工業(yè)控制系統(tǒng)信息安全淺析
李? 莉(中國(guó)信息通信研究院,北京 100191)
摘? 要:本文首先研究了工業(yè)控制系統(tǒng)信息安全的范疇和發(fā)展現(xiàn)狀,然后對(duì)工業(yè)控制信息體統(tǒng)安全行業(yè)發(fā)展帶來(lái)的新機(jī)遇進(jìn)行了探討,接下來(lái)對(duì)促進(jìn)工控信息系統(tǒng)發(fā)展的國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)做了梳理,最后給出了工控安全行業(yè)發(fā)展展望和建議。
關(guān)鍵詞:工業(yè)控制信息系統(tǒng)信息安全;工業(yè)互聯(lián)網(wǎng);工控安全標(biāo)準(zhǔn)
1 工業(yè)控制系統(tǒng)信息安全簡(jiǎn)介
工業(yè)控制系統(tǒng)被廣泛應(yīng)用于現(xiàn)代社會(huì)的諸多關(guān)鍵領(lǐng)域,包括能源、水電、通信、交通、調(diào)度、工業(yè)制造等。在工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)連接的趨勢(shì)下,工業(yè)控制系統(tǒng)信息安全越來(lái)越引起業(yè)界的關(guān)注。
一個(gè)完整的工控企業(yè)的信息系統(tǒng)通常分為四層,即企業(yè)管理層、生產(chǎn)管理層、生產(chǎn)控制層和設(shè)備層。企業(yè)管理層實(shí)現(xiàn)企業(yè)內(nèi)部辦公系統(tǒng)功能,生產(chǎn)相關(guān)數(shù)據(jù)不包括在內(nèi)。一般將生產(chǎn)管理層、生產(chǎn)控制層和設(shè)備層涉及的部分統(tǒng)稱為工業(yè)控信息系統(tǒng)。工業(yè)控制信息系統(tǒng)不但包括SCADA、DCS、PLC、RTU等專用的信號(hào)采集、數(shù)據(jù)傳輸和信息控制系統(tǒng),還包括專用的工業(yè)通信輸設(shè)備及工業(yè)企業(yè)專用數(shù)據(jù)庫(kù)。
SCADA(Supervisory Control And DataAcquisition)即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng),用來(lái)控制地域上分散的大型分布式系統(tǒng)。SCADA系統(tǒng)控制的分布式系統(tǒng),地域跨度大,分散的數(shù)據(jù)采集和集中的數(shù)據(jù)處理是SCADA的主要特點(diǎn)。典型的SCADA系統(tǒng)有供水和污水收集系統(tǒng)、石油和天然氣管道、電力電網(wǎng)及鐵路運(yùn)輸系統(tǒng)等。
DCS(Distributed Control System)即分布式控制系統(tǒng),是對(duì)工業(yè)系統(tǒng)的生產(chǎn)過(guò)程進(jìn)行集中管理和分散控制的計(jì)算機(jī)系統(tǒng)。DCS對(duì)實(shí)時(shí)性和可靠性要求較高。DCS通常是專用定制化系統(tǒng),使用專用處理器,采用私有通信協(xié)議通信,運(yùn)行針對(duì)企業(yè)特定應(yīng)用的定制化軟件系統(tǒng)。DCS廣泛應(yīng)用在在能源化工、汽車生產(chǎn)、食品、廢水處理等行業(yè)。
PLC(Programmable Logic Controller)即可編程邏輯控制器,用于控制工業(yè)設(shè)備和生產(chǎn)過(guò)程。PLC通常在較小的控制系統(tǒng)配置中作為主要組件,用于提供離散過(guò)程的操作控制。PLC被廣泛應(yīng)用于幾乎所有的工業(yè)生產(chǎn)過(guò)程。
RTU(Remote Terminal Units)即遠(yuǎn)程終端單元,用于工業(yè)現(xiàn)場(chǎng)監(jiān)控。與PLC相比,RTU的存儲(chǔ)容量更大,能在更惡劣的環(huán)境中實(shí)現(xiàn)數(shù)據(jù)收集和傳輸。在能源、水電和市政調(diào)度等行業(yè)SCADA系統(tǒng)中,RTU比較常見(jiàn)。
