薛一波 清華大學信息技術研究院研究員
“目前來看工業用戶對信息安全問題的重視程度并不高。企業領導只重視生產和效率,而忽視安全,特別對信息安全,認為是“既麻煩,又白花錢”。”清華大學信息技術研究院研究員薛一波日前對中國工業報記者強調說。
“一旦工業控制系統遭到信息攻擊或破壞,其影響不僅是控制系統性能下降,而且將造成人員傷亡、環境災難,甚至會危及公眾生活和國家安全。”
隨著信息化與自動化的融合,工業控制系統及產品越來越多的與企業管理網、互聯網等公共網絡連接,其系統本身的漏洞也在頻繁曝光,“信息安全問題越來越突出”。那么,面對如此嚴峻的形勢我國目前在該領域主要面臨哪些挑戰,未來的發展方向在哪?
近日,本報記者采訪了工業控制信息安全領域內部專家,讓我們來聽聽他們對該行業最直觀的感受和最迫切的要求。
國內工控安全形勢嚴峻
從1986年前蘇聯的天然氣管道爆炸事件到2010年震驚全球的伊朗核電站“震網”病毒事件,近年來黑客、不法組織紛紛把工業控制系統作為信息攻擊的目標。
截至2010年10月,全球已發生200余起針對工業控制系統的攻擊事件,尤其是2011年后,針對工業控制系統的攻擊事件更是呈大幅度增長態勢。相關數據顯示,2011年國家信息安全漏洞共享平臺就收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍。
面對如此嚴峻的形勢,未來工控安全情形是否會好轉?清華大學信息技術研究院研究員薛一波對本報記者說,“未來工控系統安全漏洞和威脅還會繼續大幅增長,現階段越來越多的安全人員和黑客開始關注這一領域并開始尋找新的攻擊方法。”
胡昌振 北京理工大學兩化融合發展研究院副院長、軟件學院副院長
對此,北京理工大學兩化融合發展研究院副院長、中國兵器工業信息安全與對抗技術研究中心主任,胡昌振也持同樣觀點。“工業控制系統的安全應該引起全社會的高度關注。”他表示,隨著我國工業與信息化融合的推進,工業控制系統規模已經擴展到國家關鍵基礎設施行業,涉及水電、交通、油氣、國防等。“一旦工業控制系統遭到信息攻擊或破壞,其影響不僅是控制系統性能下降、控制能力喪失,而且將造成人員傷亡、環境災難,甚至會危及公眾生活和國家安全,導致國家的戰略被動、受制于人。”胡昌振強調說。
傳統技術面臨挑戰
工業控制系統信息安全關乎經濟發展、社會穩定、國家安全、公眾利益。業內專家紛紛表示,一旦工控系統遭到攻擊將對我國整個工業系統和社會產生巨大破壞力。
面對如此緊迫的形勢,這對承擔設備傳感與檢測、運算與控制、執行與驅動任務的工業控制系統提出了更多新的要求。然而,隨著控制裝備性能的提高、功能的豐富、尤其是基于廣域網絡的智能制造與智慧工廠,傳統的工控技術已不能夠支撐智能制造裝備、數字化生產線、數字化工廠、智慧工廠的快速發展。
“傳統的安全技術正面臨新的挑戰。”浙江大學信息學院控制系研究員王文海坦言,以防火墻、入侵檢測和病毒防護為主的傳統的控制系統信息安全技術僅從外部對企圖共享信息資源的非法用戶和越權訪問進行封堵。對于來自于內部的安全威脅,常規的信息安全技術很難發揮其功效,無法防止內部信息的泄密、竊取、篡改和破壞。
王文海 浙江大學信息學院控制系研究員
在王文海看來,保證工業控制系統的可靠性、安全性(功能安全和信息安全)、實時性、可用性、可維護性,以及提供一個可信賴的安全可靠的工業測控系統已成為當前十分迫切的需求。
據了解,工業控制系統面臨的威脅可分為兩種:系統威脅(工業控制系統作為一個信息系統所面臨的威脅)和過程威脅(工業控制作為一個過程所面臨的威脅)。
胡昌振告訴記者,傳統的信息安全要求實現保密性、完整性和可用性三大目標,工業控制系統信息安全則需要在協調實現這三大目標的基礎上,突出系統的可用性。在他看來,“系統威脅的防御可借鑒傳統的信息安全成熟解決方案,過程威脅的防御則要強調系統可用性的保證,即在工業控制系統遭受攻擊時,對控制過程的影響不干擾控制任務的執行。”
公民意識尚淺薄弱
業內專家認為,對于工業控制系統信息安全防御系統,未來在安全防御機制以及體系構建上還需不斷探索新的技術途徑。
但目前最急迫需要解決的問題之一是,增強工業用戶對信息安全問題的重視程度。薛一波坦言,對于工業企業用戶來說,國內用戶對工業網絡安全普遍缺乏專業知識、認識不足、培訓欠缺。公司領導對計算機和網絡的了解也不足,特別是對信息安全的危害性認識還不夠。
“企業與政府監督也存在問題。”薛一波表示,此前政府本身也沒有意識到信息安全的重要性;安全企業也沒有開發出高效、實用、已用的拳頭產品;科研機構也沒有及時跟進這一領域,提出好的解決方案。
“目前在工業控制領域懂工業控制系統又懂信息安全的技術人員還比較缺乏”。
劉娜 北京石油化工學院系主任
北京石油化工學院系主任劉娜對記者說,在工業控制系統領域,由于企業都是分部門管理,嚴重存在負責信息安全的人員了解信息安全相關知識,但不了解工業控制系統;而負責操作和維護工業控制系統的人員對信息安全的了解又很有限。“如果按照現行管理方式,由信息安全部門負責工業控制系統的信息安全防護,很可能出現害怕承擔影響生產的責任而使得工業控制系統信息安全防護策略流于形式。”
開發拳頭產品勢在必行
采訪中本報記者了解道,由于工業控制領域核心信息系統投資規模大,很多企業基礎網絡平臺、服務系統平臺、安全支撐平臺、控制和智能化系統都被國外產品壟斷。這些非自主產品具有封閉性強、操作復雜、技術資料短缺、持續升級維護能力差等特點,國內用戶很難組織二次開發或者自主生產。
因此,對于這部分進口軟硬件核心部件,國內用戶很難發現設備中是否存在“后門”、“陷阱”、“漏洞”、“軟件炸彈”、“隱蔽指令”等安全威脅。薛一波坦言,“一旦這些漏洞被用來對工業控制網絡實施攻擊,其后果將不堪設想。”
“近年來國內很多信息安全事件均與此類漏洞有關。”薛一波表示,提高我國工控系統自主可控能力,已成為信息化建設的戰略需要,并且在一定程度上能夠起到堵塞信息安全漏洞、防患于未然的效果。
對此劉娜對本報記者表示,傳統的信息安全解決方案已不適用于工業控制系統。加強具有自主知識產權產品的研究與開發,是解決我國軟硬件依賴進口的重要方法與途徑。
在控制系統硬件平臺與軟件平臺中,掌握核心技術與自主知識產權,包括分布式網絡操作系統、控制編程語言與實時運行環境、分布式實時數據庫、可信計算、安全隔離網關等方面。
據本報記者了解,目前國家正在出臺一系列的政策、專項資金來鼓勵國內企業加大研發,突破技術,掌握知識產權,推出自己的工業控制領域的信息安全產品。
