1.1工业控制系统概述
工业控制系统是几种类型控制系统的总称,包括监控与数据采集(SCADA)系统、分布式(集散)控制系统(DCS)和其他控制系统,其他控制系统如在工业部门和关键基础设施中经常可以看到的可编程式逻辑控制器(PLC)等。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。
工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成,对于大规模的控制系统,也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等,操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等,管理级包括生产管理系统和企业资源系统等,通信网络包括商用以太网、工业以太网、现场总线等。
工控行业工控安全需求凸显。
电力行业,遵循36号文《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》内容进行安全建设,《电力监控系统安全防护总体方案》对省级以上调度中心、地级调度中 心、各类型发电厂、变电站、配电监控的监控系统的安全防护。近几年,能源局每年都会有对电厂和电网检查。各级电网还会对电厂进行安全检查。工信部依据《工控系统信息安全防护指南》对电力企业进行检查。公安部通过执法检查对电力企业进行安全检查。在安全检查和调度工控安全年方向的推动下,电厂、电调、电科院需求明确,今年有大量项目涌出。
工业互联网应用,作为智能制造的关键基础,打破了传统工业相对封闭可信的制造环境,但与此同时,这也造成病毒、木马、高级持续性攻击等互联网安全风险对工业生产的威胁日益加剧。纵观整个2017年,工业互联网在国内的推进
无论从国家政策层面还是企业实际落地层面都得到了积极的重视,而对工业互联网的信息安全保障也是一样的,伴随着国家“互联网+制造业”、“三去一补一降”等政策的不断推进落实,工业互联网的推进速度必将不断加快,工业控制系统安全的发展重点也将逐步转向工业物联网安全、工业云安全等工业互联网的安全范畴。
从目前已有的工业互联网平台架构来看,工业互联网安全的市场焦点将主要围绕工业物联网安全、工业云安全、工业数据安全等方面。在工业物联网安全,可信计算、物联网设备认证、密钥管理、可视化管控等将会是主要趋势,如何解决非智能设备的安全管控仍将是难点。而在工业云平台,更多的将会聚焦于数据安全、权限控制、API安全、APT攻击、拒绝服务、安全评估服务等。对于工业数据安
全,数据作为工业互联网的核心,已开始从少量、单一、单向正在向大量、多维、双向转变,因此,工业数据安全重点强调数据的整个生命周期的管理。
1.3工业控制系统安全现状
2015年5月,《中国制造2025》正式发布,其内涵核心是把信息互联技术与传统工业制造相结合,形成生产智能化,提高资源利用率,以此来推动整个国家竞争力。
近年来,随着两化深度融合战略的持续推进,以及物联网等新兴技术在工业领域的应用,工业控制系统的安全也倍受国家和企业的关注。工业控制系统作为能源、制造、军工等国家命脉行业的重要基础设施,在信息攻防战的阴影下面临着安全风险持续攀升的运行环境。据统计,过去一年,国家信息安全漏洞共享平台收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、亚控科技和三维力控等国内外知名工业控制系统制造商的产品。安全漏洞的涌现,无疑为工业控制系统增加了风险,进而影响正常的生产秩序,甚至会危及人员健康和公共财产安全。
两化融合和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。例如,OPC Classic协议(OPC DA,OPC HAD和OPC A&E)基于微软的DCOM协议,而DCOM 协议是在网络安全问题被广泛认识之前设计的,极易受
到攻击,并且OPC通讯采
用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
提到工控安全问题,很多人可能会简单地理解为直接用于控制的实时操作系统设备的安全。然而,从整个架构上看,工业控制系统是由服务器、终端、前端的实时操作系统等共同构成的网络体系,同样涉及物理层、网络层、主机层、应用层等传统信息安全问题。在整个工业控制系统中,大多数工控软件都是运行在通用操作系统上,例如操作员站一般都是采用Linux或Windows平台,由于考虑到系统运行的稳定性,一般系统运行后不会对Linux或Windows平台打补丁;另外,大多工业控制网络都属于专用内部网络,不与互联网相连,即使安装反病毒软件,也不能及时地更新病毒数据库,并且杀毒软件对未知病毒和恶意代码也无能为力。操作系统漏洞无法避免,加之传统防御技术和方式的滞后性,给病毒、恶意代码的传染与扩散留下了空间。
据了解,在2010年爆发的“震网(Stuxnet)”事件中,病毒导致部分用于铀浓缩的离心机无法运行,直击伊朗核工业。由此可见,针对工业控制系统的攻击行为,已经对国家经济和社会发展产生深远的影响。事实上,不仅仅是“震网(Stuxnet)”病毒,近年来相继涌现出的著名恶意软件如“毒区(Duqu)”、“火焰(Flame)”等等,也将攻击重心向石油、电力等国家命脉行业领域倾斜,工业控制系统面临的安全形势越来越严峻。