工業(yè)控制系統(tǒng)所涉及的信息安全防護(hù)產(chǎn)業(yè)稱為工業(yè)控制系統(tǒng)信息安全。工業(yè)控制系統(tǒng)信息安全不但涉及生產(chǎn)管理層、生產(chǎn)控制層和設(shè)備層的信息安全,還涉及各層之間的邊界防護(hù)。一般企業(yè)管理層被歸為傳統(tǒng)的IT信息系統(tǒng)。
2 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀
2.1 工控信息系統(tǒng)安全形勢(shì)嚴(yán)峻
美國(guó)ISC-CERT從2010年到2018年報(bào)告的漏洞數(shù)統(tǒng)計(jì)如下圖。統(tǒng)計(jì)數(shù)據(jù)表明,從震網(wǎng)病毒發(fā)生的2010年 起,工控漏洞的數(shù)量逐年增長(zhǎng)。其中2017-2018年數(shù)據(jù)ICS-CERT官方暫未公布,數(shù)據(jù)統(tǒng)計(jì)自所有擁有CVE編號(hào)且來(lái)源總包含ICS-CERT的漏洞。
工控系統(tǒng)應(yīng)用于關(guān)系國(guó)計(jì)民生的領(lǐng)域,其存在的隱患可能造成特別嚴(yán)重的后果。震網(wǎng)病毒嚴(yán)重地破壞了伊朗核計(jì)劃。烏克蘭電網(wǎng)在一年多的事件內(nèi)遭到多次攻擊,導(dǎo)致停電事故。臺(tái)積電遭受勒索軟件攻擊,導(dǎo)致生產(chǎn)線停產(chǎn),損失達(dá)1.7億美元。這些事故的發(fā)生說(shuō)明,工業(yè)控制系統(tǒng)發(fā)生的安全問(wèn)題會(huì)給社會(huì)及企業(yè)帶來(lái)重大損失和影響,甚至國(guó)家安全產(chǎn)生重大影響。
2.2 工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)連接趨勢(shì)明顯
工業(yè)互聯(lián)網(wǎng)是工業(yè)系統(tǒng)與高級(jí)計(jì)算技術(shù)和互聯(lián)網(wǎng)的高度融合。它通過(guò)與互聯(lián)網(wǎng)連接,與大數(shù)據(jù)分析技術(shù)結(jié)合,實(shí)現(xiàn)生產(chǎn)的智能化和個(gè)性化。
傳統(tǒng)工業(yè)控制系統(tǒng)多是封閉的獨(dú)立系統(tǒng)。盡管系統(tǒng)內(nèi)部都實(shí)現(xiàn)了IT化,但是各系統(tǒng)之間,企業(yè)與用戶和供應(yīng)商之間很少有信息交互。工業(yè)互聯(lián)網(wǎng)平臺(tái)通過(guò)高效的數(shù)據(jù)采集方式,建立面向工業(yè)大數(shù)據(jù)的綜合環(huán)境,從而降低工業(yè)的成本,提高生產(chǎn)效率,提升企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。
隨著《中國(guó)制造2025》戰(zhàn)略計(jì)劃的實(shí)施,我國(guó)越來(lái)越多的工業(yè)控制設(shè)備連接到互聯(lián)網(wǎng)上。但同時(shí)也要看到,在向制造強(qiáng)國(guó)轉(zhuǎn)變的過(guò)程中,我國(guó)工業(yè)與發(fā)達(dá)國(guó)家還存在較大差距,如自主創(chuàng)新能力不強(qiáng)、能源利用率低、產(chǎn)業(yè)結(jié)構(gòu)不合理等。
2.3 各界對(duì)工控信息系統(tǒng)安全的重視程度明顯提高
