网络威胁无处不在 工业控制系统安全要加强
当你拿出手机,安装一个输入法,也许,你就打开了一道“恶魔之门”。网络威胁沿着你的手机,潜入到企业的工控网络,断电、DOWN机、泄密、停产,纷纷随之而来。这不是危言耸听,也不是科幻故事,智能制造时代,这样的案例随时可能发生。随着信息技术与工业控制系统深度融合,工控系统网络安全问题也变得日益严峻。当原本孤立、封闭的工业控制系统与互联网联通后,漏洞、病毒、APT(高级持续性威胁)等网络威胁也如影随形而至。
记者上周采访了解到,工业控制系统的网络安全威胁和隐患早已潜伏在我们身边,但在石化行业中真正对这一问题有清醒认识和高度重视的企业并不多,已经采取有效防御措施的更是寥寥无几。
什么让我们感到不安
随着两化融合的深入,一些石化企业实现了管控一体化,提升了企业的运营效率,降低了生产成本,增强了市场竞争力。信息化带来的技术进步显而易见。与此同时,石化企业生产网络和信息网络的边界越来越模糊,生产自动化控制系统正在从孤立的、封闭的空间走向一个更加开放的互联网的新天地,企业生产中的工业控制系统的网络安全问题也越来越多,呈现出爆发式的增长。
在5月24~25日举办的2016中国石油石化企业信息技术交流大会上,北京神州绿盟信息安全科技股份有限公司副总裁李晨告诉中国化工报记者,在网络互联的大背景下,工业控制系统的互联是大势所趋,通过网络互联一方面可以提高生产力和创新能力,减少工业能源及资源消耗,助力产业模式转型升级;另一方面也会因为网络互联而诱发一系列网络安全问题。工业控制系统设计之初是为了完成各种实时控制功能,并没有考虑到安全防护的问题,通过网络互联将他们暴露在互联网上,无疑将给他们所控制的关键基础设施、重要系统等带来巨大的安全风险和隐患。
“近年来,在伊朗核电站、乌克兰电网、德国钢厂等独立IT系统频繁遭遇外界入侵攻击恶意事件的背后,是网络信息安全问题变得异常严峻的事实,而由于自身开放性大等原因,移动端已成为攻防双方争夺的新焦点。工业控制平台和控制手段都开始向移动设备、无线网络等方向发展。工业设备和个人通讯设备应用融合,让安全边界更加模糊,石化行业特别需要注重移动工控安全。”梆梆安全高级副总裁席曼丽说。
“事实上,我国的工控网络安全形势已经十分严峻,存在大量严重、紧迫、高风险的网络安全问题,特别是涉及能源和危化品的石化行业更是需要重点防控的领域。但目前,石化行业工控系统网络信息安全问题并未得到充分认识和重视,工艺设计人员和控制系统设计人员几乎没有任何网络安全意识。而与工控网络安全技术手段缺乏、水平不高相比,感知能力缺失、防范意识不足更加令人担忧。”北京匡恩网络科技有限责任公司总裁孙一桉向记者强调。
北京威努特技术有限公司总经理龙国东也表示,当前,数据采集与监控系统(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业自动化控制系统普遍应用于工业领域以及相关行业,这些系统在有效提升生产运营效率的同时,也面临着众多工业信息安全威胁。随着工业4.0以及两化融合日渐加快,工控系统和网络将更加开放,必将带来更为严峻的工控安全威胁及挑战。
威胁无时无处不在
谈到工控系统网络风险的危害性,匡恩网络总裁孙一桉对记者表示,其危害性绝不仅仅是对一个企业、一个行业的,工控网络安全已经成为各国政府所面临的最严重的国家安全挑战之一。工控网络安全正在成为网络空间对抗的主战场和反恐的新战场,恐怖主义的威胁已经渗透到了工业控制系统,关键基础设施成为主要的攻击对象。
近年来,走进公众视线的工业控制网络安全问题越来越多。美国工业控制系统网络应急响应小组(ICS-CERT)发布的2014年关键基础设施安全报告显示,在2014年共收集167个工控漏洞报告,涉及的设备分布在能源、制造业等多个领域;2015年被ICS-CERT收录的攻击事件达到了295件,其中97个安全事件是关于关键制造业的,占到全部事件的33%,关键制造业成为本年度受攻击最多的行业。
