“安全问题是国家乃至全球的大事,针对自动化领域,最常见的安全问题就是工业控制系统的信息安全。”
在日前的“2014工业控制系统信息安全年”大型主题系列活动——北京站活动中,中国自动化学会副理事长、清华大学自动化系主任周东华教授如是强调说。
事实上,我国目前也在遭受着工业控制系统信息安全漏洞的困扰。据中国电子技术标准化研究院信息安全研究中心副主任范科峰博士的调研来看,从2003年到现在,我国每年都有工业控制系统的信息安全事件发生,形势非常严峻。
在这场由中国自动化学会专家咨询工作委员会主办、工业控制系统信息安全产业联盟(ICSISIA)协办、主题为“环保与安全”的活动中,有来自全国30个省市自治区的百余名代表出席,他们从各自的专业领域,为我国工控系统的信息安全发展纷纷支招。
信息安全危机四伏
据报道,权威工业安全事件信息库RISI的统计显示,截至2011年10月,全球已发生200余起针对工业控制系统的攻击事件。而2001年后,通用开发标准与互联网技术的广泛使用,使得针对工业控制系统(ICS)的病毒、木马等攻击行为大幅度增长,结果导致整体控制系统的故障,甚至恶性安全事故,对人员、设备和环境造成严重的后果。比如伊朗核电站的震网病毒等事件,给全球工业界控制系统的信息安全问题都敲响了警钟。
“目前我国工控系统的信息安全形势非常严峻,而近年来的工控安全事件也逐渐增加,严重影响了国家尤其是基础设施领域的信息安全。”在中国电子技术标准化研究院信息安全研究中心副主任范科峰博士看来,我国当前工控系统的信息安全形势不容乐观,工控领域的安全可靠性问题比较突出。
他介绍说,美国、欧洲已经把工控安全和国家的基础设施安全统一列为国家的安全战略。而美国政府更是高度重视工控安全,采取很多措施来保证基础设施的工控信息安全,同时在国家工控系统相关的法规战略、纵深防御战略、以及评估等方面都做了很多工作。
而国内的状况是,工控系统的核心基础设备依赖国外产品,嵌入式软件、总线协议、工控软件等核心技术都受制于国外,由于我国的工控产业综合竞争力不强,工控系统面临的威胁比较多,而且漏洞频发。
“我们通过调研了解到,工控系统很多都缺乏比较完善的、安全的架构、设计,包括风险评估和基本的安全保证能力都比较缺乏,工控系统的信息安全还缺乏正式发布的、完善的标准等。”范科峰表示。
安全意识亟待提高
在会议上,京力控华康科技有限公司副总经理龚亮华做了《工控信息安全形势分析与风险评估》的报告,他认为,很多的信息安全问题都是由于管理不善造成的,技术只是亡羊补牢的手段,因此,“企业最应该做的就是提高安全意识,采用更加完善的管理手段。”
他表示,构建满足工业控制系统的全厂级风险识别模型,除了需要细化工业控制系统的风险因素,还需要建立基于工业控制系统的安全管理域,实施分等级的基线建设,兼顾包括终端与链路、威胁与异常、安全与可用性等综合因素的功能考虑。
而带来《Havex病毒的“X”分析——新一代的工控网络APT对抗》报告的匡恩网络科技总裁兼首席执行官孙一桉,也认为,要真正解决信息安全对抗体系,必须要有前沿的技术和体系的创新,而我国现今的工业控制信息安全产业链是非常不完整的,因此我们更要提倡整体的解决方案。