杨帆 崔峥 张雷
2010年伊朗爆发的“震网”病毒,感染了
包括4万5千多个工控系统网络。这次事件给我们敲响了警钟,说明大型关键工控系统的应用企业在保障工控系统信息安全方面仍然存在着严重漏洞,这对于工业生产运行和国家经济安全构成了巨大威胁。在此形势下,工信部曾于2011年下发了《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)。《通知》指出,从相关政府部门到各地区,包括核设施、制造业、钢铁、化工、石油石化、电力等关系国计民生的重要领域都应当充分认识到工控系统信息安全的重要性和紧迫性。
我国工控信息安全现状
国家政策及标准
为加强工控系统信息安全的保障工作,我国政府先后出台了《关于开展重要工业控制系统基本情况调查的通知》(工信厅协函〔2011〕1003号)、国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)等文件,发布了GB/T 26333-2010《工业控制网络安全风险评估规范》、GB/T 18272-2000《工业过程测量和控制系统评估中系统特性的评定》等推荐性的国家标准。由于工控系统涉及的行业众多,各行业具体的管理要求和系统设备的工作环境不尽相同,因此,必须深入研究我国工业控制系统的行业特点和需求,才能有针对性地制定相关行业的工业控制系统信息安全保障标准。
相关机构及厂商
在工业控制系统信息安全机构保障方面,国家发改委曾在2012年启动了工业控制系统安全技术国家工程实验室的建设工作,实施工业控制系统安全模拟平台建设,研究工业控制系统的安全防护策略及机制,开展工业控制系统监控软件、嵌入式软件、现场总线等方面的安全渗透与对抗、脆弱性检测、安全评估、安全防护等关键技术研究。结合典型行业的工程应用与生产落实,研究推动工业控制系统信息安全标准体系的建立,研发用于保护工业控制系统的核心技术产品,为国家重要基础设施的工业控制系统安全管理和防护提供技术支撑。
同时,我国成立了全国工业过程测量和控制标准化技术委员会(SAC/TC 124),并持续跟踪国际上工业过程测量、控制和自动化标及准化技术委员会(IEC/TC65)的信息安全标准化活动。2009年SAC/TC124获得工信部批准,正式立项启动3项IEC 62443国际标准转化为行业标准的制定工作,并成立工业控制系统信息安全起草工作组。为便于工业控制系统信息安全评估和验收的实际操作,SAC/TC124又在2011年启动了两项国家标准(“工业控制系统信息安全第一部分:评估规范”和“工业控制系统信息安全第二部分:验收要求”)的制定(现阶段标准尚未发布),与国外同步开展相关工作,力求在国际标准化工作中争取主动,保障我国工业控制系统信息安全。
在国内,一些优秀的安全厂商,如绿盟科技、三零卫士、中科网威、力控华康、和利时集团等,也在保障工业控制系统信息安全方面进行了一些积极探索和有益尝试。
比对国外防护顶层设计差距
目前,国内外都已经纷纷开始着手工控系统信息安全领域内的分析和研究工作。如图1所示,美国与欧盟在工控系统信息安全防护方面的起步较早,并且已经初步形成了包含计划、标准、指南、计划在内的涉及多个方面的规范化理论体系。与之相比,我国的研究进展还存在着较多不足,图2列举了目前我国与国外在工控系统信息安全方面的对比。
从世界范围来看,由于美国的工业信息化程度较高并且曾多次遭受恐怖主义的威胁,因此美国从国家安全战略层面出发制定了一系列政策措施来保障工控系统信息安全事业的推进落实。其中2002年7月,布什政府正式公布了美国历史上第一份《国土安全国家战略》报告,对美国国土安全政策作出了全局性、战略性规划。该报告第一次将国土安全涉及的任务归为六大类,明确提出要保护关键基础设施和重要资产,确保网络安全。随后,又颁布了《网络空间保障国家安全战略》、《反恐国家战略》和《关键基础设施与关键资产物理保障国家战略》等一系列涉及基础设施的安全保障政策,从而使工控系统信息安全上升到了国家安全战略层面,并做到“有法可依”。
