工業(yè)控制:工業(yè)用戶工控信息安全意識亟待提高
http://www.zouyunfu.com導(dǎo)讀:
嘉賓:
薛一波 清華大學(xué)信息技術(shù)研究院研究員
胡昌振 北京理工大學(xué)兩化融合發(fā)展研究院副院長、軟件學(xué)院副院長
王文海 浙江大學(xué)信息學(xué)院控制系研究員
劉娜 北京石油化工學(xué)院系主任
“目前來看工業(yè)用戶對信息安全問題的重視程度并不高。企業(yè)領(lǐng)導(dǎo)只重視生產(chǎn)和效率,而忽視安全,特別對信息安全,認(rèn)為是“既麻煩,又白花錢”。”清華大學(xué)信息技術(shù)研究院研究員薛一波日前對中國工業(yè)報記者強(qiáng)調(diào)說。
“一旦工業(yè)控制系統(tǒng)遭到信息攻擊或破壞,其影
導(dǎo)讀: 隨著信息化與自動化的融合,工業(yè)控制系統(tǒng)及產(chǎn)品越來越多的與企業(yè)管理網(wǎng)、互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,其系統(tǒng)本身的漏洞也在頻繁曝光,“信息安全問題越來越突出”。但目前急迫需要解決的問題之一是,增強(qiáng)工業(yè)用戶對信息安全問題的重視程度。本文采訪了工業(yè)控制信息安全領(lǐng)域內(nèi)部專家,聽聽他們對該行業(yè)直觀的感受和迫切的要求。
嘉賓:
薛一波 清華大學(xué)信息技術(shù)研究院研究員
胡昌振 北京理工大學(xué)兩化融合發(fā)展研究院副院長、軟件學(xué)院副院長
王文海 浙江大學(xué)信息學(xué)院控制系研究員
劉娜 北京石油化工學(xué)院系主任
“目前來看工業(yè)用戶對信息安全問題的重視程度并不高。企業(yè)領(lǐng)導(dǎo)只重視生產(chǎn)和效率,而忽視安全,特別對信息安全,認(rèn)為是“既麻煩,又白花錢”。”清華大學(xué)信息技術(shù)研究院研究員薛一波日前對中國工業(yè)報記者強(qiáng)調(diào)說。
“一旦工業(yè)控制系統(tǒng)遭到信息攻擊或破壞,其影響不僅是控制系統(tǒng)性能下降,而且將造成人員傷亡、環(huán)境災(zāi)難,甚至?xí)<肮娚詈蛧野踩!?/P>
隨著信息化與自動化的融合,工業(yè)控制系統(tǒng)及產(chǎn)品越來越多的與企業(yè)管理網(wǎng)、互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,其系統(tǒng)本身的漏洞也在頻繁曝光,“信息安全問題越來越突出”。那么,面對如此嚴(yán)峻的形勢我國目前在該領(lǐng)域主要面臨哪些挑戰(zhàn),未來的發(fā)展方向在哪?
近日,記者采訪了工業(yè)控制信息安全領(lǐng)域內(nèi)部專家,讓我們來聽聽他們對該行業(yè)直觀的感受和迫切的要求。
國內(nèi)工控安全形勢嚴(yán)峻
從1986年前蘇聯(lián)的天然氣管道事件到2010年震驚全球的伊朗核電站“震網(wǎng)”病毒事件,近年來黑客、不法組織紛紛把工業(yè)控制系統(tǒng)作為信息攻擊的目標(biāo)。
截至2010年10月,全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件,尤其是2011年后,針對工業(yè)控制系統(tǒng)的攻擊事件更是呈大幅度增長態(tài)勢。相關(guān)數(shù)據(jù)顯示,2011年國家信息安全漏洞共享平臺就收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長近10倍。
面對如此嚴(yán)峻的形勢,未來工控安全情形是否會好轉(zhuǎn)?清華大學(xué)信息技術(shù)研究院研究員薛一波對本報記者說,“未來工控系統(tǒng)安全漏洞和威脅還會繼續(xù)大幅增長,現(xiàn)階段越來越多的安全人員和黑客開始關(guān)注這一領(lǐng)域并開始尋找新的攻擊方法。”
