今日頭條
官方微信
官方抖音
資訊頻道 
華東理工大學(xué)教授、博士生導(dǎo)師 林家駿
工業(yè)控制系統(tǒng)信息安全事件現(xiàn)狀與趨勢(shì)
據(jù)權(quán)威工業(yè)安全事件信息庫(kù)(Repository of Industrial SecurityIncidents, RISI)統(tǒng)計(jì),截至2011年10月,全球已發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件。 對(duì)這些數(shù)據(jù)進(jìn)行分析我們得出以下趨勢(shì):全行業(yè)覆蓋的趨勢(shì)、日益增多的趨勢(shì)及國(guó)家經(jīng)濟(jì)越發(fā)達(dá)安全事件越多的趨勢(shì)。
我國(guó)工控系統(tǒng)也面臨著嚴(yán)重的安全風(fēng)險(xiǎn),主要體現(xiàn)在:
(1)生產(chǎn)工藝設(shè)計(jì)人員和控制系統(tǒng)設(shè)計(jì)人員缺乏信息安全意識(shí);
(2)系統(tǒng)體系架構(gòu)缺乏基本的安全保障:• 網(wǎng)絡(luò)本身“一馬平川”• 缺乏最基本的數(shù)據(jù)流向控制與管理• 無(wú)線(xiàn)信道保護(hù)不足• 現(xiàn)場(chǎng)總線(xiàn)協(xié)議普遍缺乏基本的安全機(jī)制• 遠(yuǎn)程現(xiàn)場(chǎng)設(shè)備物理安全
(3)系統(tǒng)外聯(lián)缺乏風(fēng)險(xiǎn)評(píng)估和必要的信息安全保障措施;
(4)關(guān)鍵與核心設(shè)備信息安全保障不足;
工業(yè)控制系統(tǒng)漏洞攻擊現(xiàn)狀與趨勢(shì)
“震網(wǎng)”病毒事件為全球關(guān)鍵基礎(chǔ)設(shè)施核心要害系統(tǒng)安全問(wèn)題敲響了警鐘,分析工控系統(tǒng)所遭受的漏洞和攻擊,可以看出工業(yè)控制系統(tǒng)漏洞攻擊正向著簡(jiǎn)單控制器受攻擊增大、利用網(wǎng)絡(luò)協(xié)議進(jìn)行攻擊、專(zhuān)業(yè)攻擊人員進(jìn)行攻擊、利用病毒進(jìn)行攻擊、工控信息系統(tǒng)漏洞挖掘與發(fā)布同時(shí)增長(zhǎng)的趨勢(shì)發(fā)展。同時(shí),入侵途徑可以通過(guò)辦公網(wǎng)絡(luò)、互聯(lián)網(wǎng)或者是虛擬的專(zhuān)網(wǎng)、撥號(hào)連接、“可信”的第三方連接、無(wú)線(xiàn)網(wǎng)絡(luò)、公共通信設(shè)施等。如果現(xiàn)場(chǎng)設(shè)備不介入任何網(wǎng)絡(luò),是一個(gè)“孤島”的狀態(tài),仍有可能受到通過(guò)可移動(dòng)存儲(chǔ)和接入設(shè)備所傳播的惡意軟件的攻擊。
我國(guó)工控系統(tǒng)中大量存在漏洞和隱患,包括:系統(tǒng)體系結(jié)構(gòu)存在共性安全隱患、工控系統(tǒng)自身存在安全漏洞、工控系統(tǒng)運(yùn)行所處的系統(tǒng)和環(huán)境存在安全漏洞和隱患。隨著信息化建設(shè)深入,工控系統(tǒng)開(kāi)始同生產(chǎn)管理、ERP系統(tǒng)、電子商務(wù)系統(tǒng)等相連并逐漸納入到統(tǒng)一的信息系統(tǒng)中,但在此過(guò)程中相關(guān)分區(qū)隔離等信息安全問(wèn)題并未得到充分認(rèn)識(shí)和重視。隨著工業(yè)控制系統(tǒng)技術(shù)的發(fā)展,多工控系統(tǒng)集成、通過(guò)互聯(lián)網(wǎng)/內(nèi)聯(lián)網(wǎng)/外聯(lián)網(wǎng)進(jìn)行Web訪(fǎng)問(wèn)等方式開(kāi)始逐漸流行,工控系統(tǒng)直接暴露的風(fēng)險(xiǎn)也不斷增加。工控系統(tǒng)中采用的工業(yè)協(xié)議中存在缺乏加密和認(rèn)證等信息安全考慮。
根據(jù)國(guó)家漏洞庫(kù)(CNNVD)顯示,我國(guó)各工業(yè)領(lǐng)域中所使用的眾多國(guó)內(nèi)外相關(guān)工控系統(tǒng)存在漏洞。
工業(yè)控制系統(tǒng)信息安全對(duì)策的現(xiàn)狀與趨勢(shì)
當(dāng)前,美國(guó)、歐盟都從國(guó)家戰(zhàn)略的層面在開(kāi)展各方面的工作,積極研究工業(yè)控制系統(tǒng)信息安全的應(yīng)對(duì)策略,我國(guó)也在政策層面和研究層面在積極開(kāi)展工作,但我國(guó)工業(yè)控制系統(tǒng)信息安全工作起步晚,總體上技術(shù)研究尚屬起步階段,管理制度不健全,相關(guān)標(biāo)準(zhǔn)規(guī)范不完善,技術(shù)防護(hù)措施不到位,安全防護(hù)能力和應(yīng)急處理能力不高,這些問(wèn)題都威脅著工業(yè)生產(chǎn)安全和社會(huì)正常運(yùn)作。我國(guó)工控信息安全的當(dāng)務(wù)之急包括:
(1)有關(guān)政府部門(mén)發(fā)布相關(guān)法令法規(guī)深入研究我國(guó)工業(yè)控制系統(tǒng)的行業(yè)特點(diǎn)和需求,有針對(duì)性地制定相關(guān)行業(yè)信息安全保障應(yīng)用行規(guī)。
(2)研究我國(guó)工業(yè)信息安全標(biāo)準(zhǔn)體系建立標(biāo)準(zhǔn)之后,就可以開(kāi)展工業(yè)控制系統(tǒng)信息安全評(píng)估的制定工作,健全工業(yè)信息安全評(píng)估認(rèn)證機(jī)制,建立有效的工業(yè)控制系統(tǒng)信息安全應(yīng)急系統(tǒng),形成我國(guó)自主的工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)和管理體系。
(3)對(duì)工業(yè)控制系統(tǒng)進(jìn)行專(zhuān)業(yè)化的漏洞檢測(cè)前提是不可影響控制系統(tǒng)的穩(wěn)定、可靠與安全運(yùn)行,否則容易引起不必要的災(zāi)害事故。
(4)加快研發(fā)工業(yè)控制系統(tǒng)安防的技術(shù)和產(chǎn)品
(5)工業(yè)控制系統(tǒng)信息安全人才的培養(yǎng)
北京市公安局海淀分局備案號(hào):11010802023656號(hào)