今日頭條
官方微信
官方抖音
資訊頻道一、工業(yè)控制系統(tǒng)信息安全面臨嚴(yán)峻形勢,關(guān)鍵信息基礎(chǔ)設(shè)施成為網(wǎng)絡(luò)攻擊的重點目標(biāo)
工業(yè)控制系統(tǒng)廣泛應(yīng)用于國民經(jīng)濟(jì)的各個重要領(lǐng)域,是工業(yè)生產(chǎn)和重要基礎(chǔ)設(shè)施運行的核心大腦。隨著互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等信息技術(shù)對工業(yè)生產(chǎn)活動的不斷滲透,工業(yè)控制系統(tǒng)也面臨著越來越嚴(yán)峻的信息安全風(fēng)險。 根據(jù)美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組(ICS-CERT)的統(tǒng)計,近2年ICS-CERT共響應(yīng)了540起工業(yè)控制系統(tǒng)信息安全事件,能源、裝備制備、市政 等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域成為遭受黑客攻擊的重災(zāi)區(qū)。
二、大量工業(yè)控制產(chǎn)品和系統(tǒng)漏洞被披露,使得針對工業(yè)控制系統(tǒng)的攻擊越來越容易
隨著網(wǎng)絡(luò)化時代信息獲取的成本越來越小,黑客對工控系統(tǒng)的攻擊難度也越來越低,進(jìn)一步加劇了工控系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險。當(dāng)前,大量工控系統(tǒng)軟硬件設(shè)備的安全漏洞及利用方式可通過公開或半公開的渠道獲得,越來越多接入互聯(lián)網(wǎng)的工控系統(tǒng)可通過“Shodan”之類的工業(yè)控制系統(tǒng)搜索引擎發(fā)現(xiàn)痕跡。
2015年12月17日,俄羅斯著名工控安全研究團(tuán)隊SCADA STRANGELOVE(簡稱SCADA.SL) 在第32屆混沌通信大會上發(fā)布了名為“SCADAPass” 的工控軟硬件設(shè)備組件的默認(rèn)密碼清單。該清單涉及了37家工控廠商的107個工控設(shè)備型號。2016年2月14日,該團(tuán)隊在互聯(lián)網(wǎng)公開發(fā)布了 “SCADAPass”清單的更新版本,涉及的工 控廠商和設(shè)備型號分別增加到48家和134個。該清單詳細(xì)描述了各工控設(shè)備的設(shè)備類型、默認(rèn)用戶名及密碼(甚至包括硬編碼密碼)、網(wǎng)絡(luò)端口、通信協(xié)議與服務(wù)、公開信息來源等敏感信息。由于工控系統(tǒng)維護(hù)的復(fù)雜性,大量關(guān)鍵信息基礎(chǔ)設(shè)施運營單位在安 裝工控系統(tǒng)時使用產(chǎn)品自帶的默認(rèn)密碼,甚至關(guān)閉密碼功能。黑客可能利用該清單獲取的默認(rèn)密碼拿到工控設(shè)備的操作權(quán)限,實施修改系統(tǒng)設(shè)置、執(zhí)行 root 命令、替換系統(tǒng)固件、非法控制等攻擊。目前公開渠道報道的大量事件案例僅僅是無數(shù)工業(yè)控制系統(tǒng)信息安全風(fēng)險中的“冰山一角”。當(dāng)前,全球網(wǎng)絡(luò)安全空間呈現(xiàn)出越來越明顯的政治化、軍事化勢,網(wǎng)絡(luò)安全與其它傳統(tǒng)安全越來越緊密的相互交織和滲透,需要警惕關(guān)鍵信息基礎(chǔ)設(shè)施控制系統(tǒng)成為黑客重點關(guān)注的網(wǎng)絡(luò)安全目標(biāo)。
三、我國工控系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險尤為嚴(yán)重
(一)工控系統(tǒng)核心軟硬件產(chǎn)品自主可控水平低下
由于缺乏具有自主知識產(chǎn)權(quán)的核心技術(shù),我國各個行業(yè)、各個領(lǐng)域的重要工業(yè)控制系統(tǒng)大量采購國外技術(shù)和設(shè)備,自主可控程度較低。根據(jù) 2013年的全國重點領(lǐng)域網(wǎng)絡(luò)安全檢查工作統(tǒng)計,我國重要信息系統(tǒng)和工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備和基礎(chǔ)軟硬件采用國外產(chǎn)品的比例仍很高,安全基礎(chǔ)不牢。根據(jù)我們的統(tǒng)計情況來看,重要的工業(yè)控制系統(tǒng)中操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器以及數(shù)據(jù)存儲設(shè)備都是國外產(chǎn)品占絕對主導(dǎo)地位。從類別來看,數(shù)據(jù)采集與監(jiān)控(SCADA)系統(tǒng)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)也均以國外產(chǎn)品為主。另外根據(jù)我們調(diào)研情況來看,數(shù)千個工業(yè)控制系統(tǒng)由國外廠商提供運行維護(hù),我們不具備自主維護(hù)能力,系統(tǒng)運行的可控能力較低,同時缺乏對這些產(chǎn)品和服務(wù)的監(jiān)管,缺少必要的技術(shù)檢測措施和安全可控方案,安全風(fēng)險難以掌控。
