今日頭條
官方微信
官方抖音
資訊頻道
劉娜
博士,北京石油化工學(xué)院自動(dòng)化專業(yè)教授。
現(xiàn)為北京石油化工學(xué)院自動(dòng)化專業(yè)教授。主要研究方向?yàn)榱鞒坦I(yè)自動(dòng)化、離散工業(yè)自動(dòng)化等領(lǐng)域,在信息化與自動(dòng)化融合進(jìn)入業(yè)務(wù)深層次方面有一定的研究。
安全問(wèn)題是中國(guó)乃至全球的大事,而隨著近年來(lái)發(fā)生的“震網(wǎng)”、“蜻蜓”等侵害工業(yè)控制系統(tǒng)的病毒相繼出現(xiàn),工業(yè)控制系統(tǒng)的信息安全問(wèn)題逐漸走進(jìn)公眾視野。由于其可以植入到不同工業(yè)行業(yè)的現(xiàn)場(chǎng)設(shè)備中,使這一問(wèn)題變得更為復(fù)雜。對(duì)此,北京石油化工學(xué)院教授劉娜和我們分享了她對(duì)工業(yè)控制系統(tǒng)信息安全問(wèn)題的諸多看法。
記者:您能就所熟悉的石化、電力等行業(yè)關(guān)于工業(yè)控制系統(tǒng)信息安全問(wèn)題談一下自己的認(rèn)識(shí)嗎?
劉娜:石化、電力等行業(yè)都屬于流程工業(yè),在信息化與自動(dòng)化融合的背景下,目前采用的是基于ERP、MES和PCS三層架構(gòu),系統(tǒng)之間互聯(lián)、互通,控制和管理網(wǎng)絡(luò)并存。MES系統(tǒng)作為企業(yè)的生產(chǎn)指揮平臺(tái),首先從控制網(wǎng)絡(luò)實(shí)時(shí)提取過(guò)程控制數(shù)據(jù),控制數(shù)據(jù)被保存在實(shí)時(shí)數(shù)據(jù)庫(kù)中,通過(guò)各MES系統(tǒng)中的物料平衡、公用工程、運(yùn)行管理等系統(tǒng)功能的業(yè)務(wù)化處理,以Web方式為企業(yè)生產(chǎn)管理者提供數(shù)據(jù)分析及統(tǒng)計(jì)報(bào)表。在這種方式下,使得各種來(lái)自外網(wǎng)的入侵有可能通過(guò)共享信息服務(wù)器或Web服務(wù)器攻擊控制系統(tǒng),使系統(tǒng)帶來(lái)的信息安全問(wèn)題俱增;而工業(yè)控制系統(tǒng)的規(guī)模龐大和復(fù)雜,使得實(shí)施信息安全防護(hù)的難度增大。因此,工業(yè)控制系統(tǒng)信息安全防護(hù)的重點(diǎn)是抵御黑客、木馬、病毒等通過(guò)各種形式對(duì)企業(yè)網(wǎng)絡(luò)發(fā)起的惡意破壞和攻擊,特別要保護(hù)實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全,防止由此引起的自動(dòng)控制系統(tǒng)故障。
記者:相比IT信息安全,工業(yè)控制系統(tǒng)信息安全具有哪些不一樣的特點(diǎn)? 基于這樣的特點(diǎn),使得保障工業(yè)控制系統(tǒng)信息安全的過(guò)程中存在哪些難度?
劉娜:工業(yè)控制系統(tǒng)是一個(gè)獨(dú)立的系統(tǒng),使用專用的控制協(xié)議,安裝特定的軟件和硬件。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、信息技術(shù)的不斷發(fā)展,加速了控制與管理一體化的進(jìn)程。使現(xiàn)在的工業(yè)控制系統(tǒng)從以前的孤島狀態(tài),逐漸增多了與外部世界的聯(lián)系,這也就增加了信息安全漏洞和信息事故的可能性。但與IT信息安全相比,工業(yè)控制系統(tǒng)信息安全具有不一樣的特點(diǎn):
(1)可用性要求不同
工業(yè)控制系統(tǒng)對(duì)于網(wǎng)絡(luò)帶寬、信息處理量要求不高,但對(duì)系統(tǒng)響應(yīng)時(shí)間的要求較高,不允許關(guān)鍵信息的延遲和處理延誤,生產(chǎn)過(guò)程要求一年365天不間斷工作。與此相反,IT系統(tǒng)可以忍受很大程度上的延遲和抖動(dòng),并且可以接受重新啟動(dòng)。
(2)信息安全焦點(diǎn)不同
IT系統(tǒng)最關(guān)注的是數(shù)據(jù)保密性和完整性,主要的關(guān)注點(diǎn)在于保護(hù)存儲(chǔ)或傳輸?shù)男畔ⅰ9I(yè)控制系統(tǒng)最關(guān)注的是可靠性和穩(wěn)定性,生產(chǎn)過(guò)程的一些客戶端(如PLC系統(tǒng)、DCS控制器、操作員站等)需要加以特別保護(hù)。
