继工业控制系统信息安全技术国家工程实验室于日前揭牌成立之后,12月2日,推荐性国家标准GB/T30976.1~2-2014《工业控制系统信息安全》(2个部分)又在京发布。
这是我国工控领域首次发布正式标准,填补了该领域系统和产品评估及验收时无标可依的空白。
作为国家关键生产设施和基础设施运行的“神经中枢”,工业控制系统的安全关系到国家的战略安全。但由于基础薄弱,缺少信息安全防护措施,而且系统产品严重依赖进口等,我国的工控安全威胁有增无减。
此次系列标准的发布,对形成我国自主的工业控制系统信息安全产业和标准体系,保障国家经济的稳定增长和国家利益的安全,具有很现实的意义。
工控安全威胁增多
由于广泛应用于冶金、电力、石油石化、核能等工业生产领域,以及航空、铁路、公路、地铁等公共服务领域,工业控制系统堪称是国家关键生产设施和基础设施运行的“神经中枢”。
“作为国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。但随着两化深入,工控系统正面临越来越复杂的信息安全问题。”
在当日的发布会上,科技部高新司先进制造与自动化处副处长孙权强调说。
随着计算机和网络技术的发展,工控系统越来越多地采用通用协议、通用硬件和通用软件,而通过互联网等公共网络连接的业务系统也越来越普遍,这就使得传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也向工业控制系统扩散,而针对工控系统的攻击行为也大幅度增长,其面临的信息安全问题也日益突出。
2010年的“震网”病毒、2012年的超级病毒“火焰”等专门针对工控系统的病毒爆发,不但给用户带来了巨大损失,还直接或间接地威胁到了国家的安全。
有数据显示,2012年10月至2013年5月,全球针对关键基础设施的攻击报告已超过200起,超过了2012年全年。而根据美国国土安全部的工业控制系统网络应急响应小组的统计,目前针对基础设施的攻击中,能源领域111起,占53%,关键制造业32起,占17%,而2011年10月至2012年9月一年中,该数据为198起,能源82起(41%),关键制造8起(4%),呈明显的上升趋势。
而当前我国工控系统的信息安全形势尤为严峻。首先,整个工业控制基本上没有任何信息安全防护措施;其次,系统产品严重依赖进口,产品和维护全靠国外,如大型可编程控制器(PLC)占了中国市场的94.34%,一旦出了问题就要受制于人;此外,还缺少仿真验证环境。由于工业控制领域的应用环境复杂,一旦发生系统信息安全事件,将造成不可挽回的严重后果。
机械工业仪器仪表综合技术经济研究所副所长梅恪告诉记者,传统的信息系统将“保密性”放在首位,其次是完整性、可用性,而仪控系统的要求则正好相反,这种不同造成了传统的、成熟的防护手段无法在工业控制系统中使用。
“目前工业企业面对很多类型的信息安全威胁,其中普遍存在的是主机恶意代码防护问题。”北京和利时系统工程有限公司技术中心高工王弢表示,但常规的查毒软件并不适用于工业控制系统,工控系统不可能随时升级病毒库。目前杀毒软件误杀造成工控软件运行不正常的事件也在不断涌现。
国标首次发布
近年来,世界各国都高度重视工业控制系统的信息安全。据悉,美国、德国等发达国家纷纷加大力度研发涉及工业生产运行的相关设备和网络的安全防护技术,美国还发布了《工业控制系统信息安全指南》等。而我国也对工控系统的信息安全越来越重视。
《“十二五”国家战略性新兴产业发展规划》、《标准化事业发展“十二五”规划》都将网络信息安全作为新一代信息技术产业的重点内容;2011年9月,工业和信息化部《关于加强工业控制系统信息安全管理的通知》,要求加强国家主要工业领域基础设施与工业控制系统的安全保护工作;2012年6月《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》发布,也将保障工控系统等重点领域的信息安全作为一个重要方面来强调。
今年2月27日,由习近平任组长,李克强、刘云山为副组长的中央网信领导小组正式亮相;而到8月26日,国务院授权重新组建的国家互联网信息办公室负责全国互联网信息内容管理工作,并负责监督管理执法。
据梅恪介绍,目前,我国通过了11项国家/行业标准的制定,已经初步建立了系统级的安全要求标准体系,在顶层设计上建立了基于技术与管理方法的评估规范和验收规范;系统设计上建立了DCS、现场总线、PLC系统安全设计规范等。
与此同时,随着国内外工业控制系统信息安全事件的不断涌现和政府对国家基础设施信息安全问题的重视程度不断提高,部分大型工业企业也已对工控系统建立了信息安全意识。“他们首先提出信息安全需求,然后在与工控企业、信息安全服务企业等的互动过程中共同制定解决方案。”王弢表示。
而此次的《工业控制系统信息安全》系列国家标准是我国工控领域首次发布的正式标准,可以说,填补了我国针对工控领域无标准做依据进行系统和产品评估及验收的空白。
据介绍,该标准主要包括安全分级、安全管理基本要求、技术要求、安全检查测试方法等基本要求,适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机构等对工业控制系统信息安全的评估和验收。
业内人士认为,该系列标准的发布,对今后建立国际领先的工业控制系统信息安全评估认证机制,形成我国自主的工业控制系统信息安全产业和标准体系,保障国家经济的稳定增长和国家利益的安全,具有十分现实的意义。
“希望全国工业过程测量控制和自动化标准化委员会再接再厉,与国家科技攻关项目密切配合,开展重点领域工业控制系统及其关键设施的信息安全标准研制工作,逐步完善我国工业控制领域的信息安全标准体系。”孙权表示。
尽管还处于起步阶段,但随着政府和行业的推动,国内的工控安全正逐步发展起来。“但工控信息安全是一项长期艰巨的任务,”梅恪提醒说,它需要建立起政策+管理+技术的模式,还需要工控、IT等各领域专家群策群力,同时在管理和运维方面还应加强安全防护意识,“在工业现场实施安全防护是一项复杂的系统工程,对安全运维人员的技术素质要求很高。”