近日爆发的“棱镜门”事件,不仅为网络信息安全敲响了警钟,而且引发了工业控制系统信息安全的大讨论。“一旦出现工业信息安全威胁,生产人员不知道‘敌人’何时入侵,也不知已潜伏的‘定时炸弹’何时爆发,一有风吹草动,不免风声鹤唳,草木皆兵,怎么叫人安心生产?”中国仪器仪表学会技术顾问、教授级高级工程师夏德海不无忧虑地说。
诚然,随着两化融合的不断深入,工业控制系统被广泛应用于水处理、能源、电力、化工、交通运输、金融等行业的关键基础设施中,而且越来越多地采用通用协议、硬件和软件,并与公共网络进行互连,因此,一旦工控系统受到攻击,将会直接导致关键基础设施瘫痪,甚至对国家的经济和社会酿成不可挽回的灾难性后果。“关键基础设施信息安全成为悬在各国政府头上的达摩克利斯之剑,采取措施加强其信息安全保障能力势在必行。”工业和信息化部赛迪智库信息安全研究所冯伟说。
因此,如何确保工控系统的安全可控,已不仅仅是单个研究机构或企业要思考的问题,更需要国家层面进行战略布局,产业界群策群力。为此,在近日召开的工业控制系统安全发展高峰论坛上,来自学术界、政府智库以及信息安全厂商的工控系统研究专家济济一堂,共同就如何防控工控系统病毒和木马等问题进行了热烈地讨论和交流。
建立信息安全等级保护制度
当前,工业控制信息化、三网融合、物联网、云计算在内的多种新型信息技术的发展与应用,不仅给我国工业控制系统信息安全保障工作提出了新任务,也对信息安全等级保护工作形成了全面挑战。
国家信息化专家咨询委员会委员沈昌祥院士表示,在工业控制系统方面,2010年“震网”病毒事件破坏了伊朗核设施,震惊全球。这标志着网络攻击从传统“软攻击”阶段升级为直接攻击电力、金融、通信、核设施等核心要害系统的“硬摧毁”阶段。应对高强度连续攻击(APT)已成为确保国家关键基础设施安全,保障国家安全、社会稳定、经济发展、人民生活安定的核心问题。而传统的封堵安全防护做法难以解决封闭实时处理的工业控制系统安全问题。
“因此,应该把工控系统的信息安全纳入信息安全等级保护制度的框架中。”沈昌祥表示,信息安全等级保护作为我国信息安全保障的基本制度,需要从技术和管理两个方面进行安全建设,做到可信、可控、可管。并且,高安全信息系统要具有抵御来自敌对组织高强度连续攻击(APT)的能力,以及防止内部人员内外勾结攻击的能力。”
在信息安全等级保护工作方面,我国已有相关文件出台。2004年9月15日由公安部、国家保密局、国家密码管理局和国信办联合下发《关于信息安全等级保护工作的实施意见》明确实施等级保护的基本做法。2007年6月22日又由四单位联合下发《信息安全等级保护管理办法》(43号文件),规范了信息安全等级保护的管理。
总的来说,我国信息安全等级保护工作要坚持正确的技术路线,从国情出发,按需适度安全,逐步发展完善。具体来讲,沈昌祥认为要做到以下五点:第一,要加强定级对象信息系统整体防护,建设管理中心支持下的计算环境、区域边界、通信网络三重防护体系结构。第二,要重点做好操作人员使用的终端防护,把住攻击发起的源头关,做到操作使用安全。第三,防内为主,内外兼防,提高计算节点自身防护能力,减少从外部入口上的封堵。第四,加强技术平台支持下的安全管理,应与业务处理、监控及日常安全管理制度相结合。第五,为便于技术方案实施,整改时不改或少改原有的应用系统,以信息处理流程制定安全策略,实施访问控制。
加强工控系统安全保障能力
随着两化深度融合的推进,网络化管理操作成为关键基础设施发展的趋势的同时也使得针对关键基础设施的病毒和木马攻击也呈现出攻击来源复杂化、攻击目的多样化以及攻击过程持续化的特征。此外,由于我国芯片、操作系统等软、硬件产品,以及通用协议和标准90%以上依赖进口,这使得我国工控系统的核心技术受制于国外,高端市场拥有自主知识产权的产品和系统较少。加之棱镜门事件的爆发,如何夯实工控系统信息安全保障能力成为当务之急。为此,冯伟建议从以下几个方面着手:抓紧建立关键基础设施网络安全法律体系;加速打造自主可控的IT和工业控制系统产业生态体系;加强对外国企业在华业务的管理,明确外国企业在国内提供产品、技术和服务时的责任和义务,防范外国企业对我国信息网络的窥探。
自主可控安全网关引关注
在信息安全厂商的典型经验介绍中,基于国产芯片的信息安全装备———南方工业控制安全网关吸引了包括记者在内的与会听众的关注。
广东南方信息安全产业基地有限公司总裁陈洪表示,之所以研制工业控制安全网关,是为了确保工业控制系统敏感数据的安全。
陈洪及其研究团队认为,要确保工业控制网络敏感数据安全,必须很好地解决发送设备与接收设备之间敏感数据的采集、传输、存储、利用过程中的信息安全问题,即通过研发工业控制网关,解决工业控制系统设备远程访问安全问题。工业控制网络攻击防御对抗的焦点在于对远程通信数据的保护。
陈洪表示,南方团队工业控制安全网关基站使用自主知识产权芯片SSX1019,算法位于独立的算法区中。实现了利用自主知识产权技术保障用户敏感数据安全。
“工业控制系统网络部署工业控制安全网关后,确保了工业控制网络通信的安全性、数据的保密性,最大程度的避免了网络病毒、黑客入侵等行为导致的工业控制系统信息安全问题。与此同时,应该看到工控设备漏洞、工业应用漏洞、平台系统漏洞等工业控制网络存在的安全隐患,需要更多的信息安全企业一起研发自主知识产权的技术或产品,增强我国工业控制网络设施的可靠性、安全性。”陈洪总结说。