防范意識(shí)、加強(qiáng)控制管理、制定風(fēng)險(xiǎn)應(yīng)對(duì)措施,有效避免安全威脅。
信息安全問(wèn)題應(yīng)得到高度重視
據(jù)了解,網(wǎng)絡(luò)已經(jīng)成為繼陸地、海洋、天空、太空之外的第五維國(guó)家安全領(lǐng)域,它是一個(gè)新的國(guó)家核心利益和戰(zhàn)略制高點(diǎn),目前,已有50余個(gè)國(guó)家發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略,超過(guò)40個(gè)國(guó)家組建了網(wǎng)絡(luò)作戰(zhàn)部隊(duì),網(wǎng)絡(luò)安全已經(jīng)引起各國(guó)政府的高度重視。
薛一波談道:“在中國(guó),未被保護(hù),認(rèn)識(shí)不足,重視不夠,是工控安全最為突出的問(wèn)題。生產(chǎn)廠商不僅需要不斷修復(fù)自身設(shè)備和產(chǎn)品的安全隱患,還需要國(guó)家的政策指引、標(biāo)準(zhǔn)制定、第三方權(quán)威機(jī)構(gòu)和服務(wù)商等角色的參與,共同討論,合理分工,方能在工控安全各環(huán)節(jié)預(yù)防問(wèn)題、發(fā)現(xiàn)問(wèn)題和解決問(wèn)題。”
2014年2月27日,以國(guó)家主席習(xí)近平為組長(zhǎng)的中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組正式成立,標(biāo)志著網(wǎng)絡(luò)安全進(jìn)入了一個(gè)新高度。在被問(wèn)及如何看待“中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組”的成立時(shí),薛一波表示,在該領(lǐng)導(dǎo)小組的第一次會(huì)議上,首次提出“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪”,指出“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全,沒(méi)有信息化就沒(méi)有現(xiàn)代化”,首次把網(wǎng)絡(luò)安全提升到一個(gè)戰(zhàn)略高度,與信息化齊名,解決了過(guò)去“重發(fā)展、輕安全”的問(wèn)題;強(qiáng)調(diào)“必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施”,解決了過(guò)去“缺乏統(tǒng)一規(guī)劃,缺乏協(xié)調(diào)機(jī)制,各自為戰(zhàn),頭痛醫(yī)頭、腳痛醫(yī)腳”的問(wèn)題。該小組的作用一是要意識(shí)到我國(guó)工業(yè)控制領(lǐng)域信息安全方面的嚴(yán)重性和緊迫性;二是要制定該領(lǐng)域的總體規(guī)劃和發(fā)展戰(zhàn)略;三是整合全社會(huì)的力量,加大投入,鼓勵(lì)創(chuàng)新,激發(fā)科研機(jī)構(gòu)和企業(yè)的熱情和動(dòng)力,研發(fā)自主設(shè)備,提供高效解決方案。
掌握自主知識(shí)產(chǎn)權(quán)是當(dāng)務(wù)之急
目前,中國(guó)的工控信息安全領(lǐng)域呈現(xiàn)出幾大現(xiàn)狀:國(guó)外廠商不提供核心技術(shù);國(guó)內(nèi)廠商處于起步階段;用戶企業(yè)對(duì)專業(yè)知識(shí)缺乏,對(duì)安全問(wèn)題不重視。薛一波具體講道:“國(guó)外廠商通常不會(huì)向中國(guó)用戶提供核心技術(shù)(或相關(guān)專利),因此國(guó)內(nèi)用戶很難對(duì)設(shè)備的安全性進(jìn)行全面檢測(cè),也就很難發(fā)現(xiàn)設(shè)備中是否存在‘后門’、‘陷阱’、‘漏洞’、‘軟件炸彈’、‘隱蔽指令’等安全威脅,一旦這些漏洞被用來(lái)對(duì)工業(yè)控制網(wǎng)絡(luò)實(shí)施攻擊,其后果將不堪設(shè)想。”據(jù)統(tǒng)計(jì),近年來(lái)國(guó)內(nèi)很多信息安全事件均與此類漏洞有關(guān)。因此,提高自主可控能力,在一定程度上能夠起到堵塞信息安全漏洞、防患于未然的效果。他接著說(shuō):“工業(yè)控制領(lǐng)域核心信息系統(tǒng)投資規(guī)模大,很多企業(yè)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)、服務(wù)系統(tǒng)平臺(tái)、安全支撐平臺(tái)、控制和智能化系統(tǒng)都被國(guó)外產(chǎn)品壟斷,這些非自主產(chǎn)品具有封閉性強(qiáng)、操作復(fù)雜、技術(shù)資料短缺、持續(xù)升級(jí)維護(hù)能力差等特點(diǎn),國(guó)內(nèi)用戶很難組織二次開(kāi)發(fā)或者自主生產(chǎn)。因此,提高自主可控能力,也是信息化建設(shè)的戰(zhàn)略需要。”