我國(guó)政府及各級(jí)管理部門、研究機(jī)構(gòu)對(duì)工業(yè)控制系統(tǒng)信心安全的重視程度逐年增高,各種法規(guī)、政策指導(dǎo)性文件相繼發(fā)布。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)制定和計(jì)劃編制多項(xiàng)標(biāo)準(zhǔn),包括SCADA系統(tǒng)安全控制指南、電力系統(tǒng)安全指標(biāo)體系、工控系統(tǒng)安全管理基本要求和安全分級(jí)指南等。2015年,國(guó)務(wù)院印發(fā)《中國(guó)制造2025》的通知,專門提到了“加強(qiáng)智能制造工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保障能力建設(shè),健全綜合保障體系”。2015年,國(guó)務(wù)院學(xué)位管理委員會(huì)和教育部聯(lián)合發(fā)布《關(guān)于增設(shè)網(wǎng)絡(luò)空間安全一級(jí)學(xué)科的通知》,決定增設(shè)網(wǎng)絡(luò)空間安全一級(jí)學(xué)科,加強(qiáng)人才培養(yǎng)。2017《中華人民共和國(guó)網(wǎng)絡(luò)安全法》頒布實(shí)施。這一系列政策、標(biāo) 準(zhǔn)、法規(guī)的發(fā)布,體現(xiàn)了國(guó)家管理部門對(duì)工業(yè)控制系統(tǒng)信息安全的重視。
國(guó)內(nèi)工業(yè)控制系統(tǒng)信息安全產(chǎn)品生產(chǎn)企業(yè)研發(fā)的工控安全產(chǎn)品,也從以邊界防護(hù)為主的工控安全網(wǎng)關(guān)類產(chǎn)品向工控全生命周期的全品類安全產(chǎn)品轉(zhuǎn)化。
工控系統(tǒng)漏洞逐年增多,也從側(cè)面反映了工控系統(tǒng)運(yùn)營(yíng)機(jī)構(gòu)對(duì)工控系統(tǒng)安全的重視。通常工控系統(tǒng)處于隔離的網(wǎng)絡(luò)中,一般的攻擊者很難獲得相應(yīng)的工業(yè)控制系統(tǒng)攻防研究環(huán)境?!罢鹁W(wǎng)”事件后,很多公司和運(yùn)營(yíng)機(jī)構(gòu)都開(kāi)始發(fā)掘工控系統(tǒng)漏洞,導(dǎo)致工控?cái)?shù)量逐年增加。
3 工控信息系統(tǒng)安全行業(yè)發(fā)展帶來(lái)的新機(jī)遇
3.1 工業(yè)4.0
德國(guó)提出“工業(yè)4.0”的概念,計(jì)劃推動(dòng)以信息物理系統(tǒng)為基礎(chǔ),以生產(chǎn)數(shù)字化、大數(shù)據(jù)和機(jī)器自組織為標(biāo)志的工業(yè)革命。工業(yè)4.0意在將社會(huì)的機(jī)器生產(chǎn)能力、企業(yè)可共享的信息及用戶的需求組織起來(lái),創(chuàng)造最大的社會(huì)生產(chǎn)力。工業(yè)4.0倡導(dǎo)的新型生產(chǎn)方式會(huì)帶來(lái)社會(huì)創(chuàng)新,推動(dòng)社會(huì)進(jìn)步,促進(jìn)人員創(chuàng)新。
3.2 工業(yè)互聯(lián)網(wǎng)
工業(yè)互聯(lián)網(wǎng)是工業(yè)系統(tǒng)與高級(jí)計(jì)算、分析、感應(yīng)技術(shù)以及互聯(lián)網(wǎng)連接融合的結(jié)果,它通過(guò)物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新一代信息通信技術(shù)實(shí)現(xiàn)智能設(shè)備間的互聯(lián)互通并最終與人類智慧橋接。工業(yè)互聯(lián)網(wǎng)涉及制造業(yè)與互聯(lián)網(wǎng)融合、工業(yè)企業(yè)云平臺(tái)、物聯(lián)網(wǎng)平臺(tái)、企業(yè)資產(chǎn)管理、工業(yè)4.0軟件開(kāi)發(fā)、工業(yè)數(shù)據(jù)分析等行業(yè)領(lǐng)域,工業(yè)互聯(lián)網(wǎng)行業(yè)前景廣闊。
3.3 中國(guó)制造2025