相比较而言,我国在此方面的相应的政策制定较少,目前含有“工控系统信息安全”的法律法规或政策规章仅有2011年工信部《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)和国务院的《关于大力推进信息化发展和切实保障信息安全的若干意见》两个文件,并且两个文件对工控系统信息安全仅仅从认识、要求、制度、组织领导等宏观层面予以说明,没有细化深入指出具体的应对措施和技术指标,并且法律约束相对较弱。1993年颁布的《中华人民共和国国家安全法》未涉及工业控制系统信息安全内容,相关法律政策有待加强。
比对国外其他防护措施差距
主管部门
对于工控系统信息安全的主管部门,美国主要以国土安全部为代表的职能部门来负责,整合了联邦调查局、国防部、能源部、司法部等多个具体的职责部门,各部门间相互协作,各司其职。工控信息安全涉及多个领域,目前我国还没有专门的针对工控系统信息安全的总体主管部门,仅由工信部进行工作指导协调,各行业主管部门进行各行业的监管,相对而言缺少国家层面的整体部署及协调工作,党的十八届三中全会决定设立的国家安全委员会有望填补这个空缺。
专项计划
美国发布了《国家基础设施保护计划》(National Infrastructure Protection Plan,NIPP),并在随后的一段时间内陆续发布了NIPP针对各个领域的详细计划,为美国各级政府机关和私营部门该如何管理国家重要基础设施和关键资源提供了明确的职责划分和实施框架。建立了涵盖能源、电力、交通等14个行业的工控系统安全协调工作机制,包括建立优先级、目标和需求的协同方法,使各行业工控系统信息安全做到“分步骤、分阶段、以此推进”。我国目前尚无此类计划。
标准指南
标准是工控系统信息安全“有据可循”的主要内容,若无标准,则会陷入无处下手的尴尬境地。美国国家标准与技术研究院发布的《工控系统安全指南》(SP800-82)、美国国土安全部与英国国家基础设施保护中心(CPNI)联合发布的《工控系统安全评估指南》和《工控系统远程访问配置管理指南》都为工控系统信息安全评估及安全管理提供了具体指导,具有明确的定义及操作方法,使用对象涵盖了企业的各类人员,具有可操作性。相对而言,适用于我国的相关标准暂时还未正式发布,相关的标准正在紧锣密鼓地制定之中。
科研支撑
除了有政策、部门、计划、标准之外,美国还有专门的技术支撑机构,如成立的工控系统应急响应小组(ICS-CERT)及工控系统联合工作组(ICS-JWG)两个工作组。这两个小组全面负责与工控系统信息安全相关的安全问题,开展工控系统信息安全事件的预防、发现、预警和协调处置等工作,维护美国工控系统联网环境的安全、保障其基础设施工业的安全平稳运行。
在技术研究领域,美国拥有爱达荷国家实验室(Idaho National Laboratory,INL)、桑地亚国家实验室(Sandia National Laboratories,SNL)等诸多专门从事工控系统信息安全的国家及实验室,从人力、物力、财力等方面全面支持有关工控信息安全的理论技术研究,为后续提供可持续的发展保证。
此外,美国国家Idaho实验室已经建立了国家工控系统测试床(National SCADA Test Bed),其中模拟了大型工业控制设备的运行,并进行了大量测试。
而这些有关的技术支撑项目、科学实验研究和模拟平台建设,我国都还处在尚未明确或计划建设中。
综上所述,我国的工业控制系统信息安全工作现在仍然处于探索与起步阶段,整体上的工作机制尚未完全建立,厂商、研究机构及企业各自为政,在国家层面缺乏系统化、体系化的计划规范。因此,需要从全局的角度出发,找准着眼点,通过制定策略、顶层设计、确立标准、完善体系、探索方法、健全机制等手段,坚持以“政府主导、企业主体、机构支撑”为原则,通过多方协作、共同努力,共同推进工业控制系统信息安全工作,保障工业基础设施安全稳定运行。
(作者单位:陕西省网络与信息安全测评中心)