工业控制系统——工业信息化中的“神经中枢”
在工业信息化中,用“神经中枢”来类比工业控制系统的作用,是十分恰当的。随着计算机网络技术的推广,特别是工业互联网的兴起,一直以来被认为相对封闭、专业和安全的工业控制系统不断开放,已不再是一个孤岛,对其发起信息攻击不仅可能,而且门槛越来越低。由于工业控制系统与执行机构是实时联动的,对工业控制系统虚拟的信息攻击,可以直接转化为现实的物理行为,很快形成对整个工业系统乃至社会的巨大破坏力。
黑客、不法组织、甚至国家层面的网络战,都纷纷把工业控制系统作为信息攻击目标。据统计,截至2010年10月,全球已发生200余起针对工业控制系统的攻击事件,尤其是2001年后,针对工业控制系统的攻击事件呈大幅度增长趋势。1986年前苏联的天然气管道爆炸和2010年的震惊全球的伊朗核电站“震网”病毒事件,就是国家层面攻击的典型例子。
随着我国工业与信息化融合的推进,工业控制系统规模已经扩展到国家关键基础设施行业(如交通、水电、油气、国防等),成为其重要组成部分。工业控制系统一旦遭到信息攻击或破坏,其影响不仅是控制系统性能下降、控制能力丧失,而且将造成人员伤亡、环境灾难,甚至会危及公众生活和国家安全,导致国家的战略被动、受制于人。工业控制系统信息安全关乎经济发展、社会稳定、国家安全、公众利益,是工业与信息化融合中应该特别关注的问题。
我国工业控制系统信息安全技术研究基础薄弱
工业控制系统出现的时间要早于互联网,传统的工业控制系统采用专用的硬件、软件和通信协议,安全设计规范要求以抗物理攻击为主,基本没有或很少考虑互联互通所产生的信息安全问题。随着互联网技术的出现与商业运用,低成本的基于IP协议的设备开始逐步取代以往的专用解决方案,为提高工业控制系统与各种业务系统的互联和远程访问的能力,工业控制系统也开始采用信息系统解决方案,导致工业控制系统信息安全脆弱性和隐患增大。
从2002年起,美国就开始重视工业控制系统信息安全问题,由国土安全部和能源部牵头,以石油化工、电力等能源行业为重点,在工业控制系统安全领域进行了大量的工作,已形成相对完整的工业控制系统信息安全管理体制和技术体系。美国相继提出了《工业控制系统安全指南》、《联邦信息系统和组织的安全控制推荐》、《系统保护轮廓——工业控制系统》、《智能电网安全指南》、《中等健壮环境下的SCADA系统现场设备保护概况》、《提高SCADA系统网络安全21步》、《中小规模能源设施风险管理核查事项》、《控制系统安全一览表:标准推荐》、《加强SCADA系统及工业控制系统的安全》等一系列国家指南;推出了《北美大电力系统可靠性规范》、《核设施网络安全措施》、《美国化工设施反恐标准》、《SCADA通信的加密保护》、《管道SCADA安全》和《石油工业安全指南》等行业标准规范。
美国国土安全部联合国防、能源、交通、外交等14个国家直属部委,2009年推出了《国家关键基础设施保护计划》最新的修订版,提出了一个针对国家关键基础设施的风险管理框架;2010年,国土安全部和能源部联合发布的《能源领域关键基础设施保护计划》,制定了能源领域工业控制系统安全保障路线图,提出在10年内完成对工业控制系统设计、安装、操作和维护等环节的信息安全防护工作。在技术研究方面,美国国土安全部制定了专门的工业控制系统安全计划,形成了由国家职能部门协调管理、国家级专业队伍、实验室和科研机构提供技术支撑、用户及厂商共同参与的技术研究体系,并依托模拟仿真平台,综合现场检查测评与实验室测评建立了工业控制系统信息安全测评体系。2005年,美国能源部建设并完成了关键基础设施测试靶场,制定了国家SCADA测试床计划。美国国土安全部下属的工业控制系统应急响应小组(ICS-CERT)同联邦计算机安全事件应急响应小组(US-CERT)协作,以工业控制系统安全为关注点,开展了大量的安全测评技术工作。
