工控信息網(wǎng)絡(luò)安全隱患多電網(wǎng)智能安防須步步為營

隨著工業(yè)以太網(wǎng)的快速發(fā)展，工控系統(tǒng)網(wǎng)絡(luò)信息安全問題日漸顯露。以太網(wǎng)可能會遇到包括病毒感染、非法操作等網(wǎng)絡(luò)安全隱患;而軟件的漏洞、錯誤配置或者網(wǎng)絡(luò)管理的失誤也會造成工控網(wǎng)絡(luò)異常;另外，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接時缺乏安全邊界控制，也是常見的安全隱患。2010年的震網(wǎng)病毒就是例證，最近的“棱鏡門”事件又再次為信息網(wǎng)絡(luò)安全敲響了警鐘，對此，我們應(yīng)當(dāng)如何應(yīng)對，這些安全隱患究其根底原因何在?另外，工信部451號文件(即《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》)已出臺近兩年，為何工控網(wǎng)絡(luò)信息安全依舊得不到應(yīng)有的重視?最重要的是，隨著智能電網(wǎng)的接入環(huán)境變得更加復(fù)雜，電網(wǎng)調(diào)度系統(tǒng)以及電力通信網(wǎng)絡(luò)的信息安全又當(dāng)如何保障?帶著這些疑問，記者采訪了北京中科網(wǎng)威信息技術(shù)有限公司(下稱中科網(wǎng)威)的總裁助理殷國強。

工控信息網(wǎng)絡(luò)缺乏安全設(shè)計 “打補丁”治標(biāo)不治本

作為國內(nèi)最早從事工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全信息安全研究的安全廠商。由中科網(wǎng)威研制推出的工業(yè)防火墻、網(wǎng)絡(luò)資產(chǎn)安全風(fēng)險異常監(jiān)測平臺的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品以及“網(wǎng)威工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全時空防御模型”解決方案已被廣泛應(yīng)用于電力、軍工、工控等領(lǐng)域。對于工控信息網(wǎng)絡(luò)安全存在的諸多安全隱患，殷國強表示，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全是一個新的課題。根據(jù)我們的研究，目前我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題頻發(fā)原因主要有兩方面，一方面是管理，另一方面是技術(shù)。”

在殷國強看來，管理上，目前工控網(wǎng)絡(luò)信息安全主要有五個方面的問題。一是組織不健全?，F(xiàn)有的工業(yè)自動化管理體系和信息安全管理體系尚未完成有機結(jié)合，難以有效應(yīng)對工業(yè)控制網(wǎng)絡(luò)安全挑戰(zhàn);二是工業(yè)信息安全管理制度缺失。沒有可以參照的安全標(biāo)準(zhǔn)規(guī)范，缺乏經(jīng)過實踐檢驗的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度流程，從而難以有效實現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全規(guī)范管理;三是相關(guān)人員缺乏安全培訓(xùn)。面對全新的課題，從管理人員到一線操作人員普遍缺乏對工業(yè)信息安全的認識，更談不上有效的針對性培訓(xùn)，一旦出現(xiàn)問題，往往無力應(yīng)對;四是監(jiān)管執(zhí)行不力。由于組織不健全、安全管理標(biāo)準(zhǔn)和制度缺失，加上技術(shù)方面原因，直接導(dǎo)致監(jiān)管措施難以落實，從而使高層管理人員對安全風(fēng)險難以把控;五是技術(shù)措施不到位。在缺乏標(biāo)準(zhǔn)規(guī)范的情況下，無法安排有效的技術(shù)措施，也無法確保技術(shù)措施真正發(fā)揮作用。

同時在技術(shù)上也存在一系列問題，首先是缺乏對攻擊手段的研究和工業(yè)信息安全防護及檢測手段，對攻擊手段的一無所知直接造成了防護的無從下手。其次，缺乏對技術(shù)設(shè)備的控制，我國的工業(yè)控制系統(tǒng)中的關(guān)鍵設(shè)備95%以上都是進口的，對于其內(nèi)部結(jié)構(gòu)、組成、隱藏功能都缺乏了解，也沒有有效的技術(shù)和法律控制措施，很難保證沒有暗藏的后門、病毒、木馬、邏輯炸彈等破壞手段。最重要的是，缺乏信息安全設(shè)計，沒有安全模塊設(shè)計就談不上安全保障。據(jù)殷國強透露，目前，所謂的安全防護大都是通過“打補丁”的方式進行，這種方式可以暫時取得防護效果，但是從長遠來看，治標(biāo)不治本，或許還會帶來更大的風(fēng)險。

