今日頭條
官方微信
官方抖音
資訊頻道 摘自:《今日自動(dòng)化》,第7期
目前,信息安全事件在國(guó)內(nèi)工業(yè)界尚未發(fā)現(xiàn),但這并不意味著我國(guó)的工業(yè)系統(tǒng)就是安全的。2012年,在拉斯維加斯舉行的黑客大會(huì)上,黑客現(xiàn)場(chǎng)進(jìn)攻中國(guó)重要行業(yè)的儀控系統(tǒng)的演示足以證明這一事實(shí)。
居安思危自古有之,面對(duì)工業(yè)信息安全事件,業(yè)內(nèi)人士也必須有這樣的意識(shí)。對(duì)于層出不窮的新型網(wǎng)絡(luò)攻擊,我們不但要從意識(shí)上保持高度的警惕,亦要從技術(shù)上加強(qiáng)防患,探索適合工控領(lǐng)域的信息保護(hù)措施,樹(shù)立正確的安防理念,建立有中國(guó)特色的工控安保(security)體系。然而,這不是一蹴而就的事情。
威脅源自系統(tǒng)開(kāi)放 工控人須另辟蹊徑
2010年,“震網(wǎng)”病毒攻擊伊朗核電站,造成伊朗核電站推遲發(fā)電一年半之久并且損壞大量的鈾濃縮機(jī)。“震網(wǎng)”病毒集中攻擊重要行業(yè)的基礎(chǔ)設(shè)施,被一些專(zhuān)家稱(chēng)作是全球首個(gè)投入實(shí)戰(zhàn)舞臺(tái)的“網(wǎng)絡(luò)武器”。除此之外,各國(guó)專(zhuān)家相繼檢測(cè)出Night Dragon、Duqu、Flame等病毒。這些越來(lái)越“高級(jí)”的網(wǎng)絡(luò)武器無(wú)不牽動(dòng)著國(guó)內(nèi)工業(yè)界人士的神經(jīng),工業(yè)控制系統(tǒng)信息安全正經(jīng)受?chē)?yán)峻的考驗(yàn)。
凡事預(yù)則立不預(yù)則廢。近年來(lái),國(guó)外頻發(fā)的信息安全事件引起了我國(guó)有關(guān)部門(mén)的高度重視。為了確保國(guó)家經(jīng)濟(jì)安全,加強(qiáng)工業(yè)控制系統(tǒng)的信息安全迫在眉睫。2011年9月,工信部發(fā)布了“關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知”,通知一經(jīng)發(fā)出,引起了國(guó)內(nèi)許多專(zhuān)家的熱烈討論。
隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展及應(yīng)用,工業(yè)控制系統(tǒng)向著網(wǎng)絡(luò)化、智能化以及開(kāi)放式的方向發(fā)展,特別在信息化和工業(yè)化深度融合的大環(huán)境下,企業(yè)的自動(dòng)化和信息化程度不斷提高,為了獲取及時(shí)準(zhǔn)確的生產(chǎn)信息,越來(lái)越多的工業(yè)控制設(shè)備接入企業(yè)局域網(wǎng)中,開(kāi)放式的網(wǎng)絡(luò)帶來(lái)好處的同時(shí),也給外部的威脅提供了入侵機(jī)會(huì)。
中國(guó)儀器儀表學(xué)會(huì)教授夏德海認(rèn)為,病毒入侵的源頭在于系統(tǒng)的開(kāi)放性,開(kāi)放的系統(tǒng)為用戶(hù)提供了更多的選擇,也為供應(yīng)商帶來(lái)了更多地商機(jī),但是,由于工控產(chǎn)品的生命周期為15~20年,相較于IT行業(yè)3~5年的產(chǎn)品周期,系統(tǒng)開(kāi)放給工控領(lǐng)域帶來(lái)的好處已經(jīng)在系統(tǒng)不斷的升級(jí)和維護(hù)中消耗殆盡。由此看來(lái),在信息安全技術(shù)處于起步階段的今天,一味的開(kāi)放未必是好事。
目前,對(duì)于如何確保工控信息安全的問(wèn)題上,業(yè)內(nèi)還存在一些爭(zhēng)議。夏教授認(rèn)為,信息安全領(lǐng)域的攻防戰(zhàn)是永無(wú)止盡的,隨著病毒的不斷升級(jí)和技術(shù)的日益復(fù)雜,工控安保(security)的發(fā)展將面臨極大的挑戰(zhàn)。他提出了“暫時(shí)回歸封閉系統(tǒng)”的想法。
“當(dāng)然,這種回歸不是簡(jiǎn)單機(jī)械的復(fù)舊,而是螺旋式的上升。”夏教授解釋道。的確如此,在安全技術(shù)尚不能滿(mǎn)足業(yè)內(nèi)需求的情況下,回歸封閉也不妨為一種“曲線(xiàn)救國(guó)”的策略。“在研發(fā)對(duì)外封閉的企業(yè)專(zhuān)用云計(jì)算控制系統(tǒng)的同時(shí),用戶(hù)應(yīng)盡量采用國(guó)產(chǎn)設(shè)備,這樣不僅可以減少外界攻擊,還可以增加網(wǎng)絡(luò)攻擊方尋找漏洞的難度。”夏教授繼續(xù)說(shuō)道,“當(dāng)安保(security)措施足以抵抗外界攻擊時(shí),系統(tǒng)可重新開(kāi)放。”
