2018,或将成为工业控制系统信息安全爆发年
2018-03-30
2010年伊朗震网病毒的爆发,充分暴露出工业控制系统信息安全面临着严峻的形势。而2015年的乌克兰停电事件,进一步提升了工业控制系统信息安全问题的重要性,很多国家将其上升为国家战略级别。我国也不例外。
2011年,工信部下发《关于加强工业控制系统信息安全管理的通知》的通知,强调加强工业控制系统信息安全的重要性、紧迫性;2014年,GB/T30976.1~.2-2014《工业控制系统信息安全》评估规范及验收规范发布;2015年,能源局明确了电力监控系统安全防护的36号文,作为电力行会工业控制系统信息安全的指导性文件;2016年,“工业控制系统深度安全技术”被列入科技部发布的“网络空间安全”重点专项2016年度项目申报指南。与此同时,2016年到2017年之间,工信部连续发布了《工业控制系统信息安全防护指南》、《工业控制系统信息安全防护能力评估工作管理办法》以及《工业控制系统信息安全行动计划(2018-2020)》,进一步完善了我国工业控制系统信息安全的相关法规。
尤其是工信部选择在2017年的最后一个工作日出台《工业控制系统信息安全行动计划(2018-2020)》,想必也是期待在工业控制系统信息安全产业在2018年能有一个全新的气象。该行动计划明确提出坚持安全和发展同步推进、坚持落实企业主体责任、坚持因地制宜分类指导、坚持技术和管理并重等四大基本原则,其中的因地制宜分类指导与技术和管理并重原则对于实现供给侧改革,为工业企业提供既安全又经济的工控系统信息安全解决方案,推进工业控制系统信息安全产业的可持续发展具有现实的指导意义。
事实上,有了政府的推波助澜,工业控制系统信息安全市场的火热程度可能远超大家的想象。越来越多的信息安全厂商开始觊觎工业这个细分市场,纷纷开展工控信息安全业务,与此同时,一些传统的自动化厂商也开始纷纷布局信息安全市场。
作为国内知名的工控厂商,和利时很早就开始对嵌入式系统的网络安全、信息安全进行技术研究和验证,对控制系统的网络健壮性进行设计,在发生网络风暴或者黑客攻击时,不会生产断网或者控制系统失控。同时对控制系统增加通讯加解密、账户管理、数字签名、启动和关机可信认证等安全手段研究,有效保证系统程序运行的可靠和可信度,确保系统按照设计要求运行和执行。控制系统在遭受网络攻击时性能不降低或产生异常。与此同时,和利时也一直致力于产品的信息安全认证。2017年3月1日,和利时LK系列可编程控制器顺利通过Wurldtech's Achilles(阿基里斯)国际认证,成为国内首家获得该认证的大型PLC供应商。
无独有偶,另外一家国内知名自动化厂商——中控早在2010年震网病毒爆发时就开始对相关技术开展研究,目前拥有包括工控防火墙、嵌入式主机防护系统、安全盾等信息安全产品和解决方案,能够针对信息安全建立“内生安全、纵深防御”的综合网络安全技术体系,满足工业企业持续不间断、安全生产的需求。目前中控是工业控制系统信息安全产业联盟的理事单位,拥有中国信息安全测评中心颁发的信息安全服务资质。更是提出了“彩虹防御体系”,在时间维度上构建了规划设计、生产护航和危机应对三个阶段,在空间维度上围绕功能安全、信息安全;两个核心,由内而外、自底向上地构筑出七层安全技术防御路线。
施耐德电气也许是开展工业控制系统信息安全行动最早的外资厂商之一。2014年4月17日,工业控制系统信息安全产业联盟在北京正式成立。施耐德电气作为当时唯一一家外资企业加入联盟,在此之后,也一直在加强自身PLC产品的信息安全功能。以M580为例,在2013年,施耐德电气M580 ePAC发布之时就已经拿到了阿基里斯Level 2的信息安全认证;2016年,ePAC获得了中国权威工业控制系统信息安全测评机构国家信息安全测评中心的信息安全认证;2017年10月7日,施耐德电气拿到了法国CSPN的信息安全认证。获得这些认证,意味着施耐德电气ePAC产品完全满足相关信息安全的标准和要求。
2018年2月16日,西门子与业界的八个合作伙伴签署首个致力于提升网络信息安全的共同宪章。该《信任宪章》(Charter of Trust)由西门子发起,呼吁制定网络信息安全领域的规则和标准以建立信任,从而进一步深化数字化发展。西门子股份公司总裁兼首席执行官凯飒(Joe Kaeser)表示:“拥有保证数据和网络系统安全的信心是数字化转型的关键因素,因此,我们必须使数字世界更安全、更值得信赖。现在是我们采取行动的时候了。”宪章提出了在网络信息安全方面政府和企业必须积极开展行动的十个领域。它呼吁由政府和企业的最高级别人员来承担网络信息安全的责任,在政府中责成专门的部门和在公司内任命首席信息安全官。它还要求公司为关键基础设施和解决方案建立强制性的、独立的第三方认证——尤其是在可能出现危险的情况下,如自动驾驶或未来机器人,它们将在生产过程中直接与人类发生互动。未来,安全和数据保护功能都将作为技术的一部分被预先设定,网络安全法规将被纳入自由贸易协定。宪章签署方还呼吁通过培训、继续教育和国际举措等做出更大努力,促进对网络安全的理解。
上有政策导向,下有企业积极行动,2018或将成为工业控制系统信息安全产业发展的爆发年。