對此,北京理工大學(xué)兩化融合發(fā)展研究院副院長、中國兵器工業(yè)信息安全與對抗技術(shù)研究中心主任,胡昌振也持同樣觀點(diǎn)。“工業(yè)控制系統(tǒng)的安全應(yīng)該引起全社會的高度關(guān)注。”他表示,隨著我國工業(yè)與信息化融合的推進(jìn),工業(yè)控制系統(tǒng)規(guī)模已經(jīng)擴(kuò)展到國家關(guān)鍵基礎(chǔ)設(shè)施行業(yè),涉及水電、交通、油氣、國防等。“一旦工業(yè)控制系統(tǒng)遭到信息攻擊或破壞,其影響不僅是控制系統(tǒng)性能下降、控制能力喪失,而且將造成人員傷亡、環(huán)境災(zāi)難,甚至?xí)<肮娚詈蛧野踩瑢?dǎo)致國家的戰(zhàn)略被動、受制于人。”胡昌振強(qiáng)調(diào)說。
傳統(tǒng)技術(shù)面臨挑戰(zhàn)
工業(yè)控制系統(tǒng)信息安全關(guān)乎經(jīng)濟(jì)發(fā)展、社會穩(wěn)定、國家安全、公眾利益。業(yè)內(nèi)專家紛紛表示,一旦工控系統(tǒng)遭到攻擊將對我國整個工業(yè)系統(tǒng)和社會產(chǎn)生巨大破壞力。
面對如此緊迫的形勢,這對承擔(dān)設(shè)備傳感與檢測、運(yùn)算與控制、執(zhí)行與驅(qū)動任務(wù)的工業(yè)控制系統(tǒng)提出了更多新的要求。然而,隨著控制裝備性能的提高、功能的豐富、尤其是基于廣域網(wǎng)絡(luò)的智能制造與智慧工廠,傳統(tǒng)的工控技術(shù)已不能夠支撐智能制造裝備、數(shù)字化生產(chǎn)線、數(shù)字化工廠、智慧工廠的快速發(fā)展。
“傳統(tǒng)的安全技術(shù)正面臨新的挑戰(zhàn)。”浙江大學(xué)信息學(xué)院控制系研究員王文海坦言,以防火墻、入侵檢測和病毒防護(hù)為主的傳統(tǒng)的控制系統(tǒng)信息安全技術(shù)僅從外部對企圖共享信息資源的用戶和越權(quán)訪問進(jìn)行封堵。對于來自于內(nèi)部的安全威脅,常規(guī)的信息安全技術(shù)很難發(fā)揮其功效,無法防止內(nèi)部信息的泄密、竊取、篡改和破壞。
在王文海看來,保證工業(yè)控制系統(tǒng)的可靠性、安全性(功能安全和信息安全)、實(shí)時性、可用性、可維護(hù)性,以及提供一個可信賴的安全可靠的工業(yè)測控系統(tǒng)已成為當(dāng)前十分迫切的需求。
據(jù)了解,工業(yè)控制系統(tǒng)面臨的威脅可分為兩種:系統(tǒng)威脅(工業(yè)控制系統(tǒng)作為一個信息系統(tǒng)所面臨的威脅)和過程威脅(工業(yè)控制作為一個過程所面臨的威脅)。
胡昌振告訴記者,傳統(tǒng)的信息安全要求實(shí)現(xiàn)保密性、完整性和可用性三大目標(biāo),工業(yè)控制系統(tǒng)信息安全則需要在協(xié)調(diào)實(shí)現(xiàn)這三大目標(biāo)的基礎(chǔ)上,突出系統(tǒng)的可用性。在他看來,“系統(tǒng)威脅的防御可借鑒傳統(tǒng)的信息安全成熟解決方案,過程威脅的防御則要強(qiáng)調(diào)系統(tǒng)可用性的保證,即在工業(yè)控制系統(tǒng)遭受攻擊時,對控制過程的影響不干擾控制任務(wù)的執(zhí)行。”
公民意識尚淺薄弱
業(yè)內(nèi)專家認(rèn)為,對于工業(yè)控制系統(tǒng)信息安全防御系統(tǒng),未來在安全防御機(jī)制以及體系構(gòu)建上還需不斷探索新的技術(shù)途徑。
