隨著工業(yè)以太網(wǎng)的快速發(fā)展,工控系統(tǒng)網(wǎng)絡(luò)信息安全問(wèn)題日漸顯露。以太網(wǎng)可能會(huì)遇到包括病毒感染、非法操作等網(wǎng)絡(luò)安全隱患;而軟件的漏洞、錯(cuò)誤配置或者網(wǎng)絡(luò)管理的失誤也會(huì)造成工控網(wǎng)絡(luò)異常;另外,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接時(shí)缺乏安全邊界控制,也是常見(jiàn)的安全隱患。
2010年的震網(wǎng)病毒就是例證,最近的“棱鏡門(mén)”事件又再次為信息網(wǎng)絡(luò)安全敲響了警鐘,對(duì)此,我們應(yīng)當(dāng)如何應(yīng)對(duì),這些安全隱患究其根底原因何在?另外,工信部451號(hào)文件(即《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》)已出臺(tái)近兩年,為何工控網(wǎng)絡(luò)信息安全依舊得不到應(yīng)有的重視?最重要的是,隨著智能電網(wǎng)的接入環(huán)境變得更加復(fù)雜,電網(wǎng)調(diào)度系統(tǒng)以及電力通信網(wǎng)絡(luò)的信息安全又當(dāng)如何保障?帶著這些疑問(wèn),記者采訪(fǎng)了北京中科網(wǎng)威信息技術(shù)有限公司(下稱(chēng)中科網(wǎng)威)的總裁助理殷國(guó)強(qiáng)。
工控信息網(wǎng)絡(luò)缺乏安全設(shè)計(jì) “打補(bǔ)丁”治標(biāo)不治本
作為國(guó)內(nèi)最早從事工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全信息安全研究的安全廠(chǎng)商。由中科網(wǎng)威研制推出的工業(yè)防火墻、網(wǎng)絡(luò)資產(chǎn)安全風(fēng)險(xiǎn)異常監(jiān)測(cè)平臺(tái)的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品以及“網(wǎng)威工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全時(shí)空防御模型”解決方案已被廣泛應(yīng)用于電力、軍工、工控等領(lǐng)域。對(duì)于工控信息網(wǎng)絡(luò)安全存在的諸多安全隱患,殷國(guó)強(qiáng)表示,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全是一個(gè)新的課題。根據(jù)我們的研究,目前我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題頻發(fā)原因主要有兩方面,一方面是管理,另一方面是技術(shù)!
在殷國(guó)強(qiáng)看來(lái),管理上,目前工控網(wǎng)絡(luò)信息安全主要有五個(gè)方面的問(wèn)題。一是組織不健全,F(xiàn)有的工業(yè)自動(dòng)化管理體系和信息安全管理體系尚未完成有機(jī)結(jié)合,難以有效應(yīng)對(duì)工業(yè)控制網(wǎng)絡(luò)安全挑戰(zhàn);二是工業(yè)信息安全管理制度缺失。沒(méi)有可以參照的安全標(biāo)準(zhǔn)規(guī)范,缺乏經(jīng)過(guò)實(shí)踐檢驗(yàn)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度流程,從而難以有效實(shí)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全規(guī)范管理;三是相關(guān)人員缺乏安全培訓(xùn)。
面對(duì)全新的課題,從管理人員到一線(xiàn)操作人員普遍缺乏對(duì)工業(yè)信息安全的認(rèn)識(shí),更談不上有效的針對(duì)性培訓(xùn),一旦出現(xiàn)問(wèn)題,往往無(wú)力應(yīng)對(duì);四是監(jiān)管執(zhí)行不力。由于組織不健全、安全管理標(biāo)準(zhǔn)和制度缺失,加上技術(shù)方面原因,直接導(dǎo)致監(jiān)管措施難以落實(shí),從而使高層管理人員對(duì)安全風(fēng)險(xiǎn)難以把控;五是技術(shù)措施不到位。在缺乏標(biāo)準(zhǔn)規(guī)范的情況下,無(wú)法安排有效的技術(shù)措施,也無(wú)法確保技術(shù)措施真正發(fā)揮作用。
