薛一波 清華大學(xué)信息技術(shù)研究院研究員
“目前來(lái)看工業(yè)用戶對(duì)信息安全問(wèn)題的重視程度并不高。企業(yè)領(lǐng)導(dǎo)只重視生產(chǎn)和效率,而忽視安全,特別對(duì)信息安全,認(rèn)為是“既麻煩,又白花錢(qián)”。”清華大學(xué)信息技術(shù)研究院研究員薛一波日前對(duì)中國(guó)工業(yè)報(bào)記者強(qiáng)調(diào)說(shuō)。
“一旦工業(yè)控制系統(tǒng)遭到信息攻擊或破壞,其影響不僅是控制系統(tǒng)性能下降,而且將造成人員傷亡、環(huán)境災(zāi)難,甚至?xí)<肮娚詈蛧?guó)家安全。”
隨著信息化與自動(dòng)化的融合,工業(yè)控制系統(tǒng)及產(chǎn)品越來(lái)越多的與企業(yè)管理網(wǎng)、互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,其系統(tǒng)本身的漏洞也在頻繁曝光,“信息安全問(wèn)題越來(lái)越突出”。那么,面對(duì)如此嚴(yán)峻的形勢(shì)我國(guó)目前在該領(lǐng)域主要面臨哪些挑戰(zhàn),未來(lái)的發(fā)展方向在哪?
近日,本報(bào)記者采訪了工業(yè)控制信息安全領(lǐng)域內(nèi)部專(zhuān)家,讓我們來(lái)聽(tīng)聽(tīng)他們對(duì)該行業(yè)最直觀的感受和最迫切的要求。
國(guó)內(nèi)工控安全形勢(shì)嚴(yán)峻
從1986年前蘇聯(lián)的天然氣管道爆炸事件到2010年震驚全球的伊朗核電站“震網(wǎng)”病毒事件,近年來(lái)黑客、不法組織紛紛把工業(yè)控制系統(tǒng)作為信息攻擊的目標(biāo)。
截至2010年10月,全球已發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件,尤其是2011年后,針對(duì)工業(yè)控制系統(tǒng)的攻擊事件更是呈大幅度增長(zhǎng)態(tài)勢(shì)。相關(guān)數(shù)據(jù)顯示,2011年國(guó)家信息安全漏洞共享平臺(tái)就收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長(zhǎng)近10倍。
面對(duì)如此嚴(yán)峻的形勢(shì),未來(lái)工控安全情形是否會(huì)好轉(zhuǎn)?清華大學(xué)信息技術(shù)研究院研究員薛一波對(duì)本報(bào)記者說(shuō),“未來(lái)工控系統(tǒng)安全漏洞和威脅還會(huì)繼續(xù)大幅增長(zhǎng),現(xiàn)階段越來(lái)越多的安全人員和黑客開(kāi)始關(guān)注這一領(lǐng)域并開(kāi)始尋找新的攻擊方法。”
胡昌振 北京理工大學(xué)兩化融合發(fā)展研究院副院長(zhǎng)、軟件學(xué)院副院長(zhǎng)
對(duì)此,北京理工大學(xué)兩化融合發(fā)展研究院副院長(zhǎng)、中國(guó)兵器工業(yè)信息安全與對(duì)抗技術(shù)研究中心主任,胡昌振也持同樣觀點(diǎn)。“工業(yè)控制系統(tǒng)的安全應(yīng)該引起全社會(huì)的高度關(guān)注。”他表示,隨著我國(guó)工業(yè)與信息化融合的推進(jìn),工業(yè)控制系統(tǒng)規(guī)模已經(jīng)擴(kuò)展到國(guó)家關(guān)鍵基礎(chǔ)設(shè)施行業(yè),涉及水電、交通、油氣、國(guó)防等。“一旦工業(yè)控制系統(tǒng)遭到信息攻擊或破壞,其影響不僅是控制系統(tǒng)性能下降、控制能力喪失,而且將造成人員傷亡、環(huán)境災(zāi)難,甚至?xí)<肮娚詈蛧?guó)家安全,導(dǎo)致國(guó)家的戰(zhàn)略被動(dòng)、受制于人。”胡昌振強(qiáng)調(diào)說(shuō)。
