專家為工控系統信息安全產業出謀劃策

　2014工業控制系統信息安全年大型主題系列活動首站暨第三屆工業控制系統信息安全峰會日前在上海落幕。中國自動化學會副理事長王飛躍、工業控制系統信息安全產業聯盟副理事長胡傳平等出席會議并致辭。
　　
　　本次活動由工業控制系統信息安全產業聯盟主辦，中國自動化學會發電自動化專業委員會、中國自動化學會綜合智能交通控制專業委員會協辦。活動開幕式上舉行了聯盟授牌儀式。中國自動化學會副理事長王飛躍、工業控制系統信息安全產業聯盟秘書長石紅芳為中國儀器儀表行業協會、公安部第三研究所、中國科學院沈陽自動化研究所、和利時集團等頒發了聯盟成員單位牌匾。
　　
　　會議期間，與會專家就工業控制系統三層網絡的信息安全檢測與認證、工業控制系統信息安全測試與防護技術趨勢、工業控制系統信息安全業務發展思路、工控系統信息安全定量分析方法與案例分析進行了研討。
　　
　　部分專家發言
　　

?
　　沈清泓：國家高度重視工控信息安全
　　
　　在公安部第三研究所助理研究員沈清泓博士看來，近年來，我國高度重視工業與控制系統信息安全，工信部、發改委等都對此發布了相關政策文件。
　　
　　工信部于2011年發布了《關于加強工業控制系統信息安全管理的通知》，強調切實加強工業控制系統信息安全管理，以保障工業生產運行安全、國家經濟安全和人民生命財產安全，點明了我國工業控制領域信息安全工作的問題和不足，明確重點領域工業控制系統信息安全管理要求以及建立工業控制系統安全測評檢查和漏洞發布制度。
　　
　　而國家發改委也在去年發布了《關于組織實施2013年國家信息安全專項有關事項的通知》，其中提到面向現場設備環境的邊界安全專用網關產品、面向集散控制系統（DCS）的異常監測產品以及面向工業控制信息安全領域的可控試點示范。
　　

?
　　朱毅明：工控信息安全應面向應用
　　
　　和利時集團技術總監朱毅明認為，我國工控系統信息安全產業的現狀不容樂觀。商業模式不成熟，生態環境不完整；行業尚未出現強制性法規、規范和標準等問題困擾行業發展。而在役工控系統信息安全改造升級和新建工控系統信息安全采用的策略不盡相同；工控行業產品利潤空間較小，信息安全產品價格要合理；工控信息安全市場尚處于培育階段，長期的盈利模式不夠清晰；僅僅依靠政策是很難保證工控系統信息安全市場的健康持續成長。
　　
　　從用戶角度而言，惡意攻擊的最終目標是實際的工業設施或工藝裝備，應該面向具體的工業應用開展信息安全風險評估和安全分級，而不是面向工業控制系統設備本身。由于化工、石油、火電、核電、冶金等行業連續過程工藝的特點，一旦中斷運行，經濟損失大，甚至可能造成嚴重環境污染和人員傷亡，危險性大，信息安全危害較大；而交通、電網、市政設施、水利設施、礦山等行業的工業監控系統由于地理分布廣泛，大部分設備采用“無人值守、自動運行”模式，大量采用公網或無線傳輸，更容易遭到攻擊，且直接影響社會安定，信息安全風險更大。
　　

?
　　萬明：安全防護鎖定三目標
　　
　　中科院網絡與控制系統重點實驗室博士、副研究員萬明認為，工業控制系統的脆弱性正日益顯現。
　　
　　從國外來看，2011年，黑客入侵數據采集與監控系統，使美國伊利諾伊州城市供水系統的供水泵遭到破壞；微軟也在當年警告稱最新發現的“Duqu”病毒可從工業控制系統制造商收集情報數據；2012年，兩座美國電廠遭USB病毒攻擊，感染了每個工廠的工控系統，可被竊取數據；2012年，發現攻擊多個中東國家的惡意程序Flame火焰病毒，它能收集各行業的敏感信息。
　　
　　從國內來看，我國同樣遭受著工業控制系統信息安全漏洞的困擾，比如2010年齊魯石化、2011年大慶石化煉油廠，其裝置控制系統分別感染Conficker病毒，都造成控制系統服務器與控制器通訊不同程度的中斷。
　　
　　萬明認為，為保證工業控制系統安全穩定運行，工業控制系統的安全防護必須達到三個目標：一是通信可控。能夠直觀觀察、監控、管理通信中數據。僅保證工業控制專有協議數據通過即可，其他通信一律禁止。二是區域隔離。為防止局部控制網絡問題擴散導致全局癱瘓，在關鍵數據通道上部署網絡隔離。三是報警追蹤。及時發現網絡中感染或其他問題，準確找出故障點。通過對報警事件進行記錄，為故障分析提供依據。
　　

?
　　張曄：工控系統安全更是管理問題
　　
　　北京網御星云信息技術有限公司總監張曄認為，工業控制系統技術上存在極大的脆弱性。工控系統從相對獨立的環境中發展而來，在設計過程中主要考慮系統可用性，實時性問題。對工控系統的安全性考慮不足；工控系統通信協議缺乏授權和加密、缺乏對用戶身份的鑒別和認證等安全機制。
　　
　　考慮到兼容性和連續性生產的問題，工控系統無法及時安裝系統補丁，無法有效使用殺毒軟件。工控系統的安全防護落后于IT系統，但IT系統的安全問題卻延伸到工控系統，并得以放大。因此，先天的不足，后天的無奈，導致工控系統相當脆弱。
　　
　　而工控系統管理上也體現了脆弱性。工業控制系統安全不僅是一個技術問題，更是一個管理問題，需要完善的工業控制系統安全政策、標準、制度和安全意識來支撐。工控系統的安全管理，與IT安全管理有許多不同，易用性是工控系統安全管理考慮的第一要素。相對信息系統用戶來說，工控系統用戶安全意識更加薄弱。
文章鏈接：中國儀表網 http://www.ybzhan.cn/News/Detail/43490.html