详细介绍
本文针对中国工业控制管理系统信息安全面临的外部安全形势与内在安全需求,总结了中国工业控制管理系统信息安全面临的紧迫性问题,包括控制管理系统非自主可控问题、薄弱的基础与加快速度进行发展不平衡的问题、工控系统安全本质问题以及安全人才问题,在此基础上提出了工业控制管理系统信息安全问题的对策分析,希望对我国工控系统安全的发展提供有益的思考。
随着国家安全政策的大力推广,信息安全技术的快速升级与创新、工业控制管理系统安全需求的大力推动,泛在物联网状态的工业控制管理系统面临大安全威胁一直在升级,严重影响了关键基础设施的稳定运行,超过80%的涉及国计民生的关键基础设施依靠工业控制管理系统来实现自动化作业,工业控制管理系统作为国家关键基础设施的重要组成部分,其安全关系到国家安全。同时国际环境的激烈竞争、互联网空间安全战略的发展,也将工业控制管理系统安全上升到了国家战略安全层面。
我国进入工业转型的加快速度进行发展期,人机一体化智能系统推动着信息化与工业化的不断融合,导致工业控制管理系统的信息安全问题更突出。工业控制管理系统安全问题是内外交加困难性突出,行业应用特殊性明显。
一是由于工业控制管理系统开发本身安全性考虑不足,自身安全性能不强,表现在当前主流的工业控制管理系统都会存在安全漏洞,且多为能够造成远程攻击、越权执行的严重威胁类漏洞,近年来漏洞的数量呈迅速增加的趋势,特别是SCADA、HMI、PLC、工业交换机等漏洞数量排名靠前。
二是专有的工业控制管理系统协议缺乏足够的安全性考虑,各控制管理系统厂商的私有通信协议或规约在设计时侧重于实时性、可用性,缺乏安全性,如普遍的加密算法能力不够、薄弱的安全认证机制、不完善的授权权限,无线通信协议尤为明显。协议的不安全性增加了网络层窃听、篡改、冒用攻击的吸引力。
三是在工业生产环境系统长时间运行的实际环境,使得系统和软件存在大量老旧不进行升级的普遍情况,并且系统补丁兼容性差、系统软件难以及时升级。
四是工业企业覆盖面广,细分行业众多,行业存在安全门槛。一致认为进入电力行业的工控安全产品具有较高的标准和门槛,其他如能源、轨道交通、烟草、医药、制造业由于其业务应用场景不同,要基于其行业业务应用规则或工艺场景进行安全防护;同时各工业公司信息安全水平不一而足,差距明显。
五是外部网络环境的变化,针对工业控制管理系统的网络攻击、恶意软件、漏洞利用事件频发。国家层面的互联网空间安全博弈、利用信息和通信技术进行的致命性攻击以及对国家重要基础设施对象和相关信息系统的攻击愈加严峻。
据研究机构多个方面数据显示,随国家及政策对工控安全的不断重视和支持,工控安全将进入加快速度进行发展时期。2010年国内工控安全市场规模约2.3亿元,2017年是工控安全的行业爆发年,国内工控安全市场规模达到了17.12亿元。我国工控安全市场未来上涨的速度持乐观预期,预计至2025年,工控安全市场将超过70亿元,行业发展前途持续看好。
信息安全厂商开始建立完善的安全产品和方案体系。国内的科研院所、工控系统厂商、信息安全厂商以及一些专注做工控安全的新兴企业都将一定的研发力量投入工控安全的研究及产品研制领域,安全产品线日益丰富,形成差异化竞争局面。此外多数信息安全服务商正在积极部署工业互联网、工业云平台,以及将态势感知、AI应用于工控安全防御、监测、预警等方面。
工控安全的发展得益于国家网络安全政策的大力推广,“没有网络安全就没有国家安全”,国家提出要加强信息基础设施网络安全防护,落实关键信息基础设施防护责任,工业不但要发展,也要安全。
