今日頭條
官方微信
官方抖音
訪談?lì)l道
工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所總工
工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟副理事長(zhǎng)
尹麗波
2011年10月,我國(guó)工信部發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,要求各地區(qū)、各有關(guān)部門(mén)、有關(guān)國(guó)有大型企業(yè)充分認(rèn)識(shí)工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性,切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理,以保障工業(yè)生產(chǎn)運(yùn)行安全、國(guó)家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全,這標(biāo)志著我國(guó)已開(kāi)始著手加強(qiáng)工業(yè)控制系統(tǒng)信息安全的相關(guān)工作。作為工信部的直屬單位,工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所(工業(yè)和信息化部電子第一研究所,以下簡(jiǎn)稱(chēng)一所)一直支撐工信部乃至國(guó)家在工業(yè)控制系統(tǒng)信息安全方面的研究工作。因此,記者特別采訪了工信部一所總工程師尹麗波,請(qǐng)她談?wù)剬?duì)于我國(guó)工業(yè)控制系統(tǒng)信息安全現(xiàn)狀的看法。
我國(guó)多數(shù)工控系統(tǒng)存在漏洞
北京大學(xué)兩化融合發(fā)展研究院副院長(zhǎng)胡昌振教授曾用“神經(jīng)中樞”來(lái)比喻工業(yè)控制系統(tǒng)在工業(yè)信息化中的重要性。隨著我國(guó)工業(yè)與信息化融合的推進(jìn),工業(yè)控制系統(tǒng)規(guī)模已經(jīng)擴(kuò)展到國(guó)家關(guān)鍵基礎(chǔ)設(shè)施行業(yè)(如交通、水電、油氣、國(guó)防等),成為其重要組成部分。工業(yè)控制系統(tǒng)一旦遭到信息攻擊或破壞,其影響不僅是控制系統(tǒng)性能下降、控制能力喪失,而且將造成人員傷亡、環(huán)境災(zāi)難,甚至?xí)<肮娚詈蛧?guó)家安全,導(dǎo)致國(guó)家的戰(zhàn)略被動(dòng)、受制于人。因此,工業(yè)控制系統(tǒng)信息安全關(guān)乎經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定、國(guó)家安全、公眾利益,已經(jīng)成為了工業(yè)與信息化融合中理應(yīng)特別關(guān)注的問(wèn)題。
尹麗波對(duì)此頗為認(rèn)同:“以前大家對(duì)工業(yè)控制系統(tǒng)信息安全并不是很重視,因?yàn)檫^(guò)去工控系統(tǒng)并不需要連接到互聯(lián)網(wǎng)上,那么攻擊的原因基本是由于內(nèi)部管理不夠,所以只要做好物理層面的防范就已足夠。但隨著工業(yè)控制系統(tǒng)的逐漸開(kāi)放,它已不再是‘信息孤島’,通過(guò)互聯(lián)網(wǎng)對(duì)其發(fā)起信息攻擊不僅可能,而且門(mén)檻越來(lái)越低。”據(jù)她透露,經(jīng)過(guò)他們的調(diào)研和測(cè)試,目前在中國(guó)與互聯(lián)網(wǎng)相連的很多工控系統(tǒng)都存在漏洞。她甚至用了“可怕”兩個(gè)字來(lái)形容她得到這些數(shù)據(jù)后的心情,“這些充滿(mǎn)漏洞的工控系統(tǒng)一旦被攻擊,則可以直接轉(zhuǎn)化為現(xiàn)實(shí)的物理行為,很快形成對(duì)整個(gè)工業(yè)系統(tǒng)乃至社會(huì)的巨大破壞力。”
“我國(guó)的工業(yè)控制系統(tǒng)信息安全還處在起步階段”
正是基于這樣的形勢(shì),中國(guó)政府意識(shí)到事態(tài)的嚴(yán)重性,從2011年起著手開(kāi)展提升我國(guó)工業(yè)控制系統(tǒng)信息安全水平的工作。學(xué)習(xí)、借鑒國(guó)外防范工業(yè)控制系統(tǒng)信息安全問(wèn)題發(fā)生的經(jīng)驗(yàn)成為了我國(guó)邁開(kāi)提升工業(yè)控制系統(tǒng)信息安全水平“萬(wàn)里長(zhǎng)征”的第一步。
工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)