(二)大量工業(yè)控制系統(tǒng)直接接入互聯(lián)網(wǎng)提 高了安全風(fēng)險
隨著“兩化深度融合”和“互聯(lián)網(wǎng) +”的發(fā)展,越來越多的工業(yè)控制系統(tǒng)直接或間接與互聯(lián)網(wǎng)連接。由于工業(yè)控制協(xié)議基本上沒有加密、認(rèn)證等安全措施,暴露在互聯(lián)網(wǎng)的工控系統(tǒng)存在巨大的網(wǎng)絡(luò)安全風(fēng)險。根據(jù)工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所建設(shè)的工業(yè)控制系統(tǒng)在線安全監(jiān)測平臺統(tǒng)計,我國存在大量直接接入互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng)軟硬件設(shè)備,相關(guān)工業(yè)信息系統(tǒng)更是不計其 數(shù),這些系統(tǒng)廣泛集中在水、電、氣、熱、石化等與國民經(jīng)濟(jì)和人民群眾生產(chǎn)生活息息相關(guān)的重點行業(yè)。
(三)工控系統(tǒng)安全防護(hù)措施不足,系統(tǒng)處于不設(shè)防狀態(tài)
雖然有部分工控運營單位開始關(guān)注工控 安全問題,但只有少數(shù)運營單位根據(jù)工控系統(tǒng)的實際情況開展了安全防護(hù)建設(shè)。根據(jù)我們調(diào)研來看,在安全防護(hù)措施部署方 面,絕大多數(shù)工控系統(tǒng)的網(wǎng)絡(luò)邊界沒有部署網(wǎng)絡(luò)防護(hù)設(shè)備,沒有安裝防病毒軟件或未采取加密措施傳輸、存儲數(shù)據(jù)的設(shè)備也都占很高比例,大量的工控系統(tǒng)沒有任何安全防護(hù)措施。
另外,很多工控系統(tǒng)網(wǎng)絡(luò)安全管理不嚴(yán)格,員工缺乏網(wǎng)絡(luò)安全意識。有些單位的移動存儲介質(zhì)使用管理不完善,黑客利用相關(guān)漏洞可向內(nèi)網(wǎng)植入惡意代碼、傳播惡意程序,易形成跨網(wǎng)攻擊通道。USB口的非法使用也會導(dǎo)致生產(chǎn)計算機(jī)感染惡意程序、被植入木馬等不良后果,輕者可能導(dǎo)致產(chǎn)品良品率下降,重則可能導(dǎo)致生產(chǎn)工藝泄露以及設(shè)備損壞等重大安全事故。
四、加強我國工控系統(tǒng)信息安全保障的對策建議
(一)建立健全工控系統(tǒng)信息安全法規(guī)體系
為加強工業(yè)控制系統(tǒng)的安全保障應(yīng)盡快研 究組織編制工業(yè)控制系統(tǒng)信息安全防護(hù)指南,指導(dǎo)工業(yè)控制系統(tǒng)運營單位從建設(shè)、運行和維護(hù)等全生命周期做好信息安全防護(hù)。通過健全的法規(guī)體系,做到我國工控系統(tǒng)信息安全的“監(jiān)督有力,防護(hù)有據(jù)”。
(二)常態(tài)化開展工控系統(tǒng)與產(chǎn)品的安全檢查
定期對工業(yè)控制系統(tǒng)進(jìn)行信息安全檢查,并實施工控系統(tǒng)產(chǎn)品的安全檢測,逐步提高應(yīng)用在我國工控系統(tǒng)中的工控產(chǎn)品安全性,保證我國重點領(lǐng)域工控系統(tǒng)與產(chǎn)品的安全可靠。
(三)加強工控系統(tǒng)態(tài)勢感知與監(jiān)測預(yù)警
不斷提高我國工業(yè)控制系統(tǒng)的在線安全監(jiān)測能力,主動監(jiān)測發(fā)現(xiàn)存在高危網(wǎng)絡(luò)安全風(fēng)險的工業(yè)控制系統(tǒng),準(zhǔn)確掌握國內(nèi)外工業(yè)信息安全態(tài)勢。對可能影響我國工業(yè)信息安全的重大安全漏洞和突發(fā)事件進(jìn)行監(jiān)測核查和分析,向相關(guān)運營單位提供工控風(fēng)險信息通報和預(yù)警。
轉(zhuǎn)自《中國信息安全》2016年第4期
作者:工業(yè)和信息化部電子科學(xué)技術(shù)情報研究所總工/工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟副理事長 尹麗波
北京市公安局海淀分局備案號:11010802023656號