堵住工控系统的漏洞

来源 :中国信息化 | 被引量 : 0次 | 上传用户:m104129495
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  随着两化融合和物联网的应用普及,工控系统已经成为我国关键基础设施的重要组成部分。
  工控系统信息安全事关国家命脉,先前人们较少提及,而在近期突然成为一个新的关注点。2010~2012年间,伊朗、叙利亚等中东国家的计算机网络先后出现了“震网”、“火焰”等病毒,能够对与石油工业相关的计算机实施监控、截取信息乃至破坏。
  随着两化融合和物联网的应用普及,工控系统已经成为我国关键基础设施的重要组成部分。因此,这些工控系统一旦遭受信息安全威胁,其后果的严重性不堪设想。两化深度融合的挑战
  2009年至2012年期间,工业和信息化部组织专业研究力量先后对钢铁、机床、汽车、棉纺织、家电等17个行业开展了两化融合发展水平评估工作。报告显示,随着我国工业化和信息化的深度融合以及物联网的快速发展,工业控制系统面临的信息安全问题日益严重。
  越来越多的数控系统和智能设备应用到了工业现场中,它们更多的采用了开放性和透明性较强的通用协议、通用硬件和通用软件,并通过各种方式与企业内网以及互联网实现连接,使企业的生产计划、调度指令等可通过信息系统直接下达到车间、生产线,甚至具体生产装备,实现企业生产过程的管控一体化。然而,网络的互联性、开放性越是先进,其承受的恶意企图也就越多。
  在2012年10月于杭州举办的全国首期“工业控制系统信息安全保障能力建设高级研修班”上,工信部信息安全协调司欧阳武副司长接受记者采访时表示,我国工控系统的安全形势非常严峻。“约80%的企业从来不对工控系统进行升级和漏洞修补,有52%的工控系统与企业的管理系统、内网甚至互联网连接;此外,一些存在漏洞的国外工控产品依然在国内的某些重要装置上使用。更为严重的问题还在于,对于发现风险源头缺乏手段,对控制风险的技术与方法缺乏必要的研究。”
  欧阳武司长认为,工控系统信息安全成为关注点主要有两个原因:一方面,随着计算机技术的发展,很多专业的系统实现了通用化,现在的工控系统开始在通用技术的基础上做专业的系统设计,这样一来,存在于计算机信息系统中的漏洞被带到了工控系统里。另一方面,长期以来工控系统并没有因为信息安全问题发生大的事故,人们普遍存在“病毒很少能对工业控制系统造成危害”的意识。但是,伊朗的“震网”事件,给了全世界一个警示,计算机病毒不仅可以感染到工控系统,而且可以对控制对象进行物质破坏。
  据介绍,目前我国在工控高端设备上还在使用国外的产品,软件开发中存在逻辑冲突和错误不可避免,彻底消除信息安全漏洞是不现实的,在这种现实情况下,就必须加强管理。2011年9月29日,经国务院同意,工信部下发了《关于加强工业控制系统信息安全管理的通知》,标志着我国工业系统信息安全工作的启动。
  围绕着这一文件的落实,工信部对重要工业控制系统及其应用单位、中央企业有了基本的了解,并对所有中央企业在本集团内部进行了摸底调查。接下来工信部办公厅于2012年又印发了《关于开展工业控制系统信息安全风险信息发布工作的通知》,对工业控制系统信息安全风险信息发布工作做出了安排,目前国内已经发布了200多个漏洞。
  如何堵住漏洞?
