继工业控制系统信息安全技术国家工程实验室于日前揭牌成立之后,推荐性国家标准GB/T30976.1~2-2014《工业控制系统信息安全》又在京发布。这是我国工控领域首次发布正式标准,填补了该领域系统和产品评估及验收时无标可依的空白。
作为国家关键生产设施和基础设施运行的“神经中枢”,工业控制系统的安全关系到国家的战略安全。但由于基础薄弱,缺少信息安全防护措施,而且系统产品严重依赖进口等,我国的工控安全威胁有增无减。此次系列标准的发布,对形成我国自主的工业控制系统信息安全产业和标准体系,保障国家经济的稳定增长和国家利益的安全,具有很现实的意义。
工控安全威胁增多
由于广泛应用于冶金、电力、石油石化、核能等工业生产领域,以及航空、铁路、公路、地铁等公共服务领域,工业控制系统堪称是国家关键生产设施和基础设施运行的“神经中枢”。“作为国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。但随着两化深入,工控系统正面临越来越复杂的信息安全问题。”在当日的发布会上,科技部高新司先进制造与自动化处副处长孙权强调说。
随着计算机和网络技术的发展,工控系统越来越多地采用通用协议、通用硬件和通用软件,而通过互联网等公共网络连接的业务系统也越来越普遍,这就使得传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也向工业控制系统扩散,而针对工控系统的攻击行为也大幅度增长,其面临的信息安全问题也日益突出。
2010年的“震网”病毒、2012年的超级病毒“火焰”等专门针对工控系统的病毒爆发,不但给用户带来了巨大损失,还直接或间接地威胁到了国家的安全。
有数据显示,2012年10月至2013年5月,全球针对关键基础设施的攻击报告已超过200起,超过了2012年全年。而根据美国国土安全部的工业控制系统网络应急响应小组的统计,目前针对基础设施的攻击中,能源领域111起,占53%,关键制造业32起,占17%,而2011年10月至2012年9月一年中,该数据为198起,能源82起(41%),关键制造8起(4%),呈明显的上升趋势。
而当前我国工控系统的信息安全形势尤为严峻。首先,整个工业控制基本上没有任何信息安全防护措施;其次,系统产品严重依赖进口,产品和维护全靠国外,如大型可编程控制器(PLC)占了中国市场的94.34%,一旦出了问题就要受制于人;此外,还缺少仿真验证环境。由于工业控制领域的应用环境复杂,一旦发生系统信息安全事件,将造成不可挽回的严重后果。
机械工业仪器仪表综合技术经济研究所副所长梅恪告诉记者,传统的信息系统将“保密性”放在首位,其次是完整性、可用性,而仪控系统的要求则正好相反,这种不同造成了传统的、成熟的防护手段无法在工业控制系统中使用。
“目前工业企业面对很多类型的信息安全威胁,其中普遍存在的是主机恶意代码防护问题。”北京和利时系统工程有限公司技术中心高工王弢表示,但常规的查毒软件并不适用于工业控制系统,工控系统不可能随时升级病毒库。目前杀毒软件误杀造成工控软件运行不正常的事件也在不断涌现。