2014~2019年是安全政策与规范标准不断出台、逐渐完善、日益丰富的5年。国家对于工控安全的政策逐步加码,标准落地加快,为我国工控安全发展提供了良好的产业环境。工信部2016年10月发布《工业控制管理系统信息安全防护指南》被视为网络安全等级保护制度先行版;2017年6月《中华人民共和国网络安全法》提出“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施实行网络安全等级保护”;2017年12月工信部发布《工业控制管理系统信息安全行动计划(2018-2020年)》强调全国性的“一网一库三平台”的建设,提出2020年前要实现“工控安全管理工作体系”;2019年网络安全等级保护体系指南逐一推出,将工业控制管理系统作为新应用纳入等级保护,对工控安全领域形成实质性利好。同时,产业联盟的作用很明显,极大地促进了信息安全资源整合,形成包括“安全等级、安全要求、安全实施、安全测评”等标准体系。
首先,谈到工控安全,不可回避的是控制管理系统的非国有化,这也是安全防护产品与解决方案在实际应用的尴尬之处。纵观中国工业企业的工控系统建设历程,老、新系统都有国外厂商品牌参与其中,并且关键组件与系统的集成搭建仍由国外厂商实施,核心系统的非自主可控化,其安全态势十分严峻。
其次,工业控制系统的传输协议也受制于国外,OPC、ModbusTCP、工业以太协议均是国外标准。通常采用的控制系统,要求必须配套采用业务系统、数据传输系统。
再者,通用操作系统的安全漏洞也是非常严重的问题,在工业公司环境中由于升级补丁困难等现状使其更加突出。如果网络安全攻击一旦渗透进工业控制网络,那么诸多老旧的操作系统,将成为内部攻击的绝佳跳板。
我国工业企业的安全水平与智能化水平参差不齐。大量老旧的工业控制管理系统投产多年,安全防护状态十分脆弱,安全改造十分困难。
当前处于工业企业升级换代的大环境中,两化融合和智能制造的不断推进,将工业控制管理系统的模块不断集成、系统不断扩大,数据传输、生产集中管理的需求使工业生产网络之间、生产网络与管理网络之间的交互越来越多。在将本来相对独立的系统打通过程中,保护信息安全和网络安全采用安全防护措施,并不是从系统整体性角度考虑,是单纯强调信息安全。但工控系统实际上是强耦合、关联作用紧密的整体,割裂工控系统做安全的结果就是将暴露系统更多的安全问题,引入新的安全风险,如功能安全风险。
此外,诸多信息安全防护厂商提出了各自安全架构平台、应用在向智能化、云平台发展,这是一种发展趋势,侧重于安全攻防、态势感知、动态预警、智能研判与自我学习,但是相比于工业公司的紧迫而实际、底层必须落地的安全需求,略显超前。可以总结为新型概念层出不穷,安全落地举步维艰。
工业控制系统安全的防护思路,经历了“隔离就安全”-“单点防护”-“纵深防御”-“内生安全”的演变。
从工业控制系统安全问题的提出,初始阶段认为工业控制网络是隔离的,所以内部系统即使“裸奔”也是安全的。随着工业升级带来的网络界限被打破,以及内部安全问题与事件的暴露,使“隔离就安全”这种理念被颠覆。之后进入安全防护产品的战国时代,各安全厂商进行安全防护产品的开发与适用,如终端安全类、防火墙、网络网关、审计类、监测类。随着产品体系不断健全与完善,从打补丁单点防护到建立起安全防护体系,这是安全防护措施的集大成成果,但是存在着影响工控系统“实时性”、成本过高、防护过重等问题。
工控安全发展到现在,提出内生安全的概念。表现在两种思维,第一种思维是从控制系统的内生安全出发,强调源头控制,建立工业控制系统的全生命周期安全管理,融合安全设计、安全编码、安全测试等安全开发技术,以及安全运维、安全升级等安全管理技术,以消除系统各生命阶段可能出现的来自于人员知识和技能、开发环境、业务逻辑引入系统缺陷的安全风险;第二种是强调安全防护系统的内生安全,通过安全体系的规划设计,通过安全防护产品与安全防护管理措施落实,采用智能化分析、态势感知、大数据等先进技术,实现动态综合防护。第二种思维落于高处,依然回避了工业控制系统安全的本质问题。
