堵住工控系統的漏洞

2013-04-29 00:44:03姜紅德

中國信息化 2013年8期

關鍵詞：系統

姜紅德

隨著兩化融合和物聯網的應用普及，工控系統已經成為我國關鍵基礎設施的重要組成部分。

工控系統信息安全事關國家命脈，先前人們較少提及，而在近期突然成為一個新的關注點。2010～2012年間，伊朗、敘利亞等中東國家的計算機網絡先后出現了“震網”、“火焰”等病毒，能夠對與石油工業相關的計算機實施監控、截取信息乃至破壞。

隨著兩化融合和物聯網的應用普及，工控系統已經成為我國關鍵基礎設施的重要組成部分。因此，這些工控系統一旦遭受信息安全威脅，其后果的嚴重性不堪設想。兩化深度融合的挑戰

2009年至2012年期間，工業和信息化部組織專業研究力量先后對鋼鐵、機床、汽車、棉紡織、家電等17個行業開展了兩化融合發展水平評估工作。報告顯示，隨著我國工業化和信息化的深度融合以及物聯網的快速發展，工業控制系統面臨的信息安全問題日益嚴重。

越來越多的數控系統和智能設備應用到了工業現場中，它們更多的采用了開放性和透明性較強的通用協議、通用硬件和通用軟件，并通過各種方式與企業內網以及互聯網實現連接，使企業的生產計劃、調度指令等可通過信息系統直接下達到車間、生產線，甚至具體生產裝備，實現企業生產過程的管控一體化。然而，網絡的互聯性、開放性越是先進，其承受的惡意企圖也就越多。

在2012年10月于杭州舉辦的全國首期“工業控制系統信息安全保障能力建設高級研修班”上，工信部信息安全協調司歐陽武副司長接受記者采訪時表示，我國工控系統的安全形勢非常嚴峻?！凹s80%的企業從來不對工控系統進行升級和漏洞修補，有52%的工控系統與企業的管理系統、內網甚至互聯網連接；此外，一些存在漏洞的國外工控產品依然在國內的某些重要裝置上使用。更為嚴重的問題還在于，對于發現風險源頭缺乏手段，對控制風險的技術與方法缺乏必要的研究?！?/p>

歐陽武司長認為，工控系統信息安全成為關注點主要有兩個原因：一方面，隨著計算機技術的發展，很多專業的系統實現了通用化，現在的工控系統開始在通用技術的基礎上做專業的系統設計，這樣一來，存在于計算機信息系統中的漏洞被帶到了工控系統里。另一方面，長期以來工控系統并沒有因為信息安全問題發生大的事故，人們普遍存在“病毒很少能對工業控制系統造成危害”的意識。但是，伊朗的“震網”事件，給了全世界一個警示，計算機病毒不僅可以感染到工控系統，而且可以對控制對象進行物質破壞。

據介紹，目前我國在工控高端設備上還在使用國外的產品，軟件開發中存在邏輯沖突和錯誤不可避免，徹底消除信息安全漏洞是不現實的，在這種現實情況下，就必須加強管理。2011年9月29日，經國務院同意，工信部下發了《關于加強工業控制系統信息安全管理的通知》，標志著我國工業系統信息安全工作的啟動。

圍繞著這一文件的落實，工信部對重要工業控制系統及其應用單位、中央企業有了基本的了解，并對所有中央企業在本集團內部進行了摸底調查。接下來工信部辦公廳于2012年又印發了《關于開展工業控制系統信息安全風險信息發布工作的通知》，對工業控制系統信息安全風險信息發布工作做出了安排，目前國內已經發布了200多個漏洞。

如何堵住漏洞？

工控系統的安全問題日益嚴重，確保工控系統的安全可控，已經不僅僅是單個研究機構或企業要思考的問題，更需要國家層面進行戰略布局，產業界群策群力。

據中國機械工業儀器儀表綜合技術經濟研究所所長歐陽勁松介紹，傳統IT信息安全一般要實現三個目標，即保密性、完整性和可用性，通常都將保密性放在首位，并配以必要的訪問控制，以保護用戶信息的安全，防止信息盜取事件的發生，完整性放在第二位，而可用性則放在最后。對于工業自動化控制系統而言，目標優先級的順序則正好相反，工控系統信息安全首要考慮的是所有系統部件的可用性，完整性則在第二位，保密性通常都在最后考慮。

面對我國工業控制系統安全的壓力，歐陽勁松表示，當下最為緊迫的任務是樹立工控系統安全和防范意識、建立出臺相關標準與法規、系統管理第三方認證機構，同時他認為工業控制系統信息安全問題必須在國家的推動和貫徹下才能得到切實解決。

目前在傳統IT信息安全領域，根據《中華人民共和國計算機信息系統安全保護條例》等有關法律法規，我國已經發布了《信息安全等級保護管理辦法》，對信息系統分等級實行安全保護。同樣地，為保障工業控制系統的信息安全，更加迫切地需要有關政府部門發布相關法令法規，引起各行業足夠的重視，并規范行業實踐。

標準化的工作由于涉及到工控系統的各項具體指標，對工控系統的安全產生的影響更加深入。據了解，在國際上IEC/TC65（工業過程測量、控制和自動化標準化技術委員會）負責制定控制領域用于工業測量與控制的系統以及元件方面的國際標準。

“在國內，工業系統信息安全的標準制定也是一直受到關注和重視的領域”，據歐陽勁松介紹，全國工業過程測量和控制標準化技術委員會已經獲工信部批準，正式立項啟動了3項IEC62443國際標準轉化為行業標準的制定工作，并成立了專門的工業控制系統信息安全起草工作組。