我国工控安全核心技术攻关取得一定成果

 中国电子报、电子信息产业网  作者:哈尔滨工程大学国家保密学院 孙建国 印桂生
发布时间:2017-08-09
放大缩小

  当前,网络信息安全防护理念正在发生深刻的演变,以工业控制系统为中枢神经的国家关键基础设施安全和关键信息基础设施安全面临更为严峻的全新挑战。工业控制系统作为国家基础设施,已经成为网络空间资产设备的重中之重。如何在工业化与信息化融合进程中保证其安全性,已经成国内外广泛关注的重大课题。

  国家频出台工控安全治理措施

  随着计算机技术网络技术的发展,特别是互联网及社会公共网络平台的快速发展,在“两化”融合的行业发展需求下,为了提高生产高效运行、生产管理效率,国内众多行业大力推进工业控制系统自身的集成化,集中化管理。系统的互联互通性逐步加强,与办公网、互联网也存在千丝万缕的联系。但是工业控制系统建设时更多的是考虑各自系统的可用性,并没有考虑系统之间互联互通的安全风险和防护建设。使得国际国内针对工业控制系统的攻击事件层出不穷,“震网”病毒事件为全球工业控制系统安全问题敲响了警钟,促使国家和社会逐渐重视工业控制系统的信息安全问题。据权威工业安全事件信息库RISI 统计,截至2013年10月,全球已发生300余起针对工业控制系统的攻击事件。2001年后,随着通用开发标准与互联网技术的广泛使用,针对工业控制系统(ICS)的病毒、木马等攻击行为大幅度增长,直接导致工业控制系统的故障次数明显增多,对人员、设备和环境造成严重后果。

  国家非常重视工业控制系统信息安全问题。工业和信息化部2011年9月发布《关于加强工业控制系统信息安全管理的通知》(〔2011〕451 号),通知明确了工业控制系统信息安全管理的组织领导、技术保障、规章制度等方面的要求,并在工业控制系统的连接、组网、配置、设备选择与升级、数据、应急管理等六个方面提出了明确的具体要求。

  2012年,国务院颁布《关于大力推进信息化发展和切实保障信息安全的若干意见(国发〔2012〕23号》,其中明确要求保障工业控制系统安全,重点保障对可能危及生命和公共财产安全的工业控制系统的安全。

  国家发改委从2011年开始开展工业控制系统信息安全专项,涉及面向现场设备环境的边界安全专用网关产品、面向集散控制系统(DCS)的异常监测产品、安全采集远程终端单元(RTU)产品、工业应用软件漏洞扫描产品等产业化项目。在电力电网、石油石化、先进制造、轨道交通等领域,支持大型重点骨干企业,按照信息安全等级保护相关要求,开展工业控制系统信息安全建设的试点示范。

  当前,工业信息系统正从单机走向互联,从封闭走向开放,安全漏洞和风险不断涌现。2017年第一季度,国家信息安全漏洞共享平台爆出我国新增工控系统行业漏洞30个,其中半数以上是高危漏洞。2017年6月,在工信部的指导下,国家工业信息安全产业发展联盟正式成立。

  创新工控安全核心技术发展

  为维护工业控制系统安全,产业界在三大技术和产品方向攻坚克难,取得了一定成果。

  一是基于边界和区域防护的理念,我国已经形成成熟的工业防火墙技术体系。基于MIPS架构,通过对工业控制协议的深度解析,运用“白名单+智能学习”技术建立工控网络安全通信模型,阻断一切非法访问,仅允许可信的流量在网络上传输。为工控网络与外部网络互联、工控网络内部区域之间的连接提供安全保障。2013年,国内首款电力系统工业级防火墙投入使用。目前,以天融信等产品为代表的工业防火墙,已经广泛应用在电力、石油、石化、轨交、市政、烟草及先进制造等多领域。系统能够满足工控行业的规范要求,防范外部恶意攻击,杜绝内部安全隐患,对工业协议进行深度分析,理解和建构正常通信行为,并提供精准实时的协议指令级控制。