2015年,我國(guó)提出了《中國(guó)制造 2025》的制造戰(zhàn)略計(jì)劃,旨在實(shí)現(xiàn)我國(guó)制造業(yè)從制造大國(guó)向制造強(qiáng)國(guó)的轉(zhuǎn)變。這個(gè)戰(zhàn)略計(jì)劃給我國(guó)新一代信息技術(shù)產(chǎn)業(yè)、高檔數(shù)控機(jī)床和機(jī)器人、航空航天裝備、海洋工程裝備及高技術(shù)船舶、先進(jìn)軌道交通裝備、節(jié)能于新能源汽車、電力裝備、農(nóng)業(yè)裝備、新材料、生物醫(yī)藥及高新能醫(yī)療器械等領(lǐng)域帶來(lái)了新的發(fā)展契機(jī)。
4 工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)進(jìn)展
4.1 NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》
美國(guó)是最早開(kāi)始研究和執(zhí)行工控安全標(biāo)準(zhǔn)的國(guó)家。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院于2015年正式發(fā)布了SP800-82《工業(yè)控制系統(tǒng)安全指南》。
《工業(yè)控制系統(tǒng)安全指南》最新版本中,更新了工控系統(tǒng)威脅和漏洞,增加了風(fēng)險(xiǎn)管理部分。指南對(duì)工控信息安全漏洞和信息安全事件的分析,認(rèn)為敵對(duì)事件引發(fā)的事件次數(shù)少,破壞性最強(qiáng);設(shè)計(jì)開(kāi)發(fā)缺陷、錯(cuò)誤配置和管理不善導(dǎo)致的工控安全事件頻次最高。與常用的風(fēng)險(xiǎn)評(píng)估辦法不同,指南中推薦的風(fēng)險(xiǎn)管理辦法采用了分層結(jié)構(gòu)方法對(duì)風(fēng)險(xiǎn)進(jìn)行處理,分別從組織層、業(yè)務(wù)流程層面和信息系統(tǒng)層面進(jìn)行評(píng)估。雖然NIST SP不是法定標(biāo)準(zhǔn),但是這個(gè)關(guān)于信息安全的指南獲得了美國(guó)和國(guó)際安全行業(yè)的廣泛參考。
4.2 ISA/IEC 62443系列國(guó)際標(biāo)準(zhǔn)陸續(xù)完善
國(guó)際電工委員會(huì)IEC技術(shù)小組委員會(huì)TC65與國(guó)際自動(dòng)化協(xié)會(huì)ISA 99委員會(huì)于2007年共同制定了ISA/IEC62443系列標(biāo)準(zhǔn)。該系列標(biāo)準(zhǔn)包括4個(gè)部分:概述、信心安全規(guī)程、系統(tǒng)技術(shù)和組件技術(shù)。標(biāo)準(zhǔn)對(duì)建立和維持一個(gè)有效的工控安全規(guī)程時(shí)應(yīng)考慮的各個(gè)方面提出指導(dǎo)意見(jiàn),給出了系統(tǒng)設(shè)計(jì)和集成的安全方面相關(guān)要求,同時(shí)對(duì)設(shè)備提供者的單個(gè)產(chǎn)品做出了技術(shù)性的要求。這個(gè)標(biāo)準(zhǔn)對(duì)于工控產(chǎn)品的設(shè)計(jì)、生產(chǎn)、采購(gòu)和實(shí)施方面的安全都有指導(dǎo)性作用。在此基礎(chǔ)上,IEC還建立了基于62443標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全評(píng)估體系,IEC-62443網(wǎng)絡(luò)安全認(rèn)證為各行業(yè)的產(chǎn)品和系統(tǒng)提供一定程度的信任。
4.3 我國(guó)發(fā)布多個(gè)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)
