今日頭條
官方微信
官方抖音
資訊頻道 國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)日前發(fā)布《2011年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》,指出: 2011年國(guó)家信息安全漏洞共享平臺(tái)收錄了100多個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長(zhǎng)近10倍,涉及西門子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品,對(duì)正常生產(chǎn)秩序形成嚴(yán)重威脅。工業(yè)控制系統(tǒng)信息安全問(wèn)題再成焦點(diǎn)。
2010年伊朗爆發(fā)的“震網(wǎng)”病毒,給全球工業(yè)界控制系統(tǒng)的信息安全問(wèn)題敲響了警鐘。現(xiàn)在,國(guó)內(nèi)外生產(chǎn)企業(yè)都把工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)提上了日程。工信部協(xié)【2011】451號(hào)通知明確指出:“SCADA、DCS、PCS、PLC等工業(yè)控制系統(tǒng)廣泛運(yùn)用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域,用于控制生產(chǎn)設(shè)備的運(yùn)行。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散,工業(yè)控制系統(tǒng)信息安全問(wèn)題日益突出。2010年發(fā)生的“震網(wǎng)”病毒事件,充分反映出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢(shì)。對(duì)此,各地區(qū)、各部門、各單位務(wù)必高度重視,增強(qiáng)風(fēng)險(xiǎn)意識(shí)、責(zé)任意識(shí)和緊迫感,切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理。”
問(wèn)題已擺在面前,如何解決?當(dāng)然首要問(wèn)題就是撥開迷霧,探尋問(wèn)題實(shí)質(zhì)。隨著互聯(lián)網(wǎng)的飛速發(fā)展,我國(guó)對(duì)于傳統(tǒng)IT信息安全問(wèn)題已有相關(guān)標(biāo)準(zhǔn)、法規(guī),工業(yè)控制系統(tǒng)信息安全是否能依照而行?而在工業(yè)控制領(lǐng)域,一直以來(lái)備受關(guān)注的功能安全問(wèn)題又與信息安全問(wèn)題有著怎樣的區(qū)別與聯(lián)系?日前,本刊記者采訪了機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所所長(zhǎng)歐陽(yáng)勁松以上問(wèn)題進(jìn)行了詳細(xì)解讀:
工業(yè)控制系統(tǒng)信息安全與傳統(tǒng)IT信息安全的區(qū)別
傳統(tǒng)IT信息安全一般是要實(shí)現(xiàn)三個(gè)目標(biāo),即保密性、完整性和可用性,通常都將保密性放在首位,并配以必要的訪問(wèn)控制,以保護(hù)用戶信息的安全,防止信息盜取事件的發(fā)生。完整性放在第二位,而可用性則放在最后。
對(duì)于工業(yè)自動(dòng)化控制系統(tǒng)而言,目標(biāo)優(yōu)先級(jí)的順序則正好相反。工控系統(tǒng)信息安全首要考慮的是所有系統(tǒng)部件的可用性。完整性則在第二位,保密性通常都在最后考慮。因?yàn)楣I(yè)數(shù)據(jù)都是原始格式,需要配合有關(guān)使用環(huán)境進(jìn)行分析才能獲取其價(jià)值。而系統(tǒng)的可用性則直接影響到企業(yè)生產(chǎn),生產(chǎn)線停機(jī)或者誤動(dòng)作都可能導(dǎo)致巨大經(jīng)濟(jì)損失,甚至是人員生命危險(xiǎn)和環(huán)境的破壞。
除此之外,工控系統(tǒng)的實(shí)時(shí)性指標(biāo)也非常重要。控制系統(tǒng)要求響應(yīng)時(shí)間大多在1毫秒以內(nèi),而通用商務(wù)系統(tǒng)能夠接受1秒或幾秒內(nèi)完成。工業(yè)控制系統(tǒng)信息安全還要求必須保證持續(xù)的可操作性及穩(wěn)定的系統(tǒng)訪問(wèn)、系統(tǒng)性能、專用工業(yè)控制系統(tǒng)安全保護(hù)技術(shù),以及全生命周期的安全支持。在些要求都是在保證信息安全的同時(shí)也必須滿足的。
功能安全和信息安全的區(qū)別
