浙江省工业控制系统安全现状分析

2018-02-27 21:38李富勇张君尹肖栋赵一凡方源
计算机时代 2018年2期
关键词:安全防护信息安全现状

李富勇+张君+尹肖栋+赵一凡+方源

摘 要: 在“两化”深度融合和物联网快速发展的背景下,工业控制信息系统的安全问题越来越受到政府和各个工控领域的重视。文章阐述了当前工业控制系统的安全形势,对浙江省工业控制系统进行在线监测态势分析及漏洞分析,对浙江省工业控制系统关键基础设施进行分析汇总,对浙江省部分地市重点工控企业进行现场风险评估,并在此基础上对工业控制系统的安全防护提出了建议。

关键词: 工业控制系统; 信息安全; 现状; 安全防护

中图分类号:TP309 文献标志码:A 文章编号:1006-8228(2018)02-52-03

Abstract: Under the background of deep integration of information technology and industrialization, and rapid development of Internet of Things, the security problem of industrial control information system is paid more and more attention by the government and various industrial control fields. This paper expounds the current information security situation of industrial control system, analyzes the information security of industrial control system in Zhejiang province, summarizes the key infrastructure of industrial control system in Zhejiang province, and the risk assessment is carried out for some enterprises in Zhejiang province. And on this basis, the paper gives some suggestions of security protection in industrial control system.

Key words: industrial control system; information security; status; security protection

0 引言

《浙江省人民政府關于深化制造业与互联网融合发展的实施意见》中明确指出我省要以“互联网+”与“中国制造2025”为契机,加快“两化”深度融合,以智能制造为主攻方向,助推“浙江制造”抢占未来产业制高点,使浙江成为国内领先、有国际影响力的智造大省。随着物联网技术的迅猛发展,工业控制系统已由原来相对封闭、稳定的环境变得更加开放、多变。

乌克兰电网事件后,世界各国已经深刻认识到黑客攻击、网络病毒给工业控制系统、国家关键基础设施带来的危害。

工业控制系统是智能制造的中枢神经,随着工业互联网的发展、智能设备在各领域的广泛使用,工业控制系统的脆弱性在物联网世界中暴露无遗,传统工业控制系统的潜在安全性正在遭受严重的挑战。工业互联网的发展网络是基础,数据是核心,安全是前提。工业控制系统的安全是智能制造顺利推进的前提保障,已经成为政府和各个工控领域必须要面对的重要问题[1-5]。

1 国内外工业控制系统安全发展现状

工业控制系统广泛应用于我国电力、水利、污水处理、石油化工、冶金、汽车、航空航天等多领域现代工业,且随着国务院“中国制造2025”战略的提出,工业控制系统网络安全已经成为中国制造的重要组成部分。工业控制系统网络安全风险所带来的,不再仅仅是信息泄露、信息系统无法使用等“小”问题,而可能会对社会安全稳定,经济健康发展造成不可估量的影响。

通过分析国家信息安全漏洞库(CNNVD)的数据,得知近年来工业控制系统安全呈现以下几个特点。

⑴ 工业控制系统安全漏洞披露数量居高不下

受 2010 年“震网病毒”事件影响,国内外掀起针对工业控制系统安全漏洞的研究热潮,因此自2010 年以后快速增长,2011年公开的工控系统漏洞多达200个,此后几年均超过100个,截止到2016年底,累计漏洞总数已超过900多个,工业控制系统面临的安全问题愈加严峻。

⑵ 工业控制系统安全漏洞影响产品分布明显

根据2000-2016年公开工业控制系统漏洞影响产品统计数据,其中上位机、数据采集与监控系统(SCADA)、可编程逻辑控制器(PLC)的漏洞数量排在前三,成为了工业控制系统产品中最“脆弱”的产品组件。这三类产品在我国关键基础设施和制造业工业领域应用十分广泛,属于无法替代的关键角色。因此,这三类产品的健康状况也决定了工控系统本身的“免疫”能力。

⑶ 工业控制行业攻击呈集中化特点

2015年美国工控系统网络应急响应小组(ICS-CERT)共收集了295起涉及关键基础设施的安全事件,其中关键制造业、能源、水处理成为被攻击最多的三个行业。而我国要向“智造强国”转变,工业控制系统安全问题刻不容缓。