同時(shí)在技術(shù)上也存在一系列問(wèn)題,首先是缺乏對(duì)攻擊手段的研究和工業(yè)信息安全防護(hù)及檢測(cè)手段,對(duì)攻擊手段的一無(wú)所知直接造成了防護(hù)的無(wú)從下手。其次,缺乏對(duì)技術(shù)設(shè)備的控制,我國(guó)的工業(yè)控制系統(tǒng)中的關(guān)鍵設(shè)備95%以上都是進(jìn)口的,對(duì)于其內(nèi)部結(jié)構(gòu)、組成、隱藏功能都缺乏了解,也沒(méi)有有效的技術(shù)和法律控制措施,很難保證沒(méi)有暗藏的后門(mén)、病毒、木馬、邏輯炸彈等破壞手段。最重要的是,缺乏信息安全設(shè)計(jì),沒(méi)有安全模塊設(shè)計(jì)就談不上安全保障。據(jù)殷國(guó)強(qiáng)透露,目前,所謂的安全防護(hù)大都是通過(guò)“打補(bǔ)丁”的方式進(jìn)行,這種方式可以暫時(shí)取得防護(hù)效果,但是從長(zhǎng)遠(yuǎn)來(lái)看,治標(biāo)不治本,或許還會(huì)帶來(lái)更大的風(fēng)險(xiǎn)。
政策與利益脫節(jié) 企業(yè)領(lǐng)導(dǎo)不帶頭造成下游無(wú)力
近年來(lái),工控系統(tǒng)網(wǎng)絡(luò)存在的諸多安全隱患也引起了國(guó)家相關(guān)部門(mén)的重視。2011年,工信部下發(fā)了451號(hào)文件《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,其中明確規(guī)定加強(qiáng)重點(diǎn)領(lǐng)域工業(yè)控制信息系統(tǒng)安全管理,文件要求須斷開(kāi)工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接;工控系統(tǒng)組網(wǎng)時(shí)要同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施;另外,應(yīng)加強(qiáng)對(duì)技術(shù)服務(wù)的信息安全管理,在安全得不到保證的情況下禁止采取遠(yuǎn)程在線(xiàn)服務(wù)。
但據(jù)記者了解,目前,上述要求落實(shí)情況很不樂(lè)觀(guān),很多企業(yè)尚未達(dá)到要求,很多解決方案還一直停留在理論階段,無(wú)法大范圍推廣實(shí)施。對(duì)此,殷國(guó)強(qiáng)說(shuō):“理論研究是可以理解的,而且必須有足夠的理論研究才能在實(shí)踐中加以運(yùn)用,否則,遇到問(wèn)題手足無(wú)措也會(huì)造成極大的浪費(fèi)甚至得不償失。但是,我們不能只停留在理論層面上,只一味高喊要重視工控網(wǎng)絡(luò)信息安全行動(dòng)上卻無(wú)動(dòng)于衷,這樣止步不前終究不會(huì)有進(jìn)步。而且理論實(shí)踐本就是辯證統(tǒng)一的關(guān)系,理論指導(dǎo)實(shí)踐,實(shí)踐驗(yàn)證理論,只有兩者相結(jié)合才會(huì)有最好的結(jié)果!
據(jù)了解,中科網(wǎng)威工業(yè)級(jí)防火墻在2012年通過(guò)了電力行業(yè)測(cè)評(píng),成為中國(guó)首家通過(guò)電力協(xié)議訪(fǎng)問(wèn)控制專(zhuān)業(yè)測(cè)評(píng)的工業(yè)級(jí)防火墻生產(chǎn)廠(chǎng)商。在殷國(guó)強(qiáng)看來(lái),取得這樣的成果,主要在于領(lǐng)導(dǎo)重視,董事長(zhǎng)兼總裁劉兵親自?huà)鞄浿髯スI(yè)安全產(chǎn)品的研發(fā)和推廣,這在目前是國(guó)內(nèi)同等規(guī)模企業(yè)中唯一的一家。領(lǐng)導(dǎo)的重視帶來(lái)資源的集中,中科網(wǎng)威在工業(yè)控制系統(tǒng)安全方面的理論研究、產(chǎn)品開(kāi)發(fā)、產(chǎn)品測(cè)試和對(duì)外合作都集中了全公司的技術(shù)力量,從而取得了長(zhǎng)足的進(jìn)步。據(jù)了解,現(xiàn)在很多企業(yè)的現(xiàn)狀是,只有主管工控的工程師重視信息安防,公司領(lǐng)導(dǎo)不重視,加上國(guó)家的相關(guān)政策大多只是一些指導(dǎo)意見(jiàn),跟企業(yè)沒(méi)有直接的利益掛鉤,造成了目前工控網(wǎng)絡(luò)信息安防下游無(wú)力的局面。事實(shí)上,不僅工控領(lǐng)域,我國(guó)的智能電網(wǎng)調(diào)度系統(tǒng)和電力通信網(wǎng)絡(luò)也遭遇了同樣的困境。
電網(wǎng)調(diào)度系統(tǒng)大而龐雜 信息安全須及早防護(hù)
電網(wǎng)調(diào)度系統(tǒng)大而龐雜,隨著我國(guó)同步電網(wǎng)規(guī)模的擴(kuò)大,智能化設(shè)備、新技術(shù)逐步廣泛應(yīng)用到電力系統(tǒng)網(wǎng)絡(luò)中,使智能電網(wǎng)的接入環(huán)境變得更加復(fù)雜,電網(wǎng)的安全性及電力通信網(wǎng)絡(luò)信息安全面臨新的挑戰(zhàn)。據(jù)殷國(guó)強(qiáng)介紹,中科網(wǎng)威在電網(wǎng)的信息安全防護(hù)產(chǎn)品方面做出了極大努力。
“首先,我們加強(qiáng)了對(duì)電網(wǎng)攻擊技術(shù)手段的研究;其次,在研究的基礎(chǔ)上開(kāi)發(fā)了適合電力調(diào)度網(wǎng)的電力專(zhuān)用防火墻、風(fēng)險(xiǎn)