今日頭條
官方微信
官方抖音
資訊頻道 工業控制系統信息安全防護的重點是抵御黑客、木馬、病毒等通過各種形式對企業網絡發起的惡意破壞和攻擊,特別要保護實時閉環監控系統及調度數據網絡的安全,防止由此引起的自動控制系統故障。
劉娜 博士,清華大學信息技術研究院研究員
現為北京石油化工學院自動化專業教授。主要研究方向為流程工業自動化、離散工業自動化等領域,在信息化與自動化融合進入業務深層次方面有一定的研究。
安全問題是中國乃至全球的大事,而隨著近年來發生的“震網”、“蜻蜓”等侵害工業控制系統的病毒相繼出現,工業控制系統的信息安全問題逐漸走進公眾視野。由于其可以植入到不同工業行業的現場設備中,使這一問題變得更為復雜。對此,北京石油化工學院教授劉娜和我們分享了她對工業控制系統信息安全問題的諸多看法。
記者:您能就所熟悉的石化、電力等行業關于工業控制系統信息安全問題談一下自己的認識嗎?
劉娜:石化、電力等行業都屬于流程工業,在信息化與自動化融合的背景下,目前采用的是基于ERP、MES和PCS三層架構,系統之間互聯、互通,控制和管理網絡并存。MES系統作為企業的生產指揮平臺,首先從控制網絡實時提取過程控制數據,控制數據被保存在實時數據庫中,通過各MES系統中的物料平衡、公用工程、運行管理等系統功能的業務化處理,以Web方式為企業生產管理者提供數據分析及統計報表。在這種方式下,使得各種來自外網的入侵有可能通過共享信息服務器或Web服務器攻擊控制系統,使系統帶來的信息安全問題俱增;而工業控制系統的規模龐大和復雜,使得實施信息安全防護的難度增大。因此,工業控制系統信息安全防護的重點是抵御黑客、木馬、病毒等通過各種形式對企業網絡發起的惡意破壞和攻擊,特別要保護實時閉環監控系統及調度數據網絡的安全,防止由此引起的自動控制系統故障。
記者:相比IT信息安全,工業控制系統信息安全具有哪些不一樣的特點? 基于這樣的特點,使得保障工業控制系統信息安全的過程中存在哪些難度?
劉娜:工業控制系統是一個獨立的系統,使用專用的控制協議,安裝特定的軟件和硬件。隨著計算機技術、網絡技術、信息技術的不斷發展,加速了控制與管理一體化的進程。使現在的工業控制系統從以前的孤島狀態,逐漸增多了與外部世界的聯系,這也就增加了信息安全漏洞和信息事故的可能性。但與IT信息安全相比,工業控制系統信息安全具有不一樣的特點:
(1)可用性要求不同
工業控制系統對于網絡帶寬、信息處理量要求不高,但對系統響應時間的要求較高,不允許關鍵信息的延遲和處理延誤,生產過程要求一年365天不間斷工作。與此相反,IT系統可以忍受很大程度上的延遲和抖動,并且可以接受重新啟動。
(2)信息安全焦點不同
IT系統最關注的是數據保密性和完整性,主要的關注點在于保護存儲或傳輸的信息。工業控制系統最關注的是可靠性和穩定性,生產過程的一些客戶端(如PLC系統、DCS控制器、操作員站等)需要加以特別保護。
(3)系統維護管理不同
IT系統的軟件更新(包括信息安全的補丁)是及時自動進行。工業控制系統的軟件更新通常不能及時實現,甚至在其生命周期內不采取任何更改和升級措施,因為這些更新需要技術專家仔細評估,并進行完全徹底的測試。
正是基于上述特點,使得保障工業控制系統信息安全具有一定的難度:
(1)現有信息安全評估對非IT類設備缺乏漏洞庫和運行腳本;評估工具和方法對工業控制系統及其相連的信息系統進行在線評估可能會對工業控制系統的正常運行造成沖擊,甚至有可能造成安全生產事故。
(2)工業控制系統如何有針對性地進行防護,需要在大量行業實踐的基礎上才能提煉出來。
記者:您認為應對工業控制系統信息安全的挑戰,當前最緊迫的問題是什么?如何解決?
劉娜:(1)“雙料”人才的缺失工業控制系統主要用于國家關鍵基礎設施中,這些企業有著非常嚴格的管理系統、規范的日常維護操作要求。由于分部門管理,嚴重存在著負責信息安全的人員了解信息安全相關知識,但不了解工業控制系統;而負責操作和維護工業控制系統的人員對信息安全知識的了解又很有限的現象。如果按照現行管理方式,由信息安全部門負責工業控制系統的信息安全防護,很可能出現害怕承擔影響生產的責任而使得工業控制系統信息安全防護策略流于形式。因此,當前最緊迫的問題之一是需要既懂工業控制系統又懂信息安全的“雙料”人才。
(2)加強具有自主知識產權產品的研究與開發隨著信息化與自動化的融合,工業控制系統缺乏自主可控技術的問題凸顯,安全問題受制于人。依靠現有的信息安全技術和產品,采用傳統的信息安全解決方案已不再適用于工業控制系統。因此,加強具有自主知識產權產品的研究與開發,以解決軟硬件依賴進口問題外,當務之急在系統設計中要融入信息安全的理念,加強控制技術與信息安全技術融合的研究。
面對工業控制系統信息安全的挑戰,最有效的辦法是:構建高端產學研用合作平臺,以共同的愿望,落實協同創新。實行“政府推動、企業為主、科研院所支持、用戶參與,市場化運作、產學研用相結合”的產業技術創新團隊。合作平臺中的企業要參與到高校人才培養方案的制定和培養過程中,從而將企業和社會對大學生素質的實際需求提前反饋給學校。要以技術創新需求為基礎,主要解決整個產業信息安全關鍵技術和前沿技術,而不是個別企業的技術問題。增加“用”的原因是技術創新根本目的是應用,讓用戶參與技術創新的過程,有利于減少創新環節,降低創新成本,加快科技成果的應用。
摘自 工業控制系統信息安全專刊
北京市公安局海淀分局備案號:11010802023656號