正如薛一波所言,國(guó)內(nèi)廠商在工業(yè)控制領(lǐng)域信息安全領(lǐng)域基本處于空白和剛起步階段,國(guó)外研究較早,有一些好的品牌和產(chǎn)品,但出于國(guó)家安全的考慮,需要自主可控、安全可靠。他認(rèn)為,國(guó)家正在出臺(tái)一系列的政策、專項(xiàng)資金來(lái)鼓勵(lì)國(guó)內(nèi)企業(yè)加大研發(fā),突破技術(shù),掌握知識(shí)產(chǎn)權(quán),推出自己的工業(yè)控制領(lǐng)域的信息安全產(chǎn)品,這是解決國(guó)家當(dāng)下信息安全形勢(shì)的當(dāng)務(wù)之急。
據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì),2011年國(guó)家信息安全漏洞共享平臺(tái)就收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長(zhǎng)近10倍。深入這些數(shù)據(jù)之后,有80%以上來(lái)自于國(guó)外品牌,這些漏洞幾乎全部由國(guó)外發(fā)現(xiàn),國(guó)內(nèi)企業(yè)發(fā)現(xiàn)的漏洞很少。“我國(guó)的工業(yè)控制領(lǐng)域,90%以上的控制系統(tǒng)來(lái)自于國(guó)外,這些已知或未知漏洞的核心技術(shù),并沒(méi)有被國(guó)內(nèi)所掌握,如果發(fā)生攻擊,將非常被動(dòng),這對(duì)國(guó)內(nèi)工業(yè)控制安全形勢(shì)而言是非常嚴(yán)峻的。”薛一波講道,“與此同時(shí),安全漏洞和威脅還會(huì)繼續(xù)大幅增長(zhǎng),越來(lái)越多的安全人員和黑客開(kāi)始關(guān)注這一領(lǐng)域,不斷尋找新的攻擊方法,這就意味著我國(guó)工業(yè)控制的信息安全問(wèn)題會(huì)越來(lái)越多、越來(lái)越突出,需要國(guó)家、政府和企業(yè)高度重視、未雨綢繆、身行力踐,因此需要加大對(duì)國(guó)產(chǎn)自主品牌的支持力度,通過(guò)資金、政策、產(chǎn)品首試、認(rèn)證測(cè)試等環(huán)節(jié),給予扶持和指導(dǎo)。由此也為國(guó)產(chǎn)自主品牌創(chuàng)造了巨大的商機(jī)和前景。”
產(chǎn)學(xué)研用結(jié)合,構(gòu)建良好生態(tài)系統(tǒng)
薛一波這樣評(píng)價(jià)工業(yè)用戶:工業(yè)用戶對(duì)信息安全問(wèn)題的重視程度不高,一是領(lǐng)導(dǎo)重視不夠,一般只重視生產(chǎn)和效率,而忽視安全,特別是信息安全,認(rèn)為是“既麻煩,又白花錢”;二是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的了解不足,特別是對(duì)信息安全的危害性認(rèn)識(shí)不夠;三是從業(yè)人員的整體素質(zhì)不高,安全意識(shí)薄弱,培訓(xùn)不足等。當(dāng)然,這樣的結(jié)果并不僅是一方原因?qū)е隆Kf(shuō)道:“用戶企業(yè)自身的問(wèn)題,不重視;政府監(jiān)督的問(wèn)題,一是本身就沒(méi)有意識(shí)到信息安全的重要性,二是監(jiān)督不力;安全產(chǎn)品廠商的問(wèn)題,沒(méi)有開(kāi)發(fā)高效、實(shí)用、已用的拳頭產(chǎn)品,讓用戶用起來(lái)感到麻煩;科研機(jī)構(gòu)的問(wèn)題,沒(méi)有及時(shí)跟進(jìn)這一領(lǐng)域,提出好的解決方案。”