當(dāng)然,這并不是唯一的途徑。在競(jìng)爭(zhēng)日益激烈的國(guó)際環(huán)境下,轉(zhuǎn)型升級(jí)成為中國(guó)制造業(yè)的主旋律,開(kāi)放式的系統(tǒng)是大勢(shì)所趨。現(xiàn)在,中國(guó)制造業(yè)整體進(jìn)入一個(gè)平穩(wěn)發(fā)展的階段,工控界是否也應(yīng)借機(jī)進(jìn)行一番思考,先積聚能量,然后再全速前進(jìn)。
面對(duì)如此尷尬的局面,如何找出一條“中庸之道”在加快兩化融合的同時(shí)保證工業(yè)系統(tǒng)信息安全是每一位工控人應(yīng)該思考的問(wèn)題。對(duì)此,夏教授指出,建立中國(guó)特色的工控安保(security)體系,我們可以借鑒中國(guó)抵抗外侵過(guò)程中積累的經(jīng)驗(yàn),如自衛(wèi)反擊、有力有理有節(jié)等成功經(jīng)驗(yàn)。
工控、IT聯(lián)手打造特色防御體系
現(xiàn)在,業(yè)界討論最多的防御措施無(wú)非是縱深防御體系,“縱深防御”的概念來(lái)自于軍事戰(zhàn)略,是一種很有歷史淵源的全面而深入的延遲敵人進(jìn)攻的戰(zhàn)爭(zhēng)方式,是一種通過(guò)每道防線(xiàn)完成不同的使命,最終達(dá)到將敵方擊潰的策略。將其用于工控界“信息安全”領(lǐng)域,是指通過(guò)設(shè)置多層重疊的安全防護(hù)系統(tǒng)而構(gòu)成多道防線(xiàn),從企業(yè)的ERP系統(tǒng)逐漸深入到現(xiàn)場(chǎng)層。
暫且不論這樣的引用是否合理,縱深防御體系是否真的像看上去那么牢固也很耐人尋味。夏教授說(shuō)道:“實(shí)際上,在整個(gè)工控界,對(duì)于不可知的病毒攻擊,目前仍然沒(méi)有有效的解決辦法。”更為關(guān)鍵的是,縱深防御體系的建立勢(shì)必會(huì)帶來(lái)用戶(hù)成本的上升,而企業(yè)的防御能力并未成正比增長(zhǎng),這也是用戶(hù)企業(yè)必須考慮的現(xiàn)實(shí)問(wèn)題。
從成本和抵御風(fēng)險(xiǎn)需求這兩方面看,工控領(lǐng)域的信息安全是有“度”的,但這個(gè)“度”只適合某些領(lǐng)域,例如遭受攻擊后損失不大且容易恢復(fù)的領(lǐng)域。對(duì)于電力、石油石化、水工業(yè)、高鐵等國(guó)家重點(diǎn)基礎(chǔ)設(shè)施領(lǐng)域,涉及到國(guó)家經(jīng)濟(jì)發(fā)展、民生安全以及國(guó)家榮譽(yù),簡(jiǎn)單地從可用性、可靠性和保密性的優(yōu)先順序來(lái)考慮工控信息安全“度”的問(wèn)題還有待商榷。另外,保密性和安全性不能混為一談。俗話(huà)說(shuō)“千里之堤,潰于蟻穴”,在任何領(lǐng)域,“安全第一”的意識(shí)都不容忽視。
除此之外,有關(guān)專(zhuān)家提到了工控信息安全“三分靠技術(shù),七分靠管理”。這一概念是否直接引自IT行業(yè)對(duì)信息安全的描述不得而知。但是,IT行業(yè)與工控行業(yè)有著本質(zhì)的區(qū)別,這一點(diǎn)是業(yè)內(nèi)公認(rèn)的。工控系統(tǒng)對(duì)實(shí)時(shí)性、可靠性的要求甚至高于保密性的要求,這一特點(diǎn)決定了工控系統(tǒng)的信息安全技術(shù)不能照搬照抄IT行業(yè)的技術(shù),而要結(jié)合工控的實(shí)際情況,將防火墻、縱深防御、蜜罐等IT界行之有效的安全技術(shù)加以改進(jìn)和創(chuàng)新,真正建立適合工控系統(tǒng)的信息安全技術(shù)體系。工業(yè)信息安全的管理策略和人的因素當(dāng)然非常重要,但管理應(yīng)是技術(shù)的彌補(bǔ)途徑,只有將技術(shù)和管理兩者恰當(dāng)?shù)慕Y(jié)合起來(lái)才能保護(hù)工控信息安全。
夏教授告訴記者,要解決工業(yè)信息安全問(wèn)題,必須先從工控和IT行業(yè)的互學(xué)習(xí)開(kāi)始,彼此不斷了解,共同策劃,才能使具有中國(guó)特色的、有效的工控安保(security)體系盡快出爐。
另外,夏教授表示,建立具有中國(guó)特色的安保(security)體系首先要制定具有自主知識(shí)產(chǎn)權(quán)的工控安保標(biāo)準(zhǔn)和測(cè)試方法,建立完整的、獨(dú)立自主的安保(security)認(rèn)證機(jī)構(gòu),打造三位一體的安保(security)防御體系;其次要重點(diǎn)建設(shè)電力、石油石化、水工業(yè)、高鐵等重點(diǎn)行業(yè)的強(qiáng)制性安保標(biāo)準(zhǔn),確保工控信息安全得到相應(yīng)的重視。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)