e-works数字化企业网  »  文章频道  »  制造业与信息化  »  信息化言论

工控系统安全防护必由之路

2017/10/24    来源:e-works    作者:陶海      
关键字:工业控制系统  工控系统网络安全  
工业控制系统,是指由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的,实现工业设施自动化运行、过程控制与监控的业务流程管控系统。

    工业控制系统(IndustrialControlSystem),是指由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的,实现工业设施自动化运行、过程控制与监控的业务流程管控系统。是对工业生产过程安全(safety)、信息安全(security)和可靠运行生产作用和影响的人员、硬件和软件的集合。

    常见工业控制系统有3种,包括:

    PLC系统可编程逻辑控制器(Programmable Logic Controller简称:PLC)

    是一种可以被编程,并通过数字或模拟式输入/输出控制各种类型的机械或生产过程的控制器。PLC控制器在国内外已广泛应用于钢铁、石油、化工、电力、建材、机械制造、汽车、轻纺、交通运输、环保及文化娱乐等各个行业。

    DCS系统分布式控制系统(Distributed Control System简称:DCS)

    它采用控制分散、操作和管理集中的基本设计思想,采用多层分级、合作自治的结构形式。其主要特征是它的集中管理和分散控制。目前DCS在电力、冶金、石化等各行各业都获得了极其广泛的应用。

    SCADA系统SCADA(Supervisor Control And Data Acquisition)

    监控及数据采集系统,融合了先进的PLC技术、RTU技术、现场总线技术、网络通信技术、数据库技术、SCADA/HMI技术、客户/服务器技术等,能实现对系统全过程的监控、管理和调度,能实现生产信息、状况的自动化收集、分类、传送、整理、分析和存储,是集测量技术、计算机技术、通讯技术于一体的综合性集成控制系统。它应用很广,可以应用于电力、冶金、石油、化工、燃气、铁路等领域。

    信息网络安全和工控系统网络安全防护理念对比

信息网络安全和工控系统网络安全防护理念对比

图1 信息网络安全和工控系统网络安全防护理念对比

    2016年对于我国工业控制系统信息安全市场来说,应该是收获颇为丰厚的一年。尤其是在相关法律法规、标准等方面都取得了突破性的进展。主要包括:

    《中华人民共和国网络安全法》正式出台,自2017年6月1日起施行。

    《国家网络空间安全战略》发布。《战略》阐明了中国关于网络空间发展和安全的重大立场和主张,明确了战略方针和主要任务,是指导国家网络安全工作的纲领性文件。

    工信部印发《工业控制系统信息安全防护指南》。其中指出,工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11个方面做好工控安全防护工作。《指南》的发布是对国家关键信息基础设施安全保护要求的充分落实,也为新时期、新形势下做好工控安全防护工作提供了重要的参考。

    习总书记强调要加强关键信息基础设施保护,要求“要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”。

    全国范围关键信息基础设施网络安全检查工作启动。2016年7月,经中央网络安全和信息化领导小组批准,首次全国范围的关键信息基础设施网络安全检查工作正式启动,这是落实习近平总书记重要讲话精神的重要举措,也是在网络安全新形势下,针对全国关键信息基础设施网络安全保护开展的全局性、基础性工作。

    开展关键信息基础设施网络安全检查,是从涉及国计民生的关键业务入手,理清可能影响关键业务运转的信息系统和工业控制系统,准确掌握我国关键信息基础设施的安全状况,科学评估面临的网络安全风险,以查促管、以查促防、以查促改、以查促建,同时为构建关键信息基础设施安全保障体系提供基础性数据和参考。

    24项信安标委归口国家标准获批发布  2016年8月29日,全国信息安全标准化技术委员会归口的《信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求》、《信息技术安全技术信息安全管理体系要求》、《信息技术安全技术信息安全控制实践指南》等24项国家标准正式发布,其中包含信息安全技术工业控制系统安全应用指南。

    2017年5月31日,工业和信息化部发布关于印发《工业控制系统信息安全事件应急管理工作指南》的通知。

    2017年6月8日,国家工业信息安全产业发展联盟成立大会在北京举行,工业和信息化部部长苗圩、国务院国有资产监督管理委员会副主任徐福顺出席大会并作重要讲话。

    苗圩表示,要将联盟打造成为政府和产业界协同联动的平台,自动化、信息化与信息安全领域的跨界融合平台,行业资源整合、对接、推广平台。

    国务院国有资产监督管理委员会副主任徐福顺说,中央企业是国民经济的重要支柱,希望联盟为央企做好工业信息安全保障支撑工作,在检测认证、评估咨询、人才培养等重点领域,为企业提供优质服务。国务院国资委将全力支持联盟的有关工作。