2017 年 5 月 12 日,“WannaCry”病毒在全球范围内大规模爆发,电力、石油、通信、交通运输、医疗等众多行业领域受到事件影响。此次病毒感染了全球 150 多个国家的 30 万台主机。
从我国受影响情况来看,教育、政府、能源、电力等重点领域重要系统均受到相关波及,造成系统中断、数据丢失、业务停摆等一系列严重后果。
从源头上看,该病毒利用了2017年4月遭泄密的美国国家安全局 (NSA)网络军火库中的“永恒之蓝”攻击程序,通过 Windows 系统漏洞实现迅速广泛传播。
新型恶意软件“工业破坏者”直指电力领域工控设备,安全研究人员经分析认为,“工业破坏者”恶意软件与2016年12月17日发生在乌克兰首都基辅输
电变电站的网络攻击事件有关。
“工业破坏者”可以攻击采用IEC 60870-5-101、IEC 60870-5-104、IEC 61850 以及 OPC DA协议的变电站、交通管理、供水系统、石油石化、发电等关键信息基础设施,可以对现场设备发特定指令,具有数据清除功能,定时器触发时间为2016年12月17日22点。
监管部门针对工控系统的安全检查呈常态化。2015年6月至12月国家能源局在全国范围内组织开展了电力工控系统安全防护专项监管工作,重点对电力行业电力工控系统网络安全管理、管理规定制度落
实、总体技术防护策略落实、PLC 设备隐患排查及漏洞整改、宣传教育培训等工作开展情况进行监督检查。
2016年~2017年,国家能源局综合司开展并网电厂涉网安全专项检查工作2016年6月起,全国公安机关开展2016年网络安全执法检查,检查范围包括电力、航空航天、铁路、石化、石油、轨道交通、核工业、冶金、市政供水、燃气、供热等多个重点行业工控系统。
2017年,公安部工控等保检查工作。
2015~2017年,工信部、各地经信委组织重点网络系统和工业控制系统安全检查。
2016~2017年,网信办对于基础设施进行信息安全检查。
1.4政策背景
自2010年震网(Stuxnet)病毒爆发后,我国对国家基础设施的信息安全问题非常重视。2011年9月,发布工信部协[2011]451号《关于加强工业控制系统信息安全管理的通知》。此后在2012年6月,国务院印发《国务院关于大力推进信息化发展和切实保障信息安全的若干意见(国发[2012]23号)中明确要求:“保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统,以及物联网应用、数字城市建设中的
安全防护和管理,定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评,实行安全风险和漏洞通报制度。”之后,工信部办公厅又印发了《关于开展工业控制系统信息安全风险信息发布工作的通知》(厅
函[2012]629号),加快建立工业控制系统信息安全信息通报机制。
《中国制造 2025》提出要“加强智能制造工业控制系统网络安全保障能力建设,健全综合保障体系”。
16年5月,《国务院关于深化制造业与互联网融合发展的指导意见》将“提高工业信息系统安全水平”作为主要任务之一。
2016年12月,国家互联网信息办公室发布《国家网络空间安全战略》,明确将保护关键信息基础设施作为战略任务。2017年6月1日起施行的《中华人民共和国网络安全法》则明确提出,要保障关键信息基础设施运行安全,对关键信息基础设施的安全风险进行抽查检测,提出改进措施等。
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),工信部于2017年8月印发《工业控制系统信息安全防护能力评估工作管理办法》,由此来督促工业企业做好工业控制系统信息安全防护工作,检验《工业控制系统信息安全防护指南》(工信部信软〔2016〕338号)的实践效果,综合评价工业企业工业控制系统信息安全防护能力。
17年11月,刚发布的《关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《指导意见》)围绕制造强国和网络强国建设的安全保障需求,以“强化安全保障”为指导思想、“安全可靠”为基本原则,提出“建立工业互联网安全保障体系、提升安全保障能力”的发展目标,部署“强化安全保障”的主要任务, 为工业互联网安全保障工作制定了时间表和路线图。17年12月,工业和信息化部印发《工业控制系统信息安全行动计划(2018-2020年)》
目标到2020年,全系统工控安全管理工作体系基本建立,全社会工控安全意识明显增强。建成全国在线监测网络,应急资源库,仿真测试、信息共享、信息通报平台(一网一库三平台),态势感知、安全防护、应急处置能力显著提升。培育一批影响力大、竞争力强的龙头骨干企业,创建3-5个国家新型工业化产业示范基地(工业信息安全),产业创新发展能力大幅提高。
等级保护标准是国内非涉密信息系统的安全集成标准,网络安全法是作为中国信息安全的基本法,明确的提到信息安全的建设要遵照等级保护标准来做建设。为了配合《中华人民共和国网络安全法》的实施,适应工业控制系统网络安全等级保护工作的开展,在即将发布的《信息安全技术网络安全等级保护基本要求》
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议