  二是工控网络态势感知系统形成。工控网络态势感知系统是为政府、监管部门、能源等大中型企事业单位提供综合安全事件分析与宏观安全形势展现等服务的技术平台,可实现全球工控设备信息和开放常规服务的隐匿探测及全局采集,同时准确定位工控设备。其搜索内容全、范围广、效率高,可支撑监管单位完成安全监测、检查、整改的闭环工作,对于评估工业控制系统的安全性、推动国家关键基础设施的信息安全保障工作具有极为重要的意义。

  2016年9月,新疆工业控制系统网络安全态势感知平台上线。2017年,360推出国内工业互联网安全态势感知系统,建立协同联动机制,提升整个工业互联网的安全防护水平。

  三是建成工控安全演练平台。工业网络安全测试演练平台可以为各类用户提供一系列网络化联合应用,包括支撑国家关键基础设施安全防护体系建设、自主可控软硬件安全性测试、技术和服务安全性审查和下一代网络与大数据安全研究等应用。2017年,由国家工业信息安全发展研究中心主导的工业信息安全测试演练平台一期建设工作顺利完成。通过国家级工业网络安全测试演练平台的顶层设计与体系建设,可以完成网络空间工控网络体系规划论证、能力测试评估、产品研发试验、产品安全性测试、人才教育培养等任务。

  迎接工控系统智能化安全挑战

  工控全脑革命。互联网将向着与人类大脑高度相似的方向进化,它将具备自己的视觉、听觉、触觉、运动神经系统,也会拥有自己的记忆神经系统、中枢神经系统、自主神经系统,也就是说,互联网正在形成一个互联网大脑。物联网是互联网大脑的感觉神经系统,云计算是互联网大脑的中枢神经系统,大数据是互联网智慧和意识产生的基础,工业4.0或工业互联网本质上是互联网运动神经系统的萌芽,它会思考,更智能。

  随着中国制造2025、两化融合逐步深入,工业信息安全问题逐步走入深水区,漏洞剧增、外国设备后门、高级持续性威胁、工业网络病毒以及攻击趋易等问题凸显。

  借鉴国外的管理经验和做法,未来需要做好以下工作,破解工业信息安全的几大问题:

  一是明确政府的扶持和服务角色,促进创新链和产业链紧密联结。国家工业信息安全产业发展联盟是在工信部的指导下,由国家工业信息安全发展研究中心等45家单位联合发起成立的联盟,是一家以“平等、互利、合作、共享”为原则,围绕工业信息安全产业链,以工业企业为主体,提升工业信息安全保障能力,推动工业信息安全产业快速发展,保障国家信息安全的非盈利性社会组织。

  二是推动技术进步,加强知识产权保护力度。围绕设备检测、安全服务、威胁管理、安全数据库、监测审计以及智能防护,引导并构建全生命周期的工控安全观。构建安全大数据云平台,通过机器学习、威胁建模、情报交换以及实时处理等技术与手段,实现对工控系统的综合监控分析、安全监测防御和实时漏洞预警。

  三是加速推进标准建设,人防、技防并驾齐驱。提出工业控制系统纵深防护体系架构,推进工控安全标准的研究与制定。

  四是政校企研通力合作,落实工控安全领域人才培养。据统计,全国信息安全领域的人才缺口超过50万,而每年全国信息安全专业的毕业生仅8000人。而工控安全方向是集自动化、计算机网络、信息安全于一体的交叉学科,目前的现状却是师资匮乏、专业建设尚无基础,学科体系缺乏标准,教学开展和实训环境没有依据,人才培养处于真空状态。

  五是虚实结合,聚焦工控软件安全与大数据仿真技术。在硬件不硬的情况下,先期开展工控数据的收集整理,开展好工控系统安全监控与仿真演练平台的研究与开发工作。在硬件无可替代的情况下,为避免对硬件设备产生二次破坏,通过工业大数据在线仿真技术,通过虚实结合的策略,完成对工业控制系统的评估与风险挖掘工作。在短期内,面向典型工控系统,开展数据建模与工业控制流相关性问题研究,基于工控系统安全进化理论,重点解决网络空间安全领域的工业软件逆向分析、体系结构仿真以及大数据分析等敏感性问题。


来源:中国电子报、电子信息产业网            责任编辑:赵强
分享到:
0