研究所的一項(xiàng)重要工作就是跟蹤和了解國(guó)外工業(yè)控制系統(tǒng)信息安全管理和研究等相關(guān)工作進(jìn)展,因此,對(duì)于國(guó)外開(kāi)展工業(yè)控制系統(tǒng)信息安全相關(guān)工作的情況,尹麗波了解得非常清楚。她坦言:“相比國(guó)外而言,我國(guó)的工業(yè)控制系統(tǒng)信息安全工作尚處在起步階段,差距還很遠(yuǎn)。”
首先在法律法規(guī)層面, 以美國(guó)為例,早在1998年5月就簽署的第63號(hào)總統(tǒng)令(PDD-63)規(guī)定,在白宮的直接領(lǐng)導(dǎo)下,設(shè)立了一個(gè)機(jī)制,協(xié)調(diào)牽頭部門(mén)和相關(guān)機(jī)構(gòu)的行動(dòng),聯(lián)邦機(jī)構(gòu)還要與私營(yíng)部門(mén)合作,以防范和抵御針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的物理攻擊和網(wǎng)絡(luò)攻擊,特別是針對(duì)美國(guó)的網(wǎng)絡(luò)系統(tǒng)的攻擊。這項(xiàng)政策在2003年的《網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略》中又進(jìn)行了修訂。之后2003年的第7號(hào)國(guó)家安全總統(tǒng)令(HSPD-7)、2007年的《國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃》(CNCI)都對(duì)工業(yè)控制系統(tǒng)信息安全的具體職責(zé)和防御方法進(jìn)行了進(jìn)一步的細(xì)化。
第二,我國(guó)相關(guān)的工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)還不健全。尹麗波表示,目前美國(guó)已形成了相對(duì)完整的工業(yè)控制系統(tǒng)信息安全管理體制和技術(shù)體系,相繼提出了《工業(yè)控制系統(tǒng)安全指南》、《聯(lián)邦信息系統(tǒng)和組織的安全控制推薦》、《系統(tǒng)保護(hù)輪廓——工業(yè)控制系統(tǒng)》、《智能電網(wǎng)安全指南》、《中等健壯環(huán)境下的SCADA系統(tǒng)現(xiàn)場(chǎng)設(shè)備保護(hù)概況》、《提高SCADA系統(tǒng)網(wǎng)絡(luò)安全21步》、《中小規(guī)模能源設(shè)施風(fēng)險(xiǎn)管理核查事項(xiàng)》、《控制系統(tǒng)安全一覽表:標(biāo)準(zhǔn)推薦》、《加強(qiáng)SCADA系統(tǒng)及工業(yè)控制系統(tǒng)的安全》等一系列國(guó)家指南;推出了《北美大電力系統(tǒng)可靠性規(guī)范》、《核設(shè)施網(wǎng)絡(luò)安全措施》、《美國(guó)化工設(shè)施反恐標(biāo)準(zhǔn)》、《SCADA通信的加密保護(hù)》、《管道SCADA安全》和《石油工業(yè)安全指南》等行業(yè)標(biāo)準(zhǔn)規(guī)范。
第三,尹麗波認(rèn)為,國(guó)外對(duì)研究機(jī)構(gòu)的投入也要更多和更早于我國(guó)。比如我國(guó)實(shí)驗(yàn)室中雖然也有模擬系統(tǒng)可以進(jìn)行測(cè)試,但是一般都是將最基本的DCS、SCADA等主要使用的設(shè)備和典型的環(huán)節(jié)以及流程放在實(shí)驗(yàn)室里進(jìn)行控制并測(cè)試。但是美國(guó)測(cè)試的對(duì)象卻是真正的測(cè)試床。例如美國(guó)的愛(ài)達(dá)荷實(shí)驗(yàn)室,主要研究化工、電力、供水等方面的建模仿真測(cè)試,洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室,主要研究交通等領(lǐng)域系統(tǒng)的安全,另外還有桑迪亞國(guó)家實(shí)驗(yàn)室、太平洋西北國(guó)家實(shí)驗(yàn)室、阿貢國(guó)家實(shí)驗(yàn)室等,在工業(yè)控制領(lǐng)域研究十分深入,其仿真測(cè)試都是基于與真實(shí)系統(tǒng)完全一致的仿真測(cè)試床中。
