中国自动化学会专家咨询工作委员会指定宣传媒体
新闻详情
gkongbbs

控制系统漏洞频出 安全意识亟待提高

http://www.gkong.com 2014-09-30 08:29 来源:中国工业报

  “安全问题是国家乃至全球的大事,针对自动化领域,最常见的安全问题就是工业控制系统的信息安全。”

  在日前的“2014工业控制系统信息安全年”大型主题系列活动——北京站活动中,中国自动化学会副理事长、清华大学自动化系主任周东华教授如是强调说。

  事实上,我国目前也在遭受着工业控制系统信息安全漏洞的困扰。据中国电子技术标准化研究院信息安全研究中心副主任范科峰博士的调研来看,从2003年到现在,我国每年都有工业控制系统的信息安全事件发生,形势非常严峻。

  在这场由中国自动化学会专家咨询工作委员会主办、工业控制系统信息安全产业联盟(ICSISIA)协办、主题为“环保与安全”的活动中,有来自全国30个省市自治区的百余名代表出席,他们从各自的专业领域,为我国工控系统的信息安全发展纷纷支招。

  信息安全危机四伏

  据报道,权威工业安全事件信息库RISI的统计显示,截至2011年10月,全球已发生200余起针对工业控制系统的攻击事件。而2001年后,通用开发标准与互联网技术的广泛使用,使得针对工业控制系统(ICS)的病毒、木马等攻击行为大幅度增长,结果导致整体控制系统的故障,甚至恶性安全事故,对人员、设备和环境造成严重的后果。比如伊朗核电站的震网病毒等事件,给全球工业界控制系统的信息安全问题都敲响了警钟。

  “目前我国工控系统的信息安全形势非常严峻,而近年来的工控安全事件也逐渐增加,严重影响了国家尤其是基础设施领域的信息安全。”在中国电子技术标准化研究院信息安全研究中心副主任范科峰博士看来,我国当前工控系统的信息安全形势不容乐观,工控领域的安全可靠性问题比较突出。

  他介绍说,美国、欧洲已经把工控安全和国家的基础设施安全统一列为国家的安全战略。而美国政府更是高度重视工控安全,采取很多措施来保证基础设施的工控信息安全,同时在国家工控系统相关的法规战略、纵深防御战略、以及评估等方面都做了很多工作。

  而国内的状况是,工控系统的核心基础设备依赖国外产品,嵌入式软件、总线协议、工控软件等核心技术都受制于国外,由于我国的工控产业综合竞争力不强,工控系统面临的威胁比较多,而且漏洞频发。

  “我们通过调研了解到,工控系统很多都缺乏比较完善的、安全的架构、设计,包括风险评估和基本的安全保证能力都比较缺乏,工控系统的信息安全还缺乏正式发布的、完善的标准等。”范科峰表示。

  安全意识亟待提高

  在会议上,北京力控华康科技有限公司副总经理龚亮华做了《工控信息安全形势分析与风险评估》的报告,他认为,很多的信息安全问题都是由于管理不善造成的,技术只是亡羊补牢的手段,因此,“企业最应该做的就是提高安全意识,采用更加完善的管理手段。”

  他表示,构建满足工业控制系统的全厂级风险识别模型,除了需要细化工业控制系统的风险因素,还需要建立基于工业控制系统的安全管理域,实施分等级的基线建设,兼顾包括终端与链路、威胁与异常、安全与可用性等综合因素的功能考虑。

  而带来《Havex病毒的“X”分析——新一代的工控网络APT对抗》报告的匡恩网络科技总裁兼首席执行官孙一桉,也认为,要真正解决信息安全对抗体系,必须要有前沿的技术和体系的创新,而我国现今的工业控制信息安全产业链是非常不完整的,因此我们更要提倡整体的解决方案。

  范科峰的建议是,制定工业控制系统信息安全标准,要从技术线、管理线出发,以管理标准带动技术标准制定,统筹工控安全产业发展,建立标准体系。针对我国工控系统信息安全检查制度、测评体系建立的需求对工控系统安全相关概念、参考模型、安全管理要求进行规范,为工控安全分级、测评和检查工作提供支撑和依据。

  “目前已向世界提出了全新的网络安全理念,而这些理念也被世界认同接受,创建全新未来网络安全体系刻不容缓。”原工信部科技司网络标准工作组秘书长刘亚东透露说,他在会上做了《网络安全存在的问题与未来网络安全的要求》的报告。

  会上,作为国家工控机及系统工程研究中心、北京康拓科技有限公司的代表,王迎春结合安全计算机研制与生产销售的情况,介绍了当前安全计算机的若干问题。他表示,安全计算机是在工业控制计算机的基础上,结合国际安全规范,进行了系统化、工程化的软、硬件设计。近年来,随着国家战略需求与行业应用需求的不断增多,安全计算机逐渐成为了热点话题。

  “工业4.0标志着工业生产进入了互联网时代,网络物理生产系统将成为第四次工业革命的基础。”菲尼克斯电气(南京)研发工程中心有限公司副总裁杜品圣博士在活动上做了题为《互联自动化,实现工业4.0的关键》的报告,他表示,工业4.0是生产制造模式的变革,生产力推动了社会的发展,生产制造方法的改革提高了生产力。生产制造系统采用联网的嵌入式系统,以及物联网和基于WEB的服务,将带我们走上第四次工业革命的道路。“而要进行工业4.0的变革,首先要完成工业3.0,IT行业专家与自动化专家必须合作,要有长期的规划,跨行业,跨专业整合协调作战。”

  此外,在此次会议上,施耐德电气工业事业部工业信息安全首席专家王斌,国核柏斯顿新能源科技(北京)有限公司副总工程师罗凯,淮南联合大学洪滨,清华大学教授萧德云,中国自动化学会专家咨询工作委员会主任委员孙柏林等都带来了精彩的报告。

  在高速发展30多年后,中国已成为世界第二大经济体,但在GDP增长的同时,巨额的“生态赤字”已经出现,大范围旷日持久的雾霾天气、严重的水污染等都在威胁着人们的安全。实现中国梦、建设美丽中国,必须更加重视转变发展方式,提高发展质量。这对自动化产业来说,既是动力,亦是压力。未来,随着“两化融合”的持续深入,信息技术与自动化技术必将大有可为。

  相关链接

  我国工控系统安全非常脆弱

  “现在无线、网络系统提高了工控效率,但开放的体系使得信息安全问题暴露无疑,目前工控最大隐患是很多行业和企业还没有意识到工控安全非常脆弱。很多重点行业企业应该要考虑如果明天一旦出现世界级的安全危险,目前的工控系统是否能够引导工厂正常安全地生产。”工业和信息化部电子科学技术情报研究所(工业和信息化部电子第一研究所)副所长李新社在中国工业信息化及信息安全发展论坛上发出的警示。

  记者了解到,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。

  李新社表示,原先工控系统是封闭的,但信息化带来的是体系的开放互联,病毒等威胁无处不在,形势非常严峻。近几年以来,政府、企业等各方都在积极参与工控系统安全建设,很多企业都带来自主研发的自主知识产权的工控产品。但国内工控安全水平、发展速度与欧美发达国家相比差距仍非常大。

  工业控制系统信息安全事关工业生产运行、国家经济安全和人民生命财产安全。李新社表示,国家对工业控制安全高度重视,2011年底发布的《关于加强工业控制系统信息安全管理的通知》已经成为了推动国内工控安全的指导性文件。他认为“自主可控,安全可靠”应该是国内工控信息安全发展的技术指导思想。

版权所有 中华工控网 Copyright©2024 Gkong.com, All Rights Reserved