此外,工业控制系统安全行业标准体系不健完善,缺乏监管依据,管理体制机制不健全、风险处置等措施的不到位以及系统维护行为不可控,都将对工业领域发展带来极大的挑战。

2 浙江省工业控制系统安全现状

对于工业比重占44.5%的浙江来说,大多数企业对工业控制系统还是以管理为主的被动防御,且管理体系不够完善,在技术上缺乏主动防御的控制类安全产品,在行业上缺少工业控制系统安全防护机制,企业的日常生产严重依赖于国外公司的工业控制设备,这些都表明我省的工业控制系统信息安全形势十分严峻。endprint

2.1 工控设备安全情况

通过对浙江省工业控制系统研究调查,全省共有1258套重要工业控制系统,主要分布于能源、关键制造业、供水等行业。

浙江省工业控制系统中的主要设备包括可逻辑编程控制器(PLC)、组态软件&数据采集与监控系统(SCADA)软件、分布式控制系统(DCS)、制造执行系统(MES)等,其中大量使用国外主流工控厂商设备,尤其是PLC,国产化率仅1.36%,大量采用西门子、施耐德、罗克韦尔等国外主流工控厂商设备。

同时通过对浙江省在互联网上的工业控制系统(不含安防监控设备)的安全状况进行探测,共发现305例工控设备暴露在互联网中,其中20例存在安全漏洞。这些漏洞一旦被黑客利用,将对工业控制系统内的核心单元进行控制及重要信息的窃取。

2.2 工控系统防护情况

根据《工业控制系统信息安全防护指南》和《工业控制系统信息安全事件应急管理工作指南》的要求,从工控安全防护指南的11个评估层面41项防护措施落实情况对浙江省工业网络系统进行了自查,通过自查数据对浙江省工业控制系统防护措施落实情况进行汇总分析,发现在物理安全、身份认证、数据安全等层面防护相对较好;工控企业在边界安全、主机安全、安全设备部署等方面存在安全隐患。其中边界安全防护、安全监测与应急响应两方面的防护措施落实较差。

2.3 工控系统安全情况分析

通过对浙江省工业控制系统的研究分析发现,工控企业目前主要面临的安全问题如下。

⑴ 安全评估标准存在断层

近几年虽然国家层面已发布了一系列国家政策和安全标准,但从领域到行业再到子行业的工业控制系统千差万别,既存在离散型制造业,也存在流程型制造业,且工控设备种类繁多,因此工控安全具备明显的行业特点,单一的技术标准难以覆盖不同行业之间的差异;宏观的技术指导性文件难以解决工控系统各个微观层面的信息安全问题,这导致信息安全策略难以有效落地实施。

⑵ 各地市重视程度不一

虽然大部分地市对于工控网络安全较为重视,组织培训、宣贯并部署安全设备提升工业控制系统的防护能力,但仍有一些地市对工业控制安全认识不足,由于缺乏相关的行业扶持和鼓励政策以及缺乏宣贯力度,导致各企业单位缺乏相应的用于工控系统信息安全的专项资金和内在动力,且部分单位未设置专门的工控安全管理员,存在负责信息安全的人员了解信息安全相关知识,但不了解工业控制系统,对潜在的工控网络安全威胁认识不到位,对可能造成的后果估计不足。

⑶ 关键设备大量依赖国外

目前,国外工业生产设备提供商已经在各领域垄断了工业生产控制系统和设备市场,尤其是工业PLC市场,西门子、三菱、欧姆龙、罗克韦尔、施耐德等5家国外厂商占据了超过90%的市场份额,且在新披露的工控漏洞中,西门子、施耐德、罗克韦尔产品的漏洞数量分列前三位,是工控安全的重大隐患。国产厂商和利时的核心产品DCS及PLC在浙江省电力、能源、轨道交通等行业均已成功应用,但是,要完全替换国外工控设备还需多年的技术研发和产业发展,这期间的工控网络安全问题也必须要进行解决,因此,加快国产化进程是国内工控信息安全相关机构与企业必须努力的方向。