為了解決工業(yè)控制系統(tǒng)信息安全的問(wèn)題,薛一波深知需要?jiǎng)佑萌鐣?huì)的力量,整合資源、統(tǒng)一規(guī)劃、合理布局,整合產(chǎn)、學(xué)、研、用幾方面的力量,構(gòu)建良好的研發(fā)生態(tài)系統(tǒng),打造完整的產(chǎn)業(yè)鏈。大學(xué)和科研機(jī)構(gòu)在協(xié)議安全性、核心算法、關(guān)鍵技術(shù)、實(shí)現(xiàn)方案等方面要敢于突破和創(chuàng)新,提出實(shí)用的解決技術(shù)和手段,大學(xué)還需要多培養(yǎng)這方面的人才;生產(chǎn)企業(yè)要加強(qiáng)產(chǎn)品設(shè)計(jì)、測(cè)試和生產(chǎn);廣大用戶要多試用,發(fā)現(xiàn)問(wèn)題,提出問(wèn)題,反饋需求。各個(gè)方面相互合作,相互融合,相互促進(jìn),才能共同推進(jìn)工業(yè)控制系統(tǒng)信息安全的健康發(fā)展。
目前,清華大學(xué)與國(guó)內(nèi)率先進(jìn)入并專注于工控信息安全領(lǐng)域的北京力控華康科技有限公司展開(kāi)合作,在信息與數(shù)據(jù)安全技術(shù)、加密和存儲(chǔ)技術(shù)等方面,采用聯(lián)合研發(fā)、技術(shù)引進(jìn)和知識(shí)產(chǎn)權(quán)轉(zhuǎn)讓等方式,整合相關(guān)資源,縮短了研發(fā)周期。
除了學(xué)校與企業(yè)的進(jìn)一步合作外,第三方機(jī)構(gòu)的出現(xiàn)也是促進(jìn)工控信息安全產(chǎn)業(yè)快速發(fā)展的重要手段。談到工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟的成立,薛一波這樣說(shuō):“工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟的成立,無(wú)論對(duì)于政府,還是用戶、廠商來(lái)說(shuō),都是極大的利好消息,這是一次很好的嘗試,也是一步很好的實(shí)踐。成立此聯(lián)盟,可以協(xié)調(diào)各方資源,整合各方力量,統(tǒng)籌總體規(guī)劃,制定行業(yè)標(biāo)準(zhǔn),促進(jìn)合作交流,引領(lǐng)產(chǎn)業(yè)健康發(fā)展。”
在薛一波眼中,工控系統(tǒng)信息安全的問(wèn)題主要包括兩方面:一是,在工業(yè)控制領(lǐng)域重要的設(shè)備基本由國(guó)外壟斷和控制;二是,工業(yè)控制系統(tǒng)的信息安全非常薄弱,基本處于空白,因此開(kāi)發(fā)我國(guó)的拳頭產(chǎn)品勢(shì)在必行。近年來(lái),薛一波不斷嘗試突破一些關(guān)鍵技術(shù),并取得了一些知識(shí)產(chǎn)權(quán)。我們期待能有更多像薛一波這樣將產(chǎn)、學(xué)、研、用相結(jié)合的技術(shù)專家,為國(guó)家的工業(yè)控制系統(tǒng)信息安全貢獻(xiàn)力量。
作者簡(jiǎn)介
薛一波,博士,清華大學(xué)信息技術(shù)研究院研究員。現(xiàn)任清華大學(xué)CPU&SoC研究中心副主任,兼任IEEE會(huì)員、ACM會(huì)員、IEEE ComSoc 通信安全技術(shù)委員會(huì)委員、中國(guó)計(jì)算機(jī)學(xué)會(huì)高級(jí)會(huì)員、計(jì)算機(jī)體系結(jié)構(gòu)專委會(huì)常務(wù)委員、計(jì)算機(jī)容錯(cuò)計(jì)算專委會(huì)委員、國(guó)家網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)項(xiàng)目專家、國(guó)家242計(jì)劃專家、北京市經(jīng)信委專家。目前主要從事網(wǎng)絡(luò)與信息安全、云安全、計(jì)算機(jī)體系結(jié)構(gòu)等領(lǐng)域的研究工作,先后參加過(guò)自然科學(xué)基金重大項(xiàng)目、攀登計(jì)劃項(xiàng)目、國(guó)家公益類科研專項(xiàng)、核高基、中科院重大項(xiàng)目、國(guó)家科技支撐計(jì)劃、973計(jì)劃、863計(jì)劃、242計(jì)劃等多個(gè)重大科研項(xiàng)目,以及“2.5G SDH光傳輸系統(tǒng)”和“10G SDH光傳輸系統(tǒng)”等重大產(chǎn)品的研發(fā),具有豐富的科研和產(chǎn)品研發(fā)經(jīng)驗(yàn),在國(guó)內(nèi)外重要學(xué)術(shù)會(huì)議和期刊上發(fā)表論文150余篇,申請(qǐng)發(fā)明專利40余項(xiàng),承擔(dān)課題40余項(xiàng),獲得過(guò)中科院科技進(jìn)步二等獎(jiǎng)一項(xiàng)。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)