全國(guó)工業(yè)過(guò)程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化委員會(huì)(SAT/TC 124)發(fā)布了系列工控安全系列標(biāo)準(zhǔn),包括GB/T 26333—2010《工業(yè)控 制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、GB/T 30976.1—2014《工業(yè)控制系統(tǒng)信息安全第1部分:評(píng)估規(guī)范》GB/T 30976.2—2014《工業(yè) 控制系統(tǒng)信息安全第2部分:驗(yàn)收規(guī)范》。這些推薦性標(biāo)準(zhǔn)對(duì)于工控安全評(píng)估和驗(yàn)收給出了建議。此外,工信部、電力行業(yè)、國(guó)家煙草專賣局都制定了針對(duì)本領(lǐng)域和本行業(yè)的系列標(biāo)準(zhǔn),如JB/T 11962—2014《工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 工業(yè)自動(dòng)化和控制系統(tǒng)信息安全技術(shù)》、《電力二次系統(tǒng)安全防護(hù)標(biāo)準(zhǔn)》(強(qiáng)制)及GB/T 31991《電能服務(wù)管理平臺(tái)技術(shù)規(guī)范》等。
5 工控安全發(fā)展展望和建議
5.1 工控安全市場(chǎng)前景廣闊
工業(yè)控制系統(tǒng)信息安全產(chǎn)品市場(chǎng)潛力巨大。2017年Research and Markets發(fā)布的最新“工業(yè)控制系統(tǒng)安全市場(chǎng) - 2022年全球預(yù)測(cè)”報(bào)告顯示工業(yè)控制系統(tǒng)安全市場(chǎng)預(yù)計(jì)從2017年的102.4億美元到2022年增長(zhǎng)到138.8億美元,復(fù)合年均增長(zhǎng)率(CAGR)為6.3%。傳統(tǒng)安全產(chǎn)品制造企業(yè)、傳統(tǒng)工業(yè)控制設(shè)備生產(chǎn)企業(yè)和關(guān)注安全的新興互聯(lián)網(wǎng)公司都可以在積極參與工控信息安全市場(chǎng)的過(guò)程中尋找到自己的利潤(rùn)點(diǎn)。
5.2 我國(guó)工控行業(yè)供應(yīng)鏈安全應(yīng)引起足夠的重視
我國(guó)工控行業(yè)的國(guó)產(chǎn)化率還不高。在高檔機(jī)床控制系統(tǒng)中,德國(guó)西門子、日本Fanuc等品牌占據(jù)了我國(guó)95%以上的市場(chǎng)份額;在PLC市場(chǎng)中,2015 年西門子、三菱、歐姆龍、羅克韋爾、施耐德等5 家廠商就占據(jù)了超過(guò)80% 的市場(chǎng)份額。在國(guó)際形勢(shì)風(fēng)云變化的今天,供應(yīng)鏈安全對(duì)我國(guó)工業(yè)控制系統(tǒng)安全的影響巨大。一方面,國(guó)內(nèi)設(shè)備供應(yīng)方應(yīng)加大自主研發(fā)力度;另一方面,工控系統(tǒng)運(yùn)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)在設(shè)備更新計(jì)劃中充分考慮供應(yīng)鏈安全的影響,有計(jì)劃地提高工業(yè)控制系統(tǒng)的國(guó)產(chǎn)化率。
5.3 工控企業(yè)應(yīng)切實(shí)重視工控信息安全
很多企業(yè)管理者對(duì)工業(yè)控制系統(tǒng)信息安全重視程度低,在工業(yè)控制系統(tǒng)建設(shè)和維護(hù)過(guò)程中沒(méi)有指定有效的安全管理措施,人員安全培訓(xùn)不到位,給工控系統(tǒng)安全埋下隱患。2015年中石化內(nèi)鬼事件,工作人員利用職務(wù)之便將病毒植入服務(wù)器中,充分暴露出工控現(xiàn)場(chǎng)信息安全管理制度缺失,防護(hù)措施執(zhí)行不到位。工控企業(yè)應(yīng)從技術(shù)和管理兩個(gè)方面重視工控信息安全,一方面提高人員的技術(shù)水平,另一方面加強(qiáng)工作人員的防范意識(shí)。
參考文獻(xiàn)
[1] 吳岫巖. 幾種常見(jiàn)自動(dòng)化控制系統(tǒng)的分析與比較 [J]. 通信設(shè)計(jì)與應(yīng)用,2019(5): 143-144.
