今日頭條
官方微信
官方抖音
資訊頻道 
華東理工大學(xué)教授、博士生導(dǎo)師 林家駿
工業(yè)控制系統(tǒng)信息安全事件現(xiàn)狀與趨勢
據(jù)權(quán)威工業(yè)安全事件信息庫(Repository of Industrial SecurityIncidents, RISI)統(tǒng)計,截至2011年10月,全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件。 對這些數(shù)據(jù)進(jìn)行分析我們得出以下趨勢:全行業(yè)覆蓋的趨勢、日益增多的趨勢及國家經(jīng)濟(jì)越發(fā)達(dá)安全事件越多的趨勢。
我國工控系統(tǒng)也面臨著嚴(yán)重的安全風(fēng)險,主要體現(xiàn)在:
(1)生產(chǎn)工藝設(shè)計人員和控制系統(tǒng)設(shè)計人員缺乏信息安全意識;
(2)系統(tǒng)體系架構(gòu)缺乏基本的安全保障:• 網(wǎng)絡(luò)本身“一馬平川”• 缺乏最基本的數(shù)據(jù)流向控制與管理• 無線信道保護(hù)不足• 現(xiàn)場總線協(xié)議普遍缺乏基本的安全機制• 遠(yuǎn)程現(xiàn)場設(shè)備物理安全
(3)系統(tǒng)外聯(lián)缺乏風(fēng)險評估和必要的信息安全保障措施;
(4)關(guān)鍵與核心設(shè)備信息安全保障不足;
工業(yè)控制系統(tǒng)漏洞攻擊現(xiàn)狀與趨勢
“震網(wǎng)”病毒事件為全球關(guān)鍵基礎(chǔ)設(shè)施核心要害系統(tǒng)安全問題敲響了警鐘,分析工控系統(tǒng)所遭受的漏洞和攻擊,可以看出工業(yè)控制系統(tǒng)漏洞攻擊正向著簡單控制器受攻擊增大、利用網(wǎng)絡(luò)協(xié)議進(jìn)行攻擊、專業(yè)攻擊人員進(jìn)行攻擊、利用病毒進(jìn)行攻擊、工控信息系統(tǒng)漏洞挖掘與發(fā)布同時增長的趨勢發(fā)展。同時,入侵途徑可以通過辦公網(wǎng)絡(luò)、互聯(lián)網(wǎng)或者是虛擬的專網(wǎng)、撥號連接、“可信”的第三方連接、無線網(wǎng)絡(luò)、公共通信設(shè)施等。如果現(xiàn)場設(shè)備不介入任何網(wǎng)絡(luò),是一個“孤島”的狀態(tài),仍有可能受到通過可移動存儲和接入設(shè)備所傳播的惡意軟件的攻擊。
我國工控系統(tǒng)中大量存在漏洞和隱患,包括:系統(tǒng)體系結(jié)構(gòu)存在共性安全隱患、工控系統(tǒng)自身存在安全漏洞、工控系統(tǒng)運行所處的系統(tǒng)和環(huán)境存在安全漏洞和隱患。隨著信息化建設(shè)深入,工控系統(tǒng)開始同生產(chǎn)管理、ERP系統(tǒng)、電子商務(wù)系統(tǒng)等相連并逐漸納入到統(tǒng)一的信息系統(tǒng)中,但在此過程中相關(guān)分區(qū)隔離等信息安全問題并未得到充分認(rèn)識和重視。隨著工業(yè)控制系統(tǒng)技術(shù)的發(fā)展,多工控系統(tǒng)集成、通過互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng)/外聯(lián)網(wǎng)進(jìn)行Web訪問等方式開始逐漸流行,工控系統(tǒng)直接暴露的風(fēng)險也不斷增加。工控系統(tǒng)中采用的工業(yè)協(xié)議中存在缺乏加密和認(rèn)證等信息安全考慮。
根據(jù)國家漏洞庫(CNNVD)顯示,我國各工業(yè)領(lǐng)域中所使用的眾多國內(nèi)外相關(guān)工控系統(tǒng)存在漏洞。
工業(yè)控制系統(tǒng)信息安全對策的現(xiàn)狀與趨勢
當(dāng)前,美國、歐盟都從國家戰(zhàn)略的層面在開展各方面的工作,積極研究工業(yè)控制系統(tǒng)信息安全的應(yīng)對策略,我國也在政策層面和研究層面在積極開展工作,但我國工業(yè)控制系統(tǒng)信息安全工作起步晚,總體上技術(shù)研究尚屬起步階段,管理制度不健全,相關(guān)標(biāo)準(zhǔn)規(guī)范不完善,技術(shù)防護(hù)措施不到位,安全防護(hù)能力和應(yīng)急處理能力不高,這些問題都威脅著工業(yè)生產(chǎn)安全和社會正常運作。我國工控信息安全的當(dāng)務(wù)之急包括:
(1)有關(guān)政府部門發(fā)布相關(guān)法令法規(guī)深入研究我國工業(yè)控制系統(tǒng)的行業(yè)特點和需求,有針對性地制定相關(guān)行業(yè)信息安全保障應(yīng)用行規(guī)。
(2)研究我國工業(yè)信息安全標(biāo)準(zhǔn)體系建立標(biāo)準(zhǔn)之后,就可以開展工業(yè)控制系統(tǒng)信息安全評估的制定工作,健全工業(yè)信息安全評估認(rèn)證機制,建立有效的工業(yè)控制系統(tǒng)信息安全應(yīng)急系統(tǒng),形成我國自主的工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)和管理體系。
(3)對工業(yè)控制系統(tǒng)進(jìn)行專業(yè)化的漏洞檢測前提是不可影響控制系統(tǒng)的穩(wěn)定、可靠與安全運行,否則容易引起不必要的災(zāi)害事故。
(4)加快研發(fā)工業(yè)控制系統(tǒng)安防的技術(shù)和產(chǎn)品
(5)工業(yè)控制系統(tǒng)信息安全人才的培養(yǎng)
北京市公安局海淀分局備案號:11010802023656號