孙一桉介绍,匡恩网络在一份工控安全报告中总结了我国工控网络安全行业当前面临着三大主要问题。一是重要工业制造业领域大量使用国外工控设备,这些设备普遍存在未知的漏洞以及可能的后门,严重漏洞难以及时处理是我国国家安全的重大隐患。
二是工业制造业企业对工控网络威胁感知不足。在我国,对于工控网络安全的认识还处于初级阶段,无论是政府层面还是企业层面,对潜在的工控网络安全威胁认识不到位,对国家关键工业生产安全重视不够,由此造成了众多工业生产系统没有及时部署针对工控系统漏洞和网络攻击的有效防护系统,在网络攻击来临时无法察觉,在遭受攻击后无法追踪。
三是针对工控网络威胁的持续防护能力缺失。工控网络安全是一个全新的领域,它不是传统信息安全行业的延伸,而是基于两化融合框架下的跨界领域。针对工控网络的高级持续威胁是一种严密的组织化行为,因此防护能力建设也必须大力投入、持续投入、深度开发。目前我国工业和基础设施智能化发展很快,针对工控网络安全的防护能力建设严重滞后,不足以保障两化融合战略的稳步推进。
面对如此严峻的挑战,我们的应对能力又是怎样的呢?北京神舟绿盟信息安全科技股份有限公司首席技术官赵粮给出了一组时间数字:一次网络攻击大概几分钟就完成了,盗窃数据快的可以在几小时内完成,而系统的检测时间却要以周或月来计。攻防双方的实力完全不在一个数量级上,工控网络的脆弱性以及潜在风险由此可见一斑。
保平安要走自己的路
不同于普通的信息系统网络安全,工业控制系统的网络安全显得更加复杂和困难。过去,石化行业的工业控制系统首先要保证系统的可用性,即生产设备可以正常运转;其次是可靠性,就是要长周期稳定运行;最后才是安全性。但进入互联网时代,安全性却被提到更高的层面。
“在智能化不断升级的大背景下,工业网络安全是使制造业实现智能化的基本保障。万物互联时代,一个企业如果缺乏了安全本能、安全意识以及安全保障能力,智能化也只能是空中楼阁。”孙一桉对记者表示。
多位业内专家认为,互联网和工控网两者之间存在着巨大的差别,石化行业要做好工控安全工作还要探索一条适合行业特点的道路。
首先是要依靠我国自主开发的设备与技术。目前国内石化企业在工业控制领域大量使用国外设备,存在大量的漏洞和后门,形成了严重的安全隐患。“这就像是自家的房门钥匙拿在别人的手里一样。”中国航天系统工程有限公司信息中心副主任曾伟兵这样形容工控网络安全领域的现状。
其次要大力开发与石化行业高度匹配的专业性强的安全产品和技术。工业网络与互联网、办公网有很大的差异,除了网络通讯协议不同、对系统稳定性要求不同、系统运行环境不同外,工业网络的系统还具有更新代价高、网络结构和行为稳定性高的特点。而石化行业又是典型的流程行业,“安稳长满优”是企业生产的基本保障,在工控安全产品的开发上一定要充分考虑工控环境的特殊性,在实时性、故障响应速度以及系统升级上都有较高的要求。北京匡恩网络科技有限责任公司解决方案总监井柯就提出:“从整个系统考虑工业控制系统安全的时候,找到几个漏洞并不重要,而发现这些漏洞有没有被利用的行为才是最重要的。”
采访中记者了解到,近两年来,国内陆续出台了有关工控系统网络安全的政策和法规,引导和鼓励行业重视工控网络安全问题。一批信息安全企业也将注意力更多地投向了工业控制领域,加大力度开发针对石化、化工、能源等行业的定制化解决方案,以期为行业的智能化升级保驾护航。
北京力控华康科技有限公司工程师王晓旭告诉记者,目前石化企业中主动对工控系统采取安全防控措施的还不多,但随着媒体宣传力度加大以及国内外一些典型工控安全事件的驱动,越来越多的石化企业开始重视这项工作,并从信息化项目设计之初就将工控安全一并考虑进去。
青岛海天炜业过程控制技术股份有限公司营销中心总经理辛太表示,针对石化行业网络当前的安全隐患,企业能提供网络分区、通讯管控、集中管理、预警分析等解决方案,为石化企业确保工控安全提供支持。
三大石油公司信息部门的负责人也纷纷表示,“十三五”期间,他们将重点加强工控系统网络安全平台建设,根据企业自身特点,在原有基础上进一步完善和提高工控系统安全水平,为企业智能化发展提供必要的安全屏障。