俄罗斯、英国、德国、法国、日本、韩国等国家均将关键基础设施中的工业控制系统作为网络安全战略重点,但这些国家尚未形成比较成熟的指南、准则和法规,且在相关技术支撑方面还比较匮乏。伊朗核电站事件对欧盟的工业控制系统信息安全敲响了警钟,2011年底,欧盟专门出版了一份名为《保护工业控制系统》的专刊,对工业控制系统信息安全进行了全面、系统的介绍。
2011年10月,我国工信部发布了《关于加强工业控制系统信息安全管理的通知》,标志我国在工业控制系统信息安全领域掀开了新的篇章,但是我国工业控制系统信息安全技术研究基础目前还十分薄弱,工业控制系统信息安全技术研究尚未起步。
工业控制系统信息安全的技术特色和挑战
工业控制系统信息安全的目标是:保证工业控制系统长时间、无间断的稳定、可靠运行。工业控制系统信息安全技术自身具有显著的技术特点,传统的信息安全技术不能直接应用于工业控制系统。工业控制系统信息安全的技术特色主要体现在:
(1)需求上强调可用性、系统上强调实时性
传统的信息安全要求实现保密性、完整性和可用性三大目标,工业控制系统信息安全则需要在协调实现这三大目标的基础上,突出系统的可用性。工业控制系统面临的威胁可分为两种:系统威胁(工业控制系统作为一个信息系统所面临的威胁)和过程威胁(工业控制作为一个过程所面临的威胁)。系统威胁的防御可借鉴传统的信息安全成熟解决方案,但过程威胁的防御则要强调系统可用性的保证,即在工业控制系统遭受攻击时,对控制过程的影响不干扰控制任务的执行。
工业控制系统信息安全防御系统既要保证系统安全和过程安全,也要保证对工业控制系统运行的可靠性和稳定性不产生影响,在设计与实现上,信息安全防御系统需强调实时性,在安全防御机制以及体系构建上需探索新的技术途径。
(2)环境需要严格界定、行为需要严格规范
与传统的网络系统相比,工业控制系统的工作环境相对独立,系统的工作流程相对清晰,其信息安全保障是一个针对特定环境和特定控制流程的防御过程。为提高信息安全防御系统的效能,安全监控应建立在对工业控制系统的环境界定、环境规范和行为规范等的基础上。
(3)任务保障是防御重点、在线监控是基本要求
工业控制系统信息安全的最终目标是:即使是在遭受恶意攻击的情况下,也要保障控制任务的连续、可靠、成功执行。面向任务保障的“前沿防御(Defensein-Breadth)”是工业控制系统信息安全防御设计的理念,即在任务执行的网络空间与时间范围内,通过保证任务关键信息能力、相关重要信息组件和关键操作行为,来确保工业控制任务的安全可靠完成。
工业控制系统所面对的是内网环境,在其安全威胁模型中需假设任何一个终端、用户和网络都是不安全和不可信的,需要通过对所有组成节点和参与者的细致管理,实现工业控制系统网络的可管理、可控制和可信任。工业控制系统信息安全防御体系的建设应该更多的关注安全监控技术的发展,建立观察、判断、决定和行动的循环(即OODA循环),从而形成监控过程的信息优势,实现对安全事件的事前和事中的在线监控。
(4)软件安全是核心技术、平台测试是基本保障
软件的安全缺陷或漏洞是工业控制系统产生信息攻击的焦点,针对工业控制平台、系统和软件的安全缺陷发现技术研究应该予以加强。测试是技术研究、系统开发与体系运行的反馈环节,测试水平关系到技术研究的水平和系统设计的品质,工业控制平台、系统的测试与评估技术发展应引起充分的重视。
工业控制系统信息安全技术挑战主要体现在:
(1)建立在该领域的话语权和主导权
工业控制系统信息安全是制约工业信息化发展的重大“瓶颈”问题,对我国工业信息化具有全局性影响。我国应该坚持以我为主,尽快开展自主、可控技术研究,形成我们的自主技术优势和体系特色,建立工业控制系统信息安全方面的话语权和主导权。
(2)拿来主义的技术发展道路走不通