[2] 綠盟科技. 綠盟科技工業(yè)控制系統(tǒng)信息安全保障框架[EB/OL].2019-04-18[2019-06-15]. http://www.nsfocus.com.cn/content/details_62_2947.html.
[3] ICS-CERT Advisories [EB/OL]. 2019-06-20. https://ics-cert.us-cert.gov/advisories.
[4] 中國(guó)制造2025[EB/OL].2015-05-19. http://www.gov.cn/zhengce/content/2015-05/19/content_9784.htm.
[5] 2015中國(guó)工業(yè)控制系統(tǒng)(ICS)信息安全藍(lán)皮書:工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所[R].北京:工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所,2015.
[6] 工業(yè)控制系統(tǒng)安全市場(chǎng)2022年將達(dá)到138億美元[EB/OL].2017-07-19. http://k.caict.ac.cn/ekp/caict/km/zhaozixun/ictdc/zzyrh/201707/t20170719_109699.html.
[7] 劉佳, 王帥. 基于 SCADA 的城鎮(zhèn)供水全流程監(jiān)控系統(tǒng)設(shè)計(jì)[J].軟件開(kāi)發(fā)與應(yīng)用,2019(4):70-72.
[8] 宋慧欣.將中國(guó)RTU推向國(guó)際市場(chǎng)-訪北京安控科技股份有限公司總經(jīng)理俞凌[J].自動(dòng)化博覽,2010(11):頁(yè)碼.
[9] 安控科技牽頭起草的遠(yuǎn)程終端單元(RTU) 國(guó)家標(biāo)準(zhǔn)發(fā)布[EB/OL].2018-05-11.http://c.gongkong.com/etrol/n379884.html .
[10] 王雨時(shí). 基于.NET平臺(tái)SCADA系統(tǒng)的設(shè)計(jì)與開(kāi)發(fā)[D]. 沈陽(yáng):沈陽(yáng)理工大學(xué),2013.
[11] 申海濤.關(guān)于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的思考[J]. 現(xiàn)代信息科技,2019(8):165-167.
[12] 鐘聲,李志豐.淺談智能建筑中智能化系統(tǒng)的信息安全評(píng)估[J].信息安全與通信保密,2016(6):91-94+98.
[13]李翠芳.基于GPRS的無(wú)線遠(yuǎn)程監(jiān)控系統(tǒng)的應(yīng)用開(kāi)發(fā)[D].西安:西安電子科技大學(xué),2008.
[14] 荊靈玲,張峰瑜. 基于GIS的供熱管網(wǎng)監(jiān)控管理系統(tǒng)的研究[J].城市勘測(cè),2018(S1):296-297+301.
[15] 李紫平.冶金企業(yè)數(shù)據(jù)采集與管理[J]. 電子技術(shù)與軟件工程,2019(10),167.
[16] 劉娟,蘭帥領(lǐng).PLC技術(shù)在機(jī)械電氣控制裝置中的應(yīng)用分析[J].質(zhì)量探索,2016(6):45.
[17] 桑圣潔.工控生產(chǎn)網(wǎng)網(wǎng)絡(luò)及應(yīng)用安全研究[J],計(jì)算機(jī)安全,2014(2),44-47 .
本文來(lái)源于科技期刊《電子產(chǎn)品世界》2020年第02期第62頁(yè),歡迎您寫論文時(shí)引用,并注明出處。
評(píng)論