歡迎訪問中國軟件評測中心!

人民网:以测促用 从工控本质看工业互联网安全

2019-09-09
人民網鏈接:http://it.people.com.cn/n1/2019/0904/c1009-31335078.html

 作者 黄子河,中国电子信息产业发展研究院副院长

國務院印發的《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》指出,工業互聯網通過系統構建網絡、平台、安全三大功能體系,打造人、機、物全面互聯的新型網絡基礎設施,形成智能化發展的新興業態和應用模式,是推進制造強國和網絡強國建設的重要基礎,是全面建成小康社會和建設社會主義現代化強國的有力支撐。

  近年來,兩化深度融合催生互聯網在工業控制系統中的應用,打破了傳統工業控制系統相對封閉可信的環境,將互聯網上的傳統安全威脅滲透進了工業領域,使得網絡型攻擊可以直達生産現場,造成生産中斷甚至危及人員生命。針對工業控制系統的各種安全事件日益增多。例如,烏克蘭氯氣站被攻擊、委內瑞拉全國性斷電等安全事件,目前通過網絡攻擊,“勒索病毒”可以直接利用被控制的控制器進行勒索,在工廠側,被“鎖屏勒索”的安全事件也屢見不鮮。

  近日,工業和信息化部等十部委共同印發的《加強工業互聯網安全工作的指導意見》爲工業互聯網安全能力建設提出了有效的發展思路,遵循其任務內容和指導思想,中國軟件評測中心結合自身測評服務實踐,不斷強化能力建設,爲我國工業互聯網安全進行保障。

  從工控本質看工業互聯網安全挑戰

  工业控制系统的本质目标是控制,互联网的核心目标是交换。相较于传统互联网采用平等关系的点对点传输模式,工业互联网多采用基于主从关系的非对等网络。工业互联网面临的安全挑战需从工业控制系统的安全防护能力的视角来看。从工业控制系统設計思路上看,工业控制系统的传统設計都是使用专用的相对封闭可信的通信线路。但随着工业控制系统向互联网的转移,与企业其他业务应用程序的整合,也越来越容易遭遇来自互联网的攻击,暴露了许多先天缺陷。比如基于离线系统技术要求的設計思路,没有考虑规划設計安全防护机制;比如由于控制器的弱计算力,只設計了对于弱计算力的防护机制。从工业控制系统运维来看,很多企业出于工业控制系统是封闭的考虑,开放了远程调试功能,同时没有考虑远程调试的访问控制,很多攻击是利用了远程调试的访问控制漏洞实现渗透。从工业控制系统通信协议看,绝大多数的工业控制系统通信协议,設計之初都未考虑机密性问题,基本采用明文传输,且国内尚未建立自有的、安全的工业互联网通信协议、数据交换协议。

  當前,面臨嚴峻的工業互聯網安全挑戰,很多工業控制系統查漏補缺存在難度,是長久戰。明確責任,建立規範安全規程、操作准則和安全管理體系,加強意識宣貫和人才培育,逐步完善工業互聯網安全體系,顯得尤爲重要。

  從工業互聯網安全指導意見看能力提升舉措

  爲全面落實《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》(以下簡稱《指導意見》)部署要求,加快構建工業互聯網安全保障體系,提升工業互聯網安全保障能力,促進工業互聯網高質量發展,推動現代化經濟體系建設,護航制造強國和網絡強國戰略實施,工業和信息化部會同有關部門起草發布了《關于加強工業互聯網安全工作的指導意見》。

  《指导意见》指出了企业、监管部门和专业机构的能力建设方向。在企业侧,针对工业设备、工业网络、工业互联网平台和工业APP四方面指导工业企业强化防护能力。强化工业设备的安全接入和防护,提升设备和控制系统的本质安全;强化工业互联网安全,提升企业内外网的安全防护能力;强化平台安全,针对边缘层、IaaS层、工业PaaS层、工业SaaS层分层部署安全防护措施;强化工业APP安全,建立健全工业APP应用前安全检测机制,强化应用过程中用户信息和数据安全保护。在监管部门侧,建设国家、省、企业三级协同的工业互联网安全技术保障平台,强化地方、企业与国家平台之间的系统对接、数据共享、业务协作,打造整体态势感知、信息共享和应急协同能力。在专业机构侧,指导第三方专业机构建设工业互联网企业持续开展安全能力评测評估服务能力。鼓励建设检测評估、安全监测、攻防測試、应急响应等公共服务能力,面向机械制造、电子信息、汽车、石油化工等行业领域提供安全诊断評估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。

  《指导意见》提出了明确责任,完善安全管理体系。落实企业主体责任,企业明确工业互联网安全责任部门和责任人,建立安全事件报告和问责机制,保障工业互联网安全稳定运行。构建工业互联网安全管理体系。企业应围绕工业互联网安全监督检查、风险評估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制,强化对企业的安全监管。明确政府监督管理责任,工业和信息化部组织开展工业互联网安全相关政策制定、标准研制等综合性工作,并开展行业指导、监管。地方工业和信息化主管部门指导本行政区域内应用工业互联网的工业企业的安全工作,同步推进安全产业发展;地方通信管理局监管本行政区域内标识解析系统、公共工业互联网平台等的安全工作,并在公共互联网上对联网设备、系统等进行安全监测。生态环境、卫生健康、能源、国防科工等部门根据各自安全管理职责,开展本行业领域工业互联网推广应用的安全指导、监管工作。

  《指導意見》提出了加快安全人才培養。深入推進産教融合、校企合作,建立安全人才聯合培養機制,培養複合型、創新型高技能人才。開展工業互聯網安全宣傳教育,提升企業和相關從業人員安全意識。

  以測促用助力工業互聯網安全能力建設

  在《指导意见》的主要任务中,提出了加强工业互联网安全公共服务能力,开展工业互联网安全評估認證,鼓励和支持专业机构、安全企业等建设检测評估、安全监测、攻防測試、应急响应等公共服务平台,面向多个行业领域提供安全诊断評估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。中国电子信息产业发展研究院依托工业控制系统安全测评共性技术工信部重点实验室,通过已建设的国家工业控制系统安全公共技术服务、可编程逻辑控制器(PLC)安全仿真測試、工控系统通信总线安全仿真測試、主动式工控设备安全检测及态势感知平台等国家级平台,开展了石油石化、轨道交通、电力电网、钢铁、汽车、水处理、有色等行业领域的质量验收、安全测评、渗透測試、标准编制、方案及設計咨询、专项培训、应急演练等服务,支撑部委开展工业控制系统安全检查和安全防护能力验证,承担国家重大活动安全保卫工作。

  通過開展工業互聯網和工業控制系統安全測評工作,以測促用、以測促改,全面推進指導意見的實施,提升我國工業互聯網的安全能力。