  工控系统的安全问题日益严重,确保工控系统的安全可控,已经不仅仅是单个研究机构或企业要思考的问题,更需要国家层面进行战略布局,产业界群策群力。
  据中国机械工业仪器仪表综合技术经济研究所所长欧阳劲松介绍,传统IT信息安全一般要实现三个目标,即保密性、完整性和可用性,通常都将保密性放在首位,并配以必要的访问控制,以保护用户信息的安全,防止信息盗取事件的发生,完整性放在第二位,而可用性则放在最后。对于工业自动化控制系统而言,目标优先级的顺序则正好相反,工控系统信息安全首要考虑的是所有系统部件的可用性,完整性则在第二位,保密性通常都在最后考虑。
  面对我国工业控制系统安全的压力,欧阳劲松表示,当下最为紧迫的任务是树立工控系统安全和防范意识、建立出台相关标准与法规、系统管理第三方认证机构,同时他认为工业控制系统信息安全问题必须在国家的推动和贯彻下才能得到切实解决。
  目前在传统IT信息安全领域,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,我国已经发布了《信息安全等级保护管理办法》,对信息系统分等级实行安全保护。同样地,为保障工业控制系统的信息安全,更加迫切地需要有关政府部门发布相关法令法规,引起各行业足够的重视,并规范行业实践。
  标准化的工作由于涉及到工控系统的各项具体指标,对工控系统的安全产生的影响更加深入。据了解,在国际上IEC/TC65(工业过程测量、控制和自动化标准化技术委员会)负责制定控制领域用于工业测量与控制的系统以及元件方面的国际标准。
  “在国内,工业系统信息安全的标准制定也是一直受到关注和重视的领域”,据欧阳劲松介绍,全国工业过程测量和控制标准化技术委员会已经获工信部批准,正式立项启动了3项IEC62443国际标准转化为行业标准的制定工作,并成立了专门的工业控制系统信息安全起草工作组。
其他文献
为帮助企业实现"五大连接"(连接员工、连接客户与消费者、连接供应商与合作伙伴、连接社会数据资源、连接设备与产品),用友优普以企业精细化管理为核心,综合运用前沿社交、移动、
代码混淆是实现程序隐私性的强大工具,在云计算中有着重要的应用。代码混淆能够被用来构造安全高效的同态加密方案。代码混淆还可以用来对云服务器共享数据时的重加密函数进行隐藏,保证用户计算任务的隐私性。文章主要总结代码混淆在密码协议中的应用,从代码混淆的几种定义形式出发,分析其相关研究进展和结果,并指出代码混淆方向亟需解决的问题。
文章针对密文检索中难度较大的字符串模糊检索问题,利用El Gamal公钥算法和序列算法的密码性质,设计出一种新的密码加密方案,并在外包数据库环境中实现了基于密文的字符串检索。通过分析表明,该方案并不以损害安全性为代价,并将时间和空间性能损失控制在有限的、可接受的范围之内。
珠江三角洲是我国四大工业基地之一,其特点是以轻工业为主的综合性工业基地。2003年7月,泛珠江三角洲地区概念(即知名的“9+2”经济泛珠三角地区概念)在国内正式提出来,“泛珠三角”包括珠江流域地域相邻、经贸关系密切的福建、江西、广西、海南、湖南、四川、云南、贵州和广东9省区,以及香港、澳门2个特别行政区,简称“9+2”。  在这一城市群中,福建、江西、广西、海南、湖南等地,或凭借自己多年的工业产业
为深入学习习近平总书记加强国家关键信息基础设施安全防护工作的指示精神,贯彻落实国家信息安全等级保护制度,增强重要行业部门和社会各界维护关键信息基础设施安全的意识,提高
近日,湖南省政府与大唐电信科技产业集团在长沙签署战略合作协议。未来5年,大唐电信将在湖南投资5至10亿元,与湖南在智能卡应用、物联网、智慧城市和云计算等战略性新兴产业领域
西班牙电信近日宣布,正在和移动消息及商务服务公司Sybase365合作开发虚拟电子钱包平台,计划今年上半年在拉丁美洲以及部分欧洲国家推出这一服务。西班牙电信称其虚拟钱包可以
在云计算飞速发展的同时,云计算安全也得到了很多关注。云安全联盟指出的云计算面临的风险,主要包括数据中心安全、事件响应、应用程序安全、密钥管理、认证和访问控制、虚拟化层安全以及灾备和业务一致性等。由于云计算和传统IT服务的不同,云计算服务提供商必须通过向用户证明其服务的安全性来获取用户的信任,因此云计算本身是一个可信计算模型,而增加服务透明度则是一项云计算服务提供商应当采取的基本措施。文章提出了一种
近日,Orange Business Services与海尔签订了一份为期三年的云计算解决方案Flexible Computing Premium合约。基于该云计算平台,海尔位于中国的总部将与其印度的售后服务中,心互
卡巴斯基全新虚拟化安全解决方案(KSV3.0)近日登陆中国市场,可为VMware、Citrix和Microsoft虚拟平台提供领先的安全防护。近几年,虚拟化浪潮汹涌而至,越来越多的企业意识到虚拟化应