⑷ 缺乏纵深安全防护系统

求可用性而牺牲安全性,是目前工业控制系统存在的普遍现象,各单位的边界缺少相应的工控安全设备,无法感知外部系统对工控系统的威胁,这迫使我们在工控系统防护能力的建设上必须大力投入、持续投入、深度开发。浙江省工业和基础设施智能化发展很快,而针对工控网络安全的防护能力建设严重滞后,目前尚不足以保障“两化融合”战略的稳步推进。

3 浙江省工控系统安全的思考

工业控制系统信息安全建设是一项复杂的系统工程,为了加强工控安全体系建设,需要从管理制度、技术培养、产业优化等方面着手。根据工信部的统一工作部署,结合浙江省經济、社会发展实际情况,针对浙江省省工业控制系统信息安全应重点抓好以下几个方面的工作。

3.1 完善相关法律法规,加快标准体系建设

在国家和省级层面现有信息安全法律、法规和标准的基础上,结合工业控制系统信息安全实际情况,进一步完善地方法规和行业标准保障体系,重点针对工业控制系统信息安全中存在的突出问题,逐步制定工业控制系统信息安全相关的安全策略、安全检查、漏洞发现以及系统参数防篡改等工业控制系统正常运行所急需的管理制度和配套地方法规及标准体系,保障工业控制系统信息安全的规范和安全运行。

3.2 加大安全法规宣贯力度,建立应急响应管理机制

定期进行工控信息安全法规和行业标准保障体系的宣贯,提升工控企业对工控安全的重视程度,合理引导企业部署工控网络安全工作。同时建立应急资源的协调机制和通报体系,按照预案定期开展演练,并根据演练结果及时完善应急预案。

3.3 推进国产技术研发,培育自主可控的工控产业

引导和扶持来源于海外的归国创业团队迅速实现本土化,将PLC、SCADA等国外核心技术快速转化为自主知识产权的先进技术并实现产业化落地。同时结合浙江省信息安全类科研项目优势,扶持培育工控安全研究机构和测评机构,建立产、学、研一体化机制,从而保障关键基础设施的工控系统信息安全。

3.4 建设漏洞发布机制,强化纵深防御技术体系

根据行业类别开展工业控制系统信息安全漏洞信息的收集、汇总和分析研判工作,及时发布有关漏洞的风险评估和预警信息,尽快构建适合工业控制系统的病毒库、漏洞库、补丁库。建立纵深防御体系[6],强化基础信息网络和重要信息系统的安全防护。加强工控系统的数据采集层、现场控制层、过程监控层、网络通信层、企业管理层等各层级之间的纵深安全防护,层级之间根据业务的重要性加装工控安全设备,有效隔离非法数据。

4 结束语

通过对浙江省工控系统在线态势感知分析、部分工控企业现场风险评估等方面的研究,浙江省工业控制系统存在着诸多问题,根据本文提出的工控系统安全研究建议,鉴于工业控制系统信息安全的特殊性和复杂性,下一步我们将在此基础上,研究如何建立切实可行的纵深防御体系和威胁态势感知平台,进而全方位地保障浙江省工业控制系统信息安全。

参考文献(References):

[1] 周民军.工控网络现状与安全分析[J].现代工业经济和信息化,2017.15:61-62

[2] 曾瑜,郭金全.工业控制系统信息安全现状分析[J].信息网络安全,2016.9:169-172

[3] 夏春明,刘涛,王华忠,吴清.工业控制系统信息安全现状及发展趋势[J].信息安全与技术,2013.2:13-18

[4] 闫晓丽.加强我国工业控制系统安全性的建议[J]. 信息安全与技术,2013.2:10-12,18

[5] 彭杰,刘力.工业控制系统信息安全性分析[J].自动化仪表,2012.33(12):36-39

[6] 区和坚.工业控制系统信息安全研究综述[J].自动化仪表,2017.38(7):4-8endprint

猜你喜欢
安全防护信息安全现状
保护信息安全要滴水不漏
高校信息安全防护
目标中心战中信息网络安全防护问题研究
电力工程中二次系统的安全防护技术
职业高中语文学科学习现状及对策研究
语文课堂写字指导的现状及应对策略
混合动力电动汽车技术的现状与发展分析
我国建筑安装企业内部控制制度的构建与实施的措施
保护个人信息安全刻不容缓
信息安全