傳統(tǒng)技術(shù)面臨挑戰(zhàn)
工業(yè)控制系統(tǒng)信息安全關(guān)乎經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定、國(guó)家安全、公眾利益。業(yè)內(nèi)專(zhuān)家紛紛表示,一旦工控系統(tǒng)遭到攻擊將對(duì)我國(guó)整個(gè)工業(yè)系統(tǒng)和社會(huì)產(chǎn)生巨大破壞力。
面對(duì)如此緊迫的形勢(shì),這對(duì)承擔(dān)設(shè)備傳感與檢測(cè)、運(yùn)算與控制、執(zhí)行與驅(qū)動(dòng)任務(wù)的工業(yè)控制系統(tǒng)提出了更多新的要求。然而,隨著控制裝備性能的提高、功能的豐富、尤其是基于廣域網(wǎng)絡(luò)的智能制造與智慧工廠,傳統(tǒng)的工控技術(shù)已不能夠支撐智能制造裝備、數(shù)字化生產(chǎn)線、數(shù)字化工廠、智慧工廠的快速發(fā)展。
“傳統(tǒng)的安全技術(shù)正面臨新的挑戰(zhàn)。”浙江大學(xué)信息學(xué)院控制系研究員王文海坦言,以防火墻、入侵檢測(cè)和病毒防護(hù)為主的傳統(tǒng)的控制系統(tǒng)信息安全技術(shù)僅從外部對(duì)企圖共享信息資源的非法用戶和越權(quán)訪問(wèn)進(jìn)行封堵。對(duì)于來(lái)自于內(nèi)部的安全威脅,常規(guī)的信息安全技術(shù)很難發(fā)揮其功效,無(wú)法防止內(nèi)部信息的泄密、竊取、篡改和破壞。
王文海 浙江大學(xué)信息學(xué)院控制系研究員
在王文海看來(lái),保證工業(yè)控制系統(tǒng)的可靠性、安全性(功能安全和信息安全)、實(shí)時(shí)性、可用性、可維護(hù)性,以及提供一個(gè)可信賴(lài)的安全可靠的工業(yè)測(cè)控系統(tǒng)已成為當(dāng)前十分迫切的需求。
據(jù)了解,工業(yè)控制系統(tǒng)面臨的威脅可分為兩種:系統(tǒng)威脅(工業(yè)控制系統(tǒng)作為一個(gè)信息系統(tǒng)所面臨的威脅)和過(guò)程威脅(工業(yè)控制作為一個(gè)過(guò)程所面臨的威脅)。
胡昌振告訴記者,傳統(tǒng)的信息安全要求實(shí)現(xiàn)保密性、完整性和可用性三大目標(biāo),工業(yè)控制系統(tǒng)信息安全則需要在協(xié)調(diào)實(shí)現(xiàn)這三大目標(biāo)的基礎(chǔ)上,突出系統(tǒng)的可用性。在他看來(lái),“系統(tǒng)威脅的防御可借鑒傳統(tǒng)的信息安全成熟解決方案,過(guò)程威脅的防御則要強(qiáng)調(diào)系統(tǒng)可用性的保證,即在工業(yè)控制系統(tǒng)遭受攻擊時(shí),對(duì)控制過(guò)程的影響不干擾控制任務(wù)的執(zhí)行。”
公民意識(shí)尚淺薄弱
業(yè)內(nèi)專(zhuān)家認(rèn)為,對(duì)于工業(yè)控制系統(tǒng)信息安全防御系統(tǒng),未來(lái)在安全防御機(jī)制以及體系構(gòu)建上還需不斷探索新的技術(shù)途徑。
但目前最急迫需要解決的問(wèn)題之一是,增強(qiáng)工業(yè)用戶對(duì)信息安全問(wèn)題的重視程度。薛一波坦言,對(duì)于工業(yè)企業(yè)用戶來(lái)說(shuō),國(guó)內(nèi)用戶對(duì)工業(yè)網(wǎng)絡(luò)安全普遍缺乏專(zhuān)業(yè)知識(shí)、認(rèn)識(shí)不足、培訓(xùn)欠缺。公司領(lǐng)導(dǎo)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的了解也不足,特別是對(duì)信息安全的危害性認(rèn)識(shí)還不夠。
