工控系统安全问题如何面对?
通过几次典型工控安全事件回顾,不难发现其涉及层面相当广泛,从污水处理到核电站、石油勘探,再到军事武器系统。不论是哪一行业,都跟人们的生活密不可分。如今工控系统市场需求与日俱增,已经深入到社会方方面面,以我国为例,人口密度很大,一旦再遇上类似污水处理厂或者核电厂系统安全问题,对社会所造成的损失是难以想象的。那么面对危机四伏的工控系统,人们该如何面对呢?
1、提高警惕,增强工控系统安全防范意识
有句老话叫“大水不到先垒坝,疾病没来早预防”,这句话在工控系统安全防范中也同样适用。
直到现在,人们对于工控系统安全问题还没有足够重视。对于部分开发者来说,他们认为攻击者不懂他们的系统开,系统非常安全。实际上,工业环境中已广泛使用商业标准件和IT技术。市面上大部分通讯采用的是以太网和TCP/IP协议,即使是某些采用专门的加密技术的特殊环境,最终都被黑客所破解。
对于管理员而言,有的人会认为有了防火墙或防病毒软件就高枕无忧了。虽然有效管理的防病毒措施可以抵御大部分已知的恶意软件,但对更隐蔽或鲜为人知的病毒的防御还远远不够。而且,防病毒软件本身也存在弱点。在一次安全会议上,研究人员在对当时使用最多的7个防病毒软件进行防病毒能力挑战,有6个在2分钟内便被攻破,可见,防病毒软件也并非万无一失。
对于企业家而言,有人认为平白无故没有人会袭击自己的工厂或工控系统,但是诸多迹象表明,工控系统已经为黑客、不满的员工或犯罪组织等各类攻击者所关注。
2、发展技术,提升工业系统安全保障能力
工业系统安全保障工作将直接影响一个国家工业健康发展的命脉。因此发展技术手段,提升工业系统安全保障能力是工控系统安全技术研究和安全服务的重要条件。就企业层面看,应当提高自身技术实力。不管是预防用的防火墙、防病毒软件设置,还是当风险出现时的病毒处理能力,企业都应加大投入,加强工业信息安全关键核心技术研发和应用。
从国家层面看,重点支持仿真测试、在线监测等技术支撑平台建设,不断强化态势感知、风险预警、应急处置、检测评估等技术保障能力。以我国为例,工信部非常重视工业信息安全技术能力建设工作。在去年就认定了3家工业信息安全领域的实验室作为工业和信息化部重点实验室,分别为工业信息安全感知与评估技术实验室、工业互联网安全技术试验与测评实验室以及工业
控制系统安全标准与测评实验室,研究领域涵盖了工业信息安全态势感知技术、工业互联网安全技术、工业控制系统安全标准测评等方向,为工业信息安全相关技术研发与测试提供良好的科研环境。
3、政策引导,完善工业信息安全政策体系
作为信息产业发展的领导者,美国很早就十分重视工控系统的安全。2003年就将其视为国家安全优先事项;2008年则将工控安全列入国家需重点保护的关键基础设施范畴。2009年颁布《保护工业控制系统战略》,涵盖能源、
电力、
交通等14个行业工控系统的安全。
近年来,我国在加强工业控制系统信息安全管理上也做了不少努力。工信部出台了一系列政策文件,初步构建了我国工业信息安全政策体系。其中,2011年出台了《关于加强工业控制系统信息安全管理的通知》,该文件作为工业信息安全领域的首部专门政策,提出要建立测评检查和漏洞发布制度,明确了重点领域工业控制系统信息安全管理要求;2016年10月发布了《工业控制系统信息安全防护指南》,从管理、技术两个角度提出了安全软件选择与管理、配置等11项工控安全防护要求,为工控安全防护工作的展开提供了基本方法;2017年6月出台的《工业控制系统信息安全事件应急管理工作指南》,对工控安全风险监测、信息通报、应急处置等工作提出了具体管理要求,明确了责任分工、工作流程和保障措施,为工控安全事件应急管理与处置工作提供了依据与方法。