我們通常將安全可以分成3類,即功能安全(Functional Safety)、物理安全(Physical Safety)和信息安全(Security)。功能安全是為了達(dá)到設(shè)備和工廠安全功能,受保護(hù)的、和控制設(shè)備的安全相關(guān)部分必須正確執(zhí)行其功能,而且當(dāng)失效或故障發(fā)生時(shí),設(shè)備或系統(tǒng)必須仍能保持安全條件或進(jìn)入到安全狀態(tài)。物理安全是減少由于電擊、著火、輻射、機(jī)械危險(xiǎn)、化學(xué)危險(xiǎn)等因素造成的危害。在IEC 62443中針對(duì)工業(yè)控制系統(tǒng)對(duì)信息安全(security)的定義是:“(1)保護(hù)系統(tǒng)所采取的措施;(2)由建立和維護(hù)保護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);(3)能夠免于對(duì)系統(tǒng)資源的非授權(quán)訪問(wèn)和非授權(quán)或意外的變更、破壞或者損失;(4)基于計(jì)算機(jī)系統(tǒng)的能力,能夠保證非授權(quán)人員和系統(tǒng)既無(wú)法修改軟件及其數(shù)據(jù)也無(wú)法訪問(wèn)系統(tǒng)功能,卻保證授權(quán)人員和系統(tǒng)不被阻止;(5)防止對(duì)工業(yè)控制系統(tǒng)的非法或有害入侵,或者干擾其正確和計(jì)劃的操作。”可見三種安全在定義和內(nèi)涵上有很大的差別。
功能安全系統(tǒng)使用安全完整性等級(jí)(SIL,Safety Integrity Level)的概念已有近20年。它允許一個(gè)部件或系統(tǒng)的安全表示為單個(gè)數(shù)字,而這個(gè)數(shù)字是為了保障人員健康、生產(chǎn)安全和環(huán)境安全而提出的基于該部件或系統(tǒng)失效率的保護(hù)因子。工業(yè)控制系統(tǒng)信息安全的評(píng)估方法與功能安全的評(píng)估有所不同。雖然都是保障人員健康、生產(chǎn)安全或環(huán)境安全,但是功能安全使用安全完整性等級(jí)(SIL)是基于隨機(jī)硬件失效的一個(gè)部件或系統(tǒng)失效的可能性計(jì)算得出的,而信息安全系統(tǒng)有著更為廣闊的應(yīng)用,以及更多可能的誘因和后果。影響信息安全的因數(shù)非常復(fù)雜,很難用一個(gè)簡(jiǎn)單的數(shù)字描述出來(lái)。然而,功能安全的全生命周期安全理念同樣適用于信息安全,信息安全的管理和維護(hù)也須是周而復(fù)始不斷進(jìn)行的。
針對(duì)我國(guó)工業(yè)自動(dòng)化行業(yè)的現(xiàn)狀,最急迫的事情是什么?下一步的工作應(yīng)該從哪幾方面入手?歐陽(yáng)勁松認(rèn)為:為保障工業(yè)控制系統(tǒng)的信息安全,更加迫切地需要有關(guān)政府部門發(fā)布相關(guān)法令法規(guī),引起各行業(yè)足夠的重視,并規(guī)范行業(yè)實(shí)踐。工業(yè)控制系統(tǒng)涉及眾多行業(yè),例如石化、電力、核電等。各行業(yè)的具體管理要求和系統(tǒng)設(shè)備工作環(huán)境不盡相同。因此,我們必須深入研究我國(guó)工業(yè)控制系統(tǒng)的行業(yè)特點(diǎn)和需求,有針對(duì)性地制定相關(guān)行業(yè)信息安全保障應(yīng)用行規(guī)。同時(shí),以工業(yè)自動(dòng)化標(biāo)準(zhǔn)化機(jī)構(gòu)為先導(dǎo),聯(lián)合相關(guān)組織機(jī)構(gòu),研究我國(guó)工業(yè)信息安全標(biāo)準(zhǔn)體系,積極開展工業(yè)控制系統(tǒng)信息安全評(píng)估標(biāo)準(zhǔn)的制定工作,健全工業(yè)信息安全評(píng)估認(rèn)證機(jī)制,建立有效的工業(yè)控制系統(tǒng)信息安全應(yīng)急系統(tǒng),形成我國(guó)自主的工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)和管理體系。
日前,《我國(guó)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全現(xiàn)狀調(diào)查及問(wèn)題研究》課題組聯(lián)合工業(yè)領(lǐng)域各重點(diǎn)行業(yè)協(xié)會(huì)以及《電子技術(shù)應(yīng)用》、《自動(dòng)化博覽》、控制網(wǎng)(www.ecwang.cn)等關(guān)于我國(guó)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全現(xiàn)狀調(diào)查活動(dòng)已正式展開,歡迎參與!詳情點(diǎn)擊:http://www.kongzhi.cn/news/ndetail.php?p=35414
北京市公安局海淀分局備案號(hào):11010802023656號(hào)