从工业控制层面来分析工业互联网
2020-05-25
来源:21ic中国电子网
(文章来源:人民网)
近年来,两化深度融合催生互联网在工业控制系统中的应用,打破了传统工业控制系统相对封闭可信的环境,将互联网上的传统安全威胁渗透进了工业领域,使得网络型攻击可以直达生产现场,造成生产中断甚至危及人员生命。针对工业控制系统的各种安全事件日益增多。例如,乌克兰氯气站被攻击、委内瑞拉全国性断电等安全事件,目前通过网络攻击,“勒索病毒”可以直接利用被控制的控制器进行勒索,在工厂侧,被“锁屏勒索”的安全事件也屡见不鲜。
工业控制系统的本质目标是控制,互联网的核心目标是交换。相较于传统互联网采用平等关系的点对点传输模式,工业互联网多采用基于主从关系的非对等网络。工业互联网面临的安全挑战需从工业控制系统的安全防护能力的视角来看。从工业控制系统设计思路上看,工业控制系统的传统设计都是使用专用的相对封闭可信的通信线路。但随着工业控制系统向互联网的转移,与企业其他业务应用程序的整合,也越来越容易遭遇来自互联网的攻击,暴露了许多先天缺陷。
比如基于离线系统技术要求的设计思路,没有考虑规划设计安全防护机制;比如由于控制器的弱计算力,只设计了对于弱计算力的防护机制。从工业控制系统运维来看,很多企业出于工业控制系统是封闭的考虑,开放了远程调试功能,同时没有考虑远程调试的访问控制,很多攻击是利用了远程调试的访问控制漏洞实现渗透。从工业控制系统通信协议看,绝大多数的工业控制系统通信协议,设计之初都未考虑机密性问题,基本采用明文传输,且国内尚未建立自有的、安全的工业互联网通信协议、数据交换协议。
当前,面临严峻的工业互联网安全挑战,很多工业控制系统查漏补缺存在难度,是长久战。明确责任,建立规范安全规程、操作准则和安全管理体系,加强意识宣贯和人才培育,逐步完善工业互联网安全体系,显得尤为重要。
为全面落实《国务院关于深化“互联网 先进制造业”发展工业互联网的指导意见》(以下简称《指导意见》)部署要求,加快构建工业互联网安全保障体系,提升工业互联网安全保障能力,促进工业互联网高质量发展,推动现代化经济体系建设,护航制造强国和网络强国战略实施,工业和信息化部会同有关部门起草发布了《关于加强工业互联网安全工作的指导意见》。
在监管部门侧,建设国家、省、企业三级协同的工业互联网安全技术保障平台,强化地方、企业与国家平台之间的系统对接、数据共享、业务协作,打造整体态势感知、信息共享和应急协同能力。在专业机构侧,指导第三方专业机构建设工业互联网企业持续开展安全能力评测评估服务能力。鼓励建设检测评估、安全监测、攻防测试、应急响应等公共服务能力,面向机械制造、电子信息、汽车、石油化工等行业领域提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。
明确政府监督管理责任,工业和信息化部组织开展工业互联网安全相关政策制定、标准研制等综合性工作,并开展行业指导、监管。地方工业和信息化主管部门指导本行政区域内应用工业互联网的工业企业的安全工作,同步推进安全产业发展;地方通信管理局监管本行政区域内标识解析系统、公共工业互联网平台等的安全工作,并在公共互联网上对联网设备、系统等进行安全监测。生态环境、卫生健康、能源、国防科工等部门根据各自安全管理职责,开展本行业领域工业互联网推广应用的安全指导、监管工作。
中国电子信息产业发展研究院依托工业控制系统安全测评共性技术工信部重点实验室,通过已建设的国家工业控制系统安全公共技术服务、可编程逻辑控制器(PLC)安全仿真测试、工控系统通信总线安全仿真测试、主动式工控设备安全检测及态势感知平台等国家级平台,开展了石油石化、轨道交通、电力电网、钢铁、汽车、水处理、有色等行业领域的质量验收、安全测评、渗透测试、标准编制、方案及设计咨询、专项培训、应急演练等服务,支撑部委开展工业控制系统安全检查和安全防护能力验证,承担国家重大活动安全保卫工作。
通过开展工业互联网和工业控制系统安全测评工作,以测促用、以测促改,全面推进指导意见的实施,提升我国工业互联网的安全能力。