政策與利益脫節(jié) 企業(yè)領(lǐng)導(dǎo)不帶頭造成下游無力

近年來，工控系統(tǒng)網(wǎng)絡(luò)存在的諸多安全隱患也引起了國家相關(guān)部門的重視。2011年，工信部下發(fā)了451號文件《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，其中明確規(guī)定加強重點領(lǐng)域工業(yè)控制信息系統(tǒng)安全管理，文件要求須斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接;工控系統(tǒng)組網(wǎng)時要同步規(guī)劃、同步建設(shè)、同步運行安全防護措施;另外，應(yīng)加強對技術(shù)服務(wù)的信息安全管理，在安全得不到保證的情況下禁止采取遠程在線服務(wù)。

但據(jù)記者了解，目前，上述要求落實情況很不樂觀，很多企業(yè)尚未達到要求，很多解決方案還一直停留在理論階段，無法大范圍推廣實施。對此，殷國強說：“理論研究是可以理解的，而且必須有足夠的理論研究才能在實踐中加以運用，否則，遇到問題手足無措也會造成極大的浪費甚至得不償失。但是，我們不能只停留在理論層面上，只一味高喊要重視工控網(wǎng)絡(luò)信息安全行動上卻無動于衷，這樣止步不前終究不會有進步。而且理論實踐本就是辯證統(tǒng)一的關(guān)系，理論指導(dǎo)實踐，實踐驗證理論，只有兩者相結(jié)合才會有最好的結(jié)果。”

據(jù)了解，中科網(wǎng)威工業(yè)級防火墻在2012年通過了電力行業(yè)測評，成為中國首家通過電力協(xié)議訪問控制專業(yè)測評的工業(yè)級防火墻生產(chǎn)廠商。在殷國強看來，取得這樣的成果，主要在于領(lǐng)導(dǎo)重視，董事長兼總裁劉兵親自掛帥主抓工業(yè)安全產(chǎn)品的研發(fā)和推廣，這在目前是國內(nèi)同等規(guī)模企業(yè)中唯一的一家。領(lǐng)導(dǎo)的重視帶來資源的集中，中科網(wǎng)威在工業(yè)控制系統(tǒng)安全方面的理論研究、產(chǎn)品開發(fā)、產(chǎn)品測試和對外合作都集中了全公司的技術(shù)力量，從而取得了長足的進步。據(jù)了解，現(xiàn)在很多企業(yè)的現(xiàn)狀是，只有主管工控的工程師重視信息安防，公司領(lǐng)導(dǎo)不重視，加上國家的相關(guān)政策大多只是一些指導(dǎo)意見，跟企業(yè)沒有直接的利益掛鉤，造成了目前工控網(wǎng)絡(luò)信息安防下游無力的局面。事實上，不僅工控領(lǐng)域，我國的智能電網(wǎng)調(diào)度系統(tǒng)和電力通信網(wǎng)絡(luò)也遭遇了同樣的困境。

電網(wǎng)調(diào)度系統(tǒng)大而龐雜 信息安全須及早防護

電網(wǎng)調(diào)度系統(tǒng)大而龐雜，隨著我國同步電網(wǎng)規(guī)模的擴大，智能化設(shè)備、新技術(shù)逐步廣泛應(yīng)用到電力系統(tǒng)網(wǎng)絡(luò)中，使智能電網(wǎng)的接入環(huán)境變得更加復(fù)雜，電網(wǎng)的安全性及電力通信網(wǎng)絡(luò)信息安全面臨新的挑戰(zhàn)。據(jù)殷國強介紹，中科網(wǎng)威在電網(wǎng)的信息安全防護產(chǎn)品方面做出了極大努力。“首先，我們加強了對電網(wǎng)攻擊技術(shù)手段的研究;其次，在研究的基礎(chǔ)上開發(fā)了適合電力調(diào)度網(wǎng)的電力專用防火墻、風(fēng)險監(jiān)測平臺等系列產(chǎn)品;最后，我們還聯(lián)合其他科研機構(gòu)比如電科院等在一些電力企業(yè)進行試點，改進產(chǎn)品技術(shù)，使之更加可靠、有效。”殷國強說。

據(jù)記者了解，日前，中科網(wǎng)威參與國家電網(wǎng)安防設(shè)備招標(biāo)并成功中標(biāo)。而其電力專用防火墻及解決方案，在西北電網(wǎng)、東北電網(wǎng)和南網(wǎng)也均已投入使用。對于公司的未來發(fā)展，殷國強表示，公司將會一如既往的把工業(yè)控制系統(tǒng)信息安全作為戰(zhàn)略目標(biāo)和發(fā)展方向，其中，電力行業(yè)信息安全防護是重中之重。