从技术上讲,工业控制系统信息安全技术具有紧迫性和创新性等特点,是一种在工业信息化推进过程中应该先行的主权高科技。我国工业信息化建设中,核心芯片、操作系统、数据库、关键网络设备甚至重要信息系统等都可以进口,但高端工业控制系统信息安全技术“买不到、租不成、借不来”,工业控制系统信息安全技术发展可以跟踪、借鉴国外成熟的思路与模式,但不能亦步亦趋或者走拿来主义道路。
(3)亡羊补牢的技术发展模式不可取
工业控制系统对运行的高连续性、高可靠性要求,决定了工业控制系统信息安全技术的发展必须加强系统规划和顶层设计,努力提高技术的可靠性与稳定性,亡羊补牢的技术发展模式不可取。
加快我国工业控制系统信息安全工作发展步伐
我们可以欣喜地看到,2014年2月,以习近平总书记为组长的中央网络安全与信息化领导小组正式成立,把我国网络安全与信息化整体推进到一个新的发展阶段,也为工业控制系统信息安全营造了一个快速发展的大环境。
自2011年工信部下发《关于加强工业控制系统信息安全管理的通知》以来,我国在工业控制系统信息安全方面开展了许多富有成效的工作:
(1)国家信息安全漏洞共享平台开始重点关注工业控制系统信息安全漏洞,工业控制系统的信息安全也被纳入到我国信息安全等级保护制度中;
(2)2014年4月,由24家自动化主流企业及相关科研院所、单位,共同发起组建的“工业控制系统信息安全产业联盟”正式成立;
(3)钢铁、化工、石油石化、电力、天然气、铁路、城市轨道交通、民航等行业都非常重视这一问题,组织了专门的技术力量开展研究;
(4)相关的IT公司纷纷关注自主知识产权的工业控制系统信息安全产品开发和市场化工作。
(5)……
这些工作将在体系建设、等级保护、风险评估、标准制定、产品开发和评测等方面,极大地推进我国工业控制系统信息安全的实质发展,促进工业控制系统信息安全产品的国产化及产业发展,对保障关键基础设施安全稳定运行、支撑我国工业健康可持续发展具有重要意义。
工业是一个国家竞争力的核心,捍卫工业控制系统信息安全是国家安全的战略必争。工业控制系统信息安全体系建设是一项复杂的系统工程,我们应该发挥社会主义制度“集中力量办大事”的优势,采用“提高认识、体系规划,突出重点、强调自主,面向能力、创新研究,军民融合、以民为主”原则,通过顶层设计、加强统筹规划、攻克核心技术、系统协调实施。为把握工业控制系统信息安全技术发展的机遇,我国应该从国家层面,尽快组织攻克并开发自主、可控的工业控制系统信息安全高端技术。这项工作如果抓晚了,我们则会处于战略被动,而且这种局面一旦形成,要想重新赢得主动,投入将会更大,也难于再起。
(1)尽快启动“国家工业控制系统信息安全科技行动计划”,开展顶层设计、整体规划,建立统一、协调的国家信息安全指挥管理、技术防御和监督管理科技协调机制,形成平战结合、军民融合的工业控制系统信息安全技术支撑体系。
(2)整合现有科技资源,制定“国家工业控制系统信息安全科技行动计划”实施方案,围绕我国工业控制系统信息安全保障整体能力的提高,开展信息安全防护体系、软件安全、环境与行为规范、安全监测与评估、安全柔性工程等核心关键技术研发、支撑平台建设和相关标准制定。
(3)加强工业控制系统信息安全的影响、技术对策与技术手段研究,结合我国工业控制系统的特点,开展工业控制系统信息安全战略、法规与标准研究,形成包含技术、管理、法规等各层次的系统解决方案与措施。
(4)系统开展工业控制系统风险测评与攻防对抗技术研究,建立国家测试靶场与模拟仿真平台,形成攻防演练机制,制定相应的技术标准与规范。
(5)加强以基地、联盟、平台、人才等为内容的工业控制系统信息安全技术创新体系建设,研究制定推动工业控制系统信息安全发展的产业技术政策。
(6)结合不同行业信息化建设、工程实施与运行,开展“面向行业的工业控制系统信息安全保障重大工””项目,以项目为牵引,开展自主、可控核心关键技术的工程示范与应用,将工业控制系统信息安全管控前移与集中,加强行业工业控制系统信息安全内控能力建设。