但目前急迫需要解決的問題之一是,增強(qiáng)工業(yè)用戶對信息安全問題的重視程度。薛一波坦言,對于工業(yè)企業(yè)用戶來說,國內(nèi)用戶對工業(yè)網(wǎng)絡(luò)安全普遍缺乏專業(yè)知識、認(rèn)識不足、培訓(xùn)欠缺。公司領(lǐng)導(dǎo)對計算機(jī)和網(wǎng)絡(luò)的了解也不足,特別是對信息安全的危害性認(rèn)識還不夠。
“企業(yè)與政府監(jiān)督也存在問題。”薛一波表示,此前政府本身也沒有意識到信息安全的重要性;安全企業(yè)也沒有開發(fā)出、實(shí)用、已用的拳頭產(chǎn)品;科研機(jī)構(gòu)也沒有及時跟進(jìn)這一領(lǐng)域,提出好的解決方案。
“目前在工業(yè)控制領(lǐng)域懂工業(yè)控制系統(tǒng)又懂信息安全的技術(shù)人員還比較缺乏”。
北京石油化工學(xué)院系主任劉娜對記者說,在工業(yè)控制系統(tǒng)領(lǐng)域,由于企業(yè)都是分部門管理,嚴(yán)重存在負(fù)責(zé)信息安全的人員了解信息安全相關(guān)知識,但不了解工業(yè)控制系統(tǒng);而負(fù)責(zé)操作和維護(hù)工業(yè)控制系統(tǒng)的人員對信息安全的了解又很有限。“如果按照現(xiàn)行管理方式,由信息安全部門負(fù)責(zé)工業(yè)控制系統(tǒng)的信息安全防護(hù),很可能出現(xiàn)害怕承擔(dān)影響生產(chǎn)的責(zé)任而使得工業(yè)控制系統(tǒng)信息安全防護(hù)策略流于形式。”
開發(fā)拳頭產(chǎn)品勢在必行
采訪中記者了解道,由于工業(yè)控制領(lǐng)域核心信息系統(tǒng)投資規(guī)模大,很多企業(yè)基礎(chǔ)網(wǎng)絡(luò)平臺、服務(wù)系統(tǒng)平臺、安全支撐平臺、控制和智能化系統(tǒng)都被國外產(chǎn)品壟斷。這些非自主產(chǎn)品具有封閉性強(qiáng)、操作復(fù)雜、技術(shù)資料短缺、持續(xù)升級維護(hù)能力差等特點(diǎn),國內(nèi)用戶很難組織二次開發(fā)或者自主生產(chǎn)。
因此,對于這部分進(jìn)口軟硬件核心部件,國內(nèi)用戶很難發(fā)現(xiàn)設(shè)備中是否存在“后門”、“陷阱”、“漏洞”、“軟件炸彈”、“隱蔽指令”等安全威脅。薛一波坦言,“一旦這些漏洞被用來對工業(yè)控制網(wǎng)絡(luò)實(shí)施攻擊,其后果將不堪設(shè)想。”
“近年來國內(nèi)很多信息安全事件均與此類漏洞有關(guān)。”薛一波表示,提高我國工控系統(tǒng)自主可控能力,已成為信息化建設(shè)的戰(zhàn)略需要,并且在一定程度上能夠起到堵塞信息安全漏洞、防患于未然的效果。
對此劉娜對記者表示,傳統(tǒng)的信息安全解決方案已不適用于工業(yè)控制系統(tǒng)。加強(qiáng)具有自主知識產(chǎn)權(quán)產(chǎn)品的研究與開發(fā),是解決我國軟硬件依賴進(jìn)口的重要方法與途徑。
在控制系統(tǒng)硬件平臺與軟件平臺中,掌握核心技術(shù)與自主知識產(chǎn)權(quán),包括分布式網(wǎng)絡(luò)操作系統(tǒng)、控制編程語言與實(shí)時運(yùn)行環(huán)境、分布式實(shí)時數(shù)據(jù)庫、可信計算、安全隔離網(wǎng)關(guān)等方面。
據(jù)記者了解,目前國家正在出臺一系列的政策、專項(xiàng)資金來鼓勵國內(nèi)企業(yè)加大研發(fā),突破技術(shù),掌握知識產(chǎn)權(quán),推出自己的工業(yè)控制領(lǐng)域的信息安全產(chǎn)品。
上一條:工業(yè)4.0:打造工業(yè)4.0,德國提速數(shù)字化建設(shè)
下一條:機(jī)器人:郭臺銘:富士康開發(fā)醫(yī)用機(jī)器人為盡社會責(zé)任