    我国目前面临的安全形势非常严峻,据相关调查结果显示,在全国5000多个重要的工业控制系统中,95%以上的工控系统操作系统均是采用的国外产品,这意味着国内的生产系统很容易受到国外黑客的攻击。并且,有80%的企业从来不对工控系统进行升级和漏洞修补,有52%的工控系统与企业的管理系统、内网、甚至互联网连接,一些存在漏洞的国外工控产品依然在国内某些重要装置上使用。可见,我国在工控安全的意识上并不明显。

    据安徽地区宣城市部分工业企业的工控系统应用和安全现状调研情况分析发现,与我国工控系统安全总体状况基本相符,也受限于当前工控安全大环境。工控系统安全普遍存在的共性问题有:

    企业的管理层意识到工控安全的重要性并采取了一定的措施,但对现有工控系统的安全防护能力普遍表示担忧。虽然已经成立专门组织来负责企业整体信息安全,但企业里大多缺乏相应的工控信息安全专岗,同时具备工控安全专业技能的人员更是严重匮乏。

    工业控制系统漏洞长期未修复,且缺乏对应补充措施。工业控制系统设计的是相对独立封闭的局域网,未考虑到系统的信息安全需求,没有运用工控白环境、系统审计、边界隔离等防护手段。对于操作系统层面的漏洞,企业在未经工控厂商授权情况下无法自主进行漏洞修补,且工控厂商也不提供即时性的操作系统漏洞修补服务;工控层面的漏洞,公开发布信息非常少,且国家层面并未建立对工控系统漏洞安全评测、公告的体系及服务,工控系统漏洞安全主要还是由工控厂商自主发现、控制为主,急需国家层面进行规范管理。

    缺乏对工业控制系统的监控审计措施。企业对工业控制系统的操作和维护采用权限分离的方式进行控制,但工业控制系统普遍缺乏网络和操作行为、第三方运行维护、病毒和木马攻击等行为的监控审计。监控审计产品同工控厂商相互论证、许可壁垒问题严重!同样需要国家层面的导引、规范。

    宣城市工业企业在推进“两化融合”、“互联网+”、“中国制造2025”的过程中,应从安全组织、人员岗位、集团政策和资金扶持上支持工业控制系统安全各项工作的开展,在安徽省经信委的大力支持下,走出一条工控系统安全防护必由之路:

    强化组织和制度保障体系建设,安全自查自检常态化。企业需清楚领会工控网络信息安全的严峻形势,建立涵盖领导、监督和执行的工控信息安全管理组织,落实工控信息安全责任部门、人员岗位、及专项经费。将工控信息安全与生产安全放在同等重要的地位,加强工业控制系统的安全的自我检查和自我评估,与定期抽查一起配套形成工控安全体检工作的常态化机制。

    提升企业的工业控制系统的安全防护能力。总结业界最佳实践的经验,结合自身情况,秉持资源投入效益最大化的理念,对企业的工控安全的防护水平整体提升,不求做到面面俱到,而应该重点发力,优先打造边界防护体系,强化边界防护能力。同时针对工控上位机普遍存在Windows XP操作系统升级、终端病毒防护缺失等情况,领导层面需统筹考虑,统一规划实施。

    建设专业化安全服务团队,强化信息安全人才队伍建设。建设一支服务企业的专业化的安全服务团队,通过资源合理投入配置,集中解决专业安全人才缺乏,工控安全问题繁杂等问题。要面向企业领导、相关部门主要负责人和企业员工,定期组织开展工控信息安全政策宣贯培训,提高全员信息安全防范意识。同时要制定培训计划,派送技术人员参加专项工控安全行业培训,提高从业人员的专业技术水平。

    加大科技支撑力度,逐步实现工控安全自主可控。抓住国家相关部委对工控安全领域大力投入科研资源的机缘,联合在此领域表现优秀的科研院所、高校等机构,研发符合企业业务特色的工控安全设备及系统。如可在基于可信计算的系统安全免疫、工控设备信息安全漏洞的监测/检测、工控系统安全防御和安全审计等方面,实现工控系统的安全自主可控。

    我们一直在路上,披荆斩棘摸索前行,走出一条工控系统安全防护必由之路。

责任编辑:程玥
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴,应在授权范围内使用。e-works内容合作伙伴申请热线:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