她總結(jié)道:“雖然在很多方面,我們與國(guó)外還存在差距,但是我國(guó)的工業(yè)控制系統(tǒng)信息安全的相關(guān)工作已經(jīng)在有條不紊地進(jìn)行。”以一所為例,除了前文提到的持續(xù)跟蹤國(guó)外工作進(jìn)展,翻譯、轉(zhuǎn)化一些重要法規(guī)、標(biāo)準(zhǔn)等之外,他們還開(kāi)發(fā)了兩套大型的模擬系統(tǒng),可以對(duì)控制系統(tǒng)進(jìn)行信息安全的測(cè)試。一套是基于SCADA的石油管道運(yùn)輸油氣系統(tǒng),它可以實(shí)現(xiàn)從油氣采集、分離,到最后輸送給用戶(hù)的整套模擬,這套系統(tǒng)上的控制產(chǎn)品都采用了當(dāng)今主流廠商的設(shè)備。如果在這個(gè)系統(tǒng)上對(duì)一些產(chǎn)品和設(shè)備進(jìn)行模擬攻擊,這些攻擊以及攻擊后果都可以直觀地演示出來(lái)。
另外一套是市政污水處理的模擬系統(tǒng),同樣,在這個(gè)系統(tǒng)上也可以模擬對(duì)主流國(guó)內(nèi)外廠商的DCS和PLC的攻擊。尹麗波說(shuō)道:“這兩個(gè)模擬平臺(tái),不僅可以對(duì)DCS、PLC、RTU等產(chǎn)品設(shè)備進(jìn)行安全方面的研究,還可以對(duì)已經(jīng)發(fā)布出來(lái)的漏洞進(jìn)行驗(yàn)證。”
漏洞的發(fā)現(xiàn)與通報(bào)迫在眉睫
當(dāng)記者問(wèn)起她什么才是我國(guó)目前最亟待解決的問(wèn)題時(shí),她毫不猶豫地回答:“就是要知道到底有哪些重要的控制系統(tǒng)暴露在互聯(lián)網(wǎng)上, 對(duì)于這些系統(tǒng)該采取什么樣的保護(hù)措施,而又有多少系統(tǒng)在沒(méi)有保護(hù)的情況下正在運(yùn)行著,這些系統(tǒng)有多少能夠被黑客遠(yuǎn)程控制。”為此,一所研發(fā)了一套互聯(lián)網(wǎng)監(jiān)測(cè)系統(tǒng),目前已經(jīng)掃描到了很多沒(méi)有保護(hù)措施卻依然暴露在互聯(lián)網(wǎng)上的控制系統(tǒng), 其中有很多都應(yīng)用在了關(guān)鍵的行業(yè),如電力、石化等。
有了發(fā)現(xiàn)漏洞的技術(shù),那么制定一套科學(xué)的漏洞發(fā)布機(jī)制就變得尤為重要。經(jīng)過(guò)對(duì)美、日等國(guó)家安全風(fēng)險(xiǎn)共享發(fā)布機(jī)制的研究與分析,尹麗波認(rèn)為,我國(guó)應(yīng)借鑒美日做法并結(jié)合國(guó)情,建立和完善工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)發(fā)布機(jī)制,鼓勵(lì)和引導(dǎo)廠商、安全研究人員和重點(diǎn)行業(yè)運(yùn)營(yíng)單位積極上報(bào)工控產(chǎn)品漏洞,并依托高校、科研院所、企業(yè)和相關(guān)支撐單位建設(shè)工業(yè)控制系統(tǒng)信息安全測(cè)試床及實(shí)驗(yàn)室,集中優(yōu)勢(shì)力量打造骨干技術(shù)研究基地,重點(diǎn)提升漏洞挖掘、驗(yàn)證分析和安全解決方案制定等技術(shù)分析能力,建立國(guó)家級(jí)工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)發(fā)布平臺(tái),實(shí)施風(fēng)險(xiǎn)漏洞通報(bào)制度。
雖然,目前我國(guó)工業(yè)控制系統(tǒng)信息安全問(wèn)題很?chē)?yán)峻,相關(guān)工作還處在摸索階段,但是我們可以欣喜地看到,2014年2月,以習(xí)近平總書(shū)記為組長(zhǎng)的中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組正式成立,把我國(guó)網(wǎng)絡(luò)安全與信息化整體推進(jìn)到一個(gè)新的發(fā)展階段,也為工業(yè)控制系統(tǒng)信息安全營(yíng)造了一個(gè)快速發(fā)展的大環(huán)境。然而,工業(yè)控制系統(tǒng)信息安全卻是一項(xiàng)需要持續(xù)推進(jìn)的工作,不能僅憑一時(shí)的熱度,需要足夠的決心和有序的部署逐漸開(kāi)展。“路漫漫其修遠(yuǎn)兮 吾將上下而求索”,當(dāng)記者問(wèn)到尹麗波在新的一年里有何計(jì)劃時(shí),她表示,她本人以及一所會(huì)繼續(xù)一如既往地開(kāi)展工業(yè)控制系統(tǒng)信息安全研究等相關(guān)的工作。
沒(méi)有豪言壯語(yǔ),有的只是勤勤懇懇、腳踏實(shí)地的走好每一步,這是尹麗波的態(tài)度,也恰恰是我國(guó)成功推進(jìn)工業(yè)控制系統(tǒng)信息安全工作的關(guān)鍵。
摘自《自動(dòng)化博覽》3月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)