(3)系統(tǒng)維護(hù)管理不同
IT系統(tǒng)的軟件更新(包括信息安全的補(bǔ)丁)是及時(shí)自動(dòng)進(jìn)行。工業(yè)控制系統(tǒng)的軟件更新通常不能及時(shí)實(shí)現(xiàn),甚至在其生命周期內(nèi)不采取任何更改和升級(jí)措施,因?yàn)檫@些更新需要技術(shù)專家仔細(xì)評(píng)估,并進(jìn)行完全徹底的測(cè)試。
正是基于上述特點(diǎn),使得保障工業(yè)控制系統(tǒng)信息安全具有一定的難度:
(1)現(xiàn)有信息安全評(píng)估對(duì)非IT類設(shè)備缺乏漏洞庫(kù)和運(yùn)行腳本;評(píng)估工具和方法對(duì)工業(yè)控制系統(tǒng)及其相連的信息系統(tǒng)進(jìn)行在線評(píng)估可能會(huì)對(duì)工業(yè)控制系統(tǒng)的正常運(yùn)行造成沖擊,甚至有可能造成安全生產(chǎn)事故。
(2)工業(yè)控制系統(tǒng)如何有針對(duì)性地進(jìn)行防護(hù),需要在大量行業(yè)實(shí)踐的基礎(chǔ)上才能提煉出來(lái)。
記者:您認(rèn)為應(yīng)對(duì)工業(yè)控制系統(tǒng)信息安全的挑戰(zhàn),當(dāng)前最緊迫的問(wèn)題是什么?如何解決?
劉娜:(1)“雙料”人才的缺失
工業(yè)控制系統(tǒng)主要用于國(guó)家關(guān)鍵基礎(chǔ)設(shè)施中,這些企業(yè)有著非常嚴(yán)格的管理系統(tǒng)、規(guī)范的日常維護(hù)操作要求。由于分部門管理,嚴(yán)重存在著負(fù)責(zé)信息安全的人員了解信息安全相關(guān)知識(shí),但不了解工業(yè)控制系統(tǒng);而負(fù)責(zé)操作和維護(hù)工業(yè)控制系統(tǒng)的人員對(duì)信息安全知識(shí)的了解又很有限的現(xiàn)象。如果按照現(xiàn)行管理方式,由信息安全部門負(fù)責(zé)工業(yè)控制系統(tǒng)的信息安全防護(hù),很可能出現(xiàn)害怕承擔(dān)影響生產(chǎn)的責(zé)任而使得工業(yè)控制系統(tǒng)信息安全防護(hù)策略流于形式。因此,當(dāng)前最緊迫的問(wèn)題之一是需要既懂工業(yè)控制系統(tǒng)又懂信息安全的“雙料”人才。
(2)加強(qiáng)具有自主知識(shí)產(chǎn)權(quán)產(chǎn)品的研究與開(kāi)發(fā)
隨著信息化與自動(dòng)化的融合,工業(yè)控制系統(tǒng)缺乏自主可控技術(shù)的問(wèn)題凸顯,安全問(wèn)題受制于人。依靠現(xiàn)有的信息安全技術(shù)和產(chǎn)品,采用傳統(tǒng)的信息安全解決方案已不再適用于工業(yè)控制系統(tǒng)。因此,加強(qiáng)具有自主知識(shí)產(chǎn)權(quán)產(chǎn)品的研究與開(kāi)發(fā),以解決軟硬件依賴進(jìn)口問(wèn)題外,當(dāng)務(wù)之急在系統(tǒng)設(shè)計(jì)中要融入信息安全的理念,加強(qiáng)控制技術(shù)與信息安全技術(shù)融合的研究。
面對(duì)工業(yè)控制系統(tǒng)信息安全的挑戰(zhàn),最有效的辦法是:構(gòu)建高端產(chǎn)學(xué)研用合作平臺(tái),以共同的愿望,落實(shí)協(xié)同創(chuàng)新。實(shí)行“政府推動(dòng)、企業(yè)為主、科研院所支持、用戶參與,市場(chǎng)化運(yùn)作、產(chǎn)學(xué)研用相結(jié)合”的產(chǎn)業(yè)技術(shù)創(chuàng)新團(tuán)隊(duì)。合作平臺(tái)中的企業(yè)要參與到高校人才培養(yǎng)方案的制定和培養(yǎng)過(guò)程中,從而將企業(yè)和社會(huì)對(duì)大學(xué)生素質(zhì)的實(shí)際需求提前反饋給學(xué)校。要以技術(shù)創(chuàng)新需求為基礎(chǔ),主要解決整個(gè)產(chǎn)業(yè)信息安全關(guān)鍵技術(shù)和前沿技術(shù),而不是個(gè)別企業(yè)的技術(shù)問(wèn)題。增加“用”的原因是技術(shù)創(chuàng)新根本目的是應(yīng)用,讓用戶參與技術(shù)創(chuàng)新的過(guò)程,有利于減少創(chuàng)新環(huán)節(jié),降低創(chuàng)新成本,加快科技成果的應(yīng)用。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)