“企業(yè)與政府監(jiān)督也存在問(wèn)題。”薛一波表示,此前政府本身也沒(méi)有意識(shí)到信息安全的重要性;安全企業(yè)也沒(méi)有開(kāi)發(fā)出高效、實(shí)用、已用的拳頭產(chǎn)品;科研機(jī)構(gòu)也沒(méi)有及時(shí)跟進(jìn)這一領(lǐng)域,提出好的解決方案。
“目前在工業(yè)控制領(lǐng)域懂工業(yè)控制系統(tǒng)又懂信息安全的技術(shù)人員還比較缺乏”。
劉娜 北京石油化工學(xué)院系主任
北京石油化工學(xué)院系主任劉娜對(duì)記者說(shuō),在工業(yè)控制系統(tǒng)領(lǐng)域,由于企業(yè)都是分部門(mén)管理,嚴(yán)重存在負(fù)責(zé)信息安全的人員了解信息安全相關(guān)知識(shí),但不了解工業(yè)控制系統(tǒng);而負(fù)責(zé)操作和維護(hù)工業(yè)控制系統(tǒng)的人員對(duì)信息安全的了解又很有限。“如果按照現(xiàn)行管理方式,由信息安全部門(mén)負(fù)責(zé)工業(yè)控制系統(tǒng)的信息安全防護(hù),很可能出現(xiàn)害怕承擔(dān)影響生產(chǎn)的責(zé)任而使得工業(yè)控制系統(tǒng)信息安全防護(hù)策略流于形式。”
開(kāi)發(fā)拳頭產(chǎn)品勢(shì)在必行
采訪中本報(bào)記者了解道,由于工業(yè)控制領(lǐng)域核心信息系統(tǒng)投資規(guī)模大,很多企業(yè)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)、服務(wù)系統(tǒng)平臺(tái)、安全支撐平臺(tái)、控制和智能化系統(tǒng)都被國(guó)外產(chǎn)品壟斷。這些非自主產(chǎn)品具有封閉性強(qiáng)、操作復(fù)雜、技術(shù)資料短缺、持續(xù)升級(jí)維護(hù)能力差等特點(diǎn),國(guó)內(nèi)用戶很難組織二次開(kāi)發(fā)或者自主生產(chǎn)。
因此,對(duì)于這部分進(jìn)口軟硬件核心部件,國(guó)內(nèi)用戶很難發(fā)現(xiàn)設(shè)備中是否存在“后門(mén)”、“陷阱”、“漏洞”、“軟件炸彈”、“隱蔽指令”等安全威脅。薛一波坦言,“一旦這些漏洞被用來(lái)對(duì)工業(yè)控制網(wǎng)絡(luò)實(shí)施攻擊,其后果將不堪設(shè)想。”
“近年來(lái)國(guó)內(nèi)很多信息安全事件均與此類(lèi)漏洞有關(guān)。”薛一波表示,提高我國(guó)工控系統(tǒng)自主可控能力,已成為信息化建設(shè)的戰(zhàn)略需要,并且在一定程度上能夠起到堵塞信息安全漏洞、防患于未然的效果。
對(duì)此劉娜對(duì)本報(bào)記者表示,傳統(tǒng)的信息安全解決方案已不適用于工業(yè)控制系統(tǒng)。加強(qiáng)具有自主知識(shí)產(chǎn)權(quán)產(chǎn)品的研究與開(kāi)發(fā),是解決我國(guó)軟硬件依賴(lài)進(jìn)口的重要方法與途徑。
在控制系統(tǒng)硬件平臺(tái)與軟件平臺(tái)中,掌握核心技術(shù)與自主知識(shí)產(chǎn)權(quán),包括分布式網(wǎng)絡(luò)操作系統(tǒng)、控制編程語(yǔ)言與實(shí)時(shí)運(yùn)行環(huán)境、分布式實(shí)時(shí)數(shù)據(jù)庫(kù)、可信計(jì)算、安全隔離網(wǎng)關(guān)等方面。
據(jù)本報(bào)記者了解,目前國(guó)家正在出臺(tái)一系列的政策、專(zhuān)項(xiàng)資金來(lái)鼓勵(lì)國(guó)內(nèi)企業(yè)加大研發(fā),突破技術(shù),掌握知識(shí)產(chǎn)權(quán),推出自己的工業(yè)控制領(lǐng)域的信息安全產(chǎn)品。
