工業(yè)控制系統(tǒng)信息安全(以下簡稱“工控安全”)是實施制造強國和網(wǎng)絡強國戰(zhàn)略的重要保障,尤其是“中國制造2025”的不斷推進過程中,兩化融合與物聯(lián)網(wǎng)技術發(fā)展,使得互聯(lián)網(wǎng)在工業(yè)領域的應用迅速加深。信息技術廣泛應用于能源、電力、交通、制造等眾多領域,為傳統(tǒng)工業(yè)控制系統(tǒng)優(yōu)化升級提供了重要的支撐。
與此同時,工控安全問題也在不斷涌現(xiàn):2010年伊朗布什爾核電站遭到“震網(wǎng)”病毒攻擊,致使1/5的離心機報廢;2016年烏克蘭電網(wǎng)系統(tǒng)遭黑客攻擊,數(shù)百戶家庭供電被迫中斷,網(wǎng)絡攻擊造成關鍵基礎設施的嚴重破壞,這也再次警示人們工業(yè)控制系統(tǒng)的薄弱。
如果說以上例子離我國還較為遙遠,那么,2017年5月份開始席卷全球的“永恒之藍”勒索病毒則波及全球150多個國家和地區(qū),包括我國在內的公安網(wǎng)、石油系統(tǒng)、銀行、教育網(wǎng)、校園網(wǎng)及多所大學的計算機系統(tǒng)遭到感染,就在我們身邊。在這次事件中讓人們感到意外的是,一向自詡封閉、安全無虞的工業(yè)互聯(lián)網(wǎng)也慘遭殃及,并且危害尤甚!
事實上,工業(yè)互聯(lián)網(wǎng)從來都不是絕對安全的,隨著越來越多的工控系統(tǒng)采用通用的網(wǎng)絡設備及軟件,工業(yè)系統(tǒng)的開放性成為事所必然。據(jù)賽迪智庫網(wǎng)絡空間研究所所長劉權(如圖1)介紹,隨著工業(yè)控制系統(tǒng)和互聯(lián)網(wǎng)的不斷融合,互聯(lián)網(wǎng)正快速滲透到工業(yè)控制系統(tǒng)的各環(huán)節(jié),能源、裝備制造等重要行業(yè)原有相對封閉的系統(tǒng)運行環(huán)境逐漸被打破,越來越多的工業(yè)控制系統(tǒng)可以通過互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等直接或間接地被訪問,不僅大大增加了針對工業(yè)控制系統(tǒng)的攻擊點,攻擊面和信任網(wǎng)絡邊界,也使得病毒、木馬等傳統(tǒng)網(wǎng)絡安全威脅通過互聯(lián)網(wǎng)逐漸向工業(yè)控制系統(tǒng)擴散,為工控安全保障工作帶來了新的挑戰(zhàn)。
來自于我國國家信息安全漏洞共享平臺(CNVD)的統(tǒng)計顯示,自2000年1月到2017年12月,所有的信息安全漏洞總數(shù)為101734個,其中工業(yè)控制系統(tǒng)漏洞總數(shù)為1437個。2017年CNVD統(tǒng)計的新增信息安全漏洞4798個,工控系統(tǒng)新增漏洞數(shù)351個,均比去年同期有顯著增長。
從漏洞危險程度上看,CNVD在2017年收錄的工控相關漏洞中,高危漏洞占比最高,達到53.6%。中危漏洞占比42.4%,其余4.0%為低危漏洞。
工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室主任陶耀東也表示,“與IT環(huán)境中的安全所強調的‘機密性、完整性和可用性’不同,OT(Operation Technology,操作技術)的安全講求的是‘可用性、完整性和機密性’,更加注重可用性?!?同時,陶耀東也表達了對工控安全形勢的擔憂,“我國的工控安全形勢將是越來越嚴峻的,特別是近年來勒索軟件的情況來看,黑產方面已經(jīng)開始構建對業(yè)務安全的一些商業(yè)模式,這種方式的成本很低,危害卻很大,而且還出現(xiàn)了勒索軟件與人的行為的結合,將勒索病毒放置到工業(yè)環(huán)境中,這種方式將非常危險,可能造成極其嚴重的后果?!?/p>
杭州安恒信息技術股份有限公司的工控安全專家則概括了目前工控安全的威脅與隱患:一是觀念與體制欠缺,企業(yè)領導普遍認為物理隔離就是安全,工控企業(yè)缺少合理的安全組織體系以及有效的制度保障;二是管理不全面,工控企業(yè)在工控安全缺乏統(tǒng)一設計,安全措施片面且沒有預見性;三是專業(yè)人員與技術欠缺,工控系統(tǒng)運維人員一般較少接受網(wǎng)絡安全相關的培訓,網(wǎng)絡安全意識和技術水平較為薄弱;四是工控設備自身的問題,諸如系統(tǒng)漏洞,高精尖的工控系統(tǒng)國產化水平較低,且普遍存在后門等;五是病毒威脅,大部分的工控主機未采取防病毒措施;六是人員的因素,工控系統(tǒng)存在合法授權人員有意無意將安全風險引入工控系統(tǒng)的情況,此外也有黑客入侵的風險。
工業(yè)控制系統(tǒng)從單機走向互聯(lián),從封閉走向開放,從自動化走向智能化。在生產力顯著提高的同時,工業(yè)控制系統(tǒng)也在經(jīng)受著日益嚴峻的安全威脅。
工控安全刻不容緩!