安全人才短缺一直是网络和信息安全发展面临的最大的挑战,我国的信息安全从业者的水平不比欧美的水平差。虽然安全从业人员数量巨大但是缺口性相当明显,且能够进入到企业的安全管理与运维人才十分稀缺,需要培养工控系统信息安全人才,提高相关岗位人员的知识、技能水平。
为保障我国工业控制系统安全,加强关键信息基础设施的安全防护,提升工控安全防护能力,必须在政府主管部门的组织下,充分发挥产业联盟、工控安全企业、标准研究机构、控制系统厂商等安全链上下游的合作效应。落实工控企业信息安全防护措施,推动工业控制系统安全发展,共同维护国家关键信息基础设施的安全,共同打造网络安全生态圈。
面对企业工控安全的薄弱基础,应主动与工控安全服务商、控制系统厂商,建立联动工作机制,因地制宜地逐步消除企业自身工控系统的安全漏洞,如从弱口令密码整改开始,逐步推进漏洞补丁升级、部署安全防护设备、完善安全管理制度、建立安全管理体系。在消除薄弱基础的前提下,可以充分利用物联网技术、人工智能技术、大数据技术,扩展企业工控安全范围,提高安全监测、预警、分析判断能力,提升安全态势感知能力,从静态防护走向动态防御。
工业控制系统信息安全需要强调工控系统内生安全。工业控制系统安全是个大安全范围,是工控系统在全生命周期的安全可达性,由控制系统本质安全、安全防护软件及系统本质安全、业务生产过程安全、功能安全、系统网络安全、信息安全共同构成的安全,简而言之应该是功能安全与信息安全的融合。建立这样的安全需要以保障工业系统可用性为目标,综合运用功能安全、信息安全等技术手段和防护措施,保障工控系统在生命周期内的安全稳定运行。传统的工业安全理论和单一的技术手段已经不能保证工业的安全稳定运行,只有建立基于行业业务规则的新的理论和技术创新,才有可能解决工控系统的本质安全,之后再从核心安全走向外围安全,所有脱离工控系统功能安全谈信息安全的都是伪安全,我们不能抛弃核心只专注于构建“马奇诺防线基于行业应用场景的工控系统安全
工业公司行业划分较多,单纯的采用一套安全防护体系,不能解决特定安全需求。行业之间的工艺场景、业务应用造成设备间的差异,以及生产数据的保密要求,每个行业对现场控制装置、控制管理系统的要求都不一样。安全服务厂商应基于业务应用场景解决“个性化”安全需求,依据工业业务特点开药方。
其他安全举措包括建立企业安全工作机制,推动安全措施落地;继续推动工控安全管理标准与技术标准的制定,统筹安全产业发展,使安全有法可依,有据可查;加强工控系统安全评估能力建设,加强测评技术研究;高度重视网络安全人才培养工作,不仅要培养精通信息系统使用和维护的技术人才,还要培养大批能够开展网络安全运行维护、风险管控、应急处置和综合防护的人才,从而满足国家和行业及企业自身的要求;最后,将安全落实到日常运维管理中,使安全成为一种行为。
对于安全服务商而言,工控安全市场面临巨大的机遇与挑战,也需要强大的社会责任;对于工业公司而言,管控工控安全风险已经成为日常运维管理不可或缺的内容。我们不能回避自身工控安全的基础,必须在落地基本安全防护措施的基础上,进行安全防护能力的提升;同时也要有技术自信,坚持技术创新,积极探索安全新技术,能够抵御安全风险应对安全事件,提高安全防护能力。构架安全生态圈,推动工控安全产业发展,加强网络安全核心技术能力建设,为提升我国网络安全保障能力,构筑我国网络安全坚固屏障不断贡献力量。
李晓龙,男,硕士,毕业于大连海事大学,现就职于青岛海天炜业过程控制技术股份有限公司,研究方向为工业控制管理系统网络安全和信息安全,工业控制系统网络和安全评估技术、安全体系建设、安全防护方案,具有丰富的工业控制管理系统信息安全项目经验与坚实的信息安全技术与理论基础。