工控安全的風險引起了我國政府的高度重視,因此政府在政策層面出臺了一系列指導方針,給工業(yè)企業(yè)指明方向的同時也規(guī)定了相關的義務。
在2016年10月,工業(yè)和信息化部印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護指南》(以下簡稱《防護指南》),明確了工業(yè)企業(yè)開展工控安全防護工作的指導方針,《防護指南》堅持“安全是發(fā)展的前提,發(fā)展是安全的保障”,以當前我國工業(yè)控制系統(tǒng)面臨的安全問題為出發(fā)點,注重防護要求的可執(zhí)行性,從管理、技術兩方面明確工業(yè)企業(yè)工控安全防護要求。
2017年6月1日起正式施行的《中華人民共和國網(wǎng)絡安全法》更是以法律的形式明確了保障關鍵信息基礎設施運行安全。
工業(yè)和信息化部于2017年12月12日正式印發(fā)《工業(yè)控制系統(tǒng)信息安全行動計劃 (2018—2020)》(以下簡稱《行動計劃》),明確了未來三年工信部在工控安全方面的工作重點和方向,《行動計劃》通過定量和定性相結合的方式提出了2020年工業(yè)信息安全產業(yè)發(fā)展目標?!缎袆佑媱潯反_立了“堅持安全和發(fā)展同步推進”、“堅持落實企業(yè)主體責任”、“堅持因地制宜分類指導”以及“堅持技術和管理并重”基本原則,提出“加強防護技術研究、建立健全標準體系、落實企業(yè)主體責任、落實監(jiān)督管理責任”四項任務,從而實現(xiàn)產業(yè)“安全防護能力提升”和“安全管理水平提升”。
工控安全也是傳統(tǒng)信息安全問題在工業(yè)控制領域的延伸,綠盟科技工控安全部總監(jiān)王曉鵬(如圖2)表示,工業(yè)安全與信息安全是深度融合交織的,尤其是在“中國制造2025”的背景下,更多的IT技術已經(jīng)成為提升工業(yè)系統(tǒng)能力的重要組成部分,云計算、大數(shù)據(jù)等技術已經(jīng)成為提升工業(yè)企業(yè)能力的基礎性手段。
“從技術上講,我國工控安全防護技術相對落后,技術攻關有待進一步加強?!辟惖现菐炀W(wǎng)絡空間研究所所長劉權表示,我國的仿真驗證測試、在線監(jiān)測預警等共性技術保障能力建設尚處于起步階段,漏洞分析、芯片級硬件安全分析、態(tài)勢感知、協(xié)議分析等技術能力嚴重不足,難以及時發(fā)現(xiàn)和應對針對工控系統(tǒng)的網(wǎng)絡攻擊,這些領域需要我國盡快實現(xiàn)突破。
政策的提出和制度的建設需要真正落實到工業(yè)企業(yè)中去,企業(yè)工控系統(tǒng)網(wǎng)絡安全建設需在符合國家相關法律法規(guī)和行業(yè)規(guī)范的前提下進行,包括對原有工控系統(tǒng)的安全評測和安全防護。立思辰信息安全集團CTO胡浩強調了對合規(guī)的重視,“《防護指南》的出臺和頒發(fā)使合規(guī)成為一種趨勢和要求?!?/p>
圖2 綠盟科技工控安全部總監(jiān) 王曉鵬
圖3 北京天融信解決方案中心部門經(jīng)理 馬霄
對工控安全的建設絕不是孤立的、各自為戰(zhàn)的,需要中央到地方、政府、企業(yè)與安全廠商、研究機構等各方的聯(lián)動配合。
考慮到工業(yè)控制系統(tǒng)的獨立性及控制系統(tǒng)廠家間的壁壘,當前尚有較多安全問題需要依靠管理手段進行解決,天融信解決方案中心部門經(jīng)理馬霄(如圖3)強調了多方協(xié)同,“例如運維審計,源自工業(yè)控制領域與IT領域的差異,雙方之間的協(xié)議不同導致難以整合,類似方面在工控環(huán)境中仍有較多場景,其主要原因解決的核心在于技術的開源以及技術的積累,這一過程在工控安全領域仍有較長的路要走,還需要控制廠商、安全廠商及用戶的共同努力得以實現(xiàn)?!?/p>
而安全廠商與地方政府的合作在當前契機下也迅速增多,陶耀東表示,“《行動計劃》中提到的構建‘一網(wǎng)一庫三平臺’多級聯(lián)防聯(lián)動安全體系和培育龍頭骨干企業(yè),這對于360企業(yè)安全集團來說這是個難得的機遇,我們與很多地方經(jīng)信委合作,在技術上支持經(jīng)信委做相關方面的檢查,通過我們專業(yè)的工業(yè)安全的檢查工具來幫助經(jīng)信委發(fā)現(xiàn)當?shù)仄髽I(yè)在工業(yè)信息安全方面的問題?!?/p>
同時,綠盟科技在工業(yè)領域中也與一些地方政府建立起相關合作,王曉鵬表示,“我們會協(xié)助相關的機構完成相關的安全檢查工作和省內的工控系統(tǒng)的安全評估工作。例如某省經(jīng)信委如果需要對該省的典型工控系統(tǒng)進行安全摸底,綠盟科技作為主要的檢測執(zhí)行方,對包括水務、制藥、燃氣等工業(yè)設施的典型工控系統(tǒng)進行檢測,為經(jīng)信委摸底本身工控系統(tǒng)的安全現(xiàn)場提供有效支撐。”