摘要: 隨著工業(yè)化和信息化的深度融合����,公共基礎(chǔ)設(shè)施通過工業(yè)控制系統(tǒng)也分享了“兩化”融合所帶來的管理水平提升的成果���,同時(shí)也把互聯(lián)網(wǎng)虛擬世界的破壞帶進(jìn)了真實(shí)的物理空間����。
關(guān)鍵字: 工控安全,工業(yè)控制系統(tǒng)�����,徐新國
隨著工業(yè)化和信息化的深度融合����,公共基礎(chǔ)設(shè)施通過工業(yè)控制系統(tǒng)也分享了“兩化”融合所帶來的管理水平提升的成果,同時(shí)也把互聯(lián)網(wǎng)虛擬世界的破壞帶進(jìn)了真實(shí)的物理空間��。
當(dāng)前中國工業(yè)控制領(lǐng)域的基本格局如何?中國的基礎(chǔ)工業(yè)設(shè)施面臨哪些威脅和挑戰(zhàn)?如何打破外國企業(yè)產(chǎn)品在工控系統(tǒng)關(guān)鍵產(chǎn)品的市場壟斷優(yōu)勢?記者專訪了華北計(jì)算機(jī)系統(tǒng)工程研究所總工程師徐新國�。他認(rèn)為,只有從國家層面整合資源���,推動國外產(chǎn)品進(jìn)入國內(nèi)市場的準(zhǔn)入制度建設(shè)�,創(chuàng)新發(fā)展國內(nèi)工控系統(tǒng)防御思路�,才能緩解目前工控安全領(lǐng)域的危機(jī)。
記者:目前我國的工控安全現(xiàn)狀如何?面臨的問題是怎么形成的?
徐新國:工業(yè)控制系統(tǒng)信息安全問題其實(shí)一直存在����,它的安全隱患主要來自兩方面。首先����,傳統(tǒng)工控系統(tǒng)在設(shè)計(jì)之初��,計(jì)算資源和存儲資源都非常有限��,首要考慮的是實(shí)時(shí)性和功能性�,在安全性方面往往缺乏完整的設(shè)計(jì)�����。
其次����,隨著信息技術(shù)的快速發(fā)展,工控系統(tǒng)變得越來越開放���,特別是近年來國家推進(jìn)工業(yè)化和信息化的深度融合��,也是信息技術(shù)與控制技術(shù)融合的一個(gè)過程����。工控系統(tǒng)與其他信息化系統(tǒng)結(jié)合越來越緊密�����,大量采用通用的操作系統(tǒng)平臺�����、數(shù)據(jù)庫系統(tǒng)����、通訊協(xié)議和標(biāo)準(zhǔn)等信息技術(shù),信息技術(shù)本身就存在安全隱患�,它的引入勢必放大控制系統(tǒng)的安全問題。
工控系統(tǒng)本身的重要性和應(yīng)用環(huán)境的復(fù)雜性決定了它的安全問題并不僅僅是信息的泄露和安全����,更重要的是它的安全性一旦遭到破壞可能引起與之相連的生產(chǎn)系統(tǒng)、生活系統(tǒng)也遭到破壞����,造成重大安全事故、人員財(cái)產(chǎn)損失以及生態(tài)環(huán)境破壞�。工控安全最重要的就是系統(tǒng)的本質(zhì)安全問題。
記者:關(guān)鍵基礎(chǔ)設(shè)施的工控安全主要體現(xiàn)在哪些領(lǐng)域?
徐新國:傳統(tǒng)信息安全關(guān)注的是虛擬網(wǎng)絡(luò)的安全��,工控系統(tǒng)安全則與現(xiàn)實(shí)世界緊密聯(lián)系���,整個(gè)國民經(jīng)濟(jì)的各個(gè)領(lǐng)域都離不開工控系統(tǒng)�,尤其是在電力(包括核電)���、石油石化以及軌道交通等關(guān)鍵基礎(chǔ)設(shè)施中的工控系統(tǒng)��。它不僅是企業(yè)層面的問題����,還是涉及國家基礎(chǔ)經(jīng)濟(jì)和戰(zhàn)略安全的重要問題,這些領(lǐng)域都是我們首要關(guān)注的領(lǐng)域�����。
記者:國內(nèi)目前有沒有可以解決本質(zhì)安全問題的工控產(chǎn)品?
徐新國:事實(shí)上�����,中國工控產(chǎn)品的市場格局正是我們最擔(dān)憂的問題����。中國關(guān)鍵基礎(chǔ)設(shè)施的控制系統(tǒng)現(xiàn)在有相當(dāng)大的比例是國外公司供應(yīng)的,比如西門子�����、施耐德和西屋電氣等�����。關(guān)鍵系統(tǒng)由國外企業(yè)的產(chǎn)品運(yùn)行就存在一些不可控的風(fēng)險(xiǎn)�,如果采用的系統(tǒng)和數(shù)據(jù)庫內(nèi)核是別人的,別人只需要簡單的邏輯激發(fā)就可以使你的系統(tǒng)癱瘓����。
[#page#]
目前國內(nèi)的工控產(chǎn)品,特別是高端工控系統(tǒng)方面實(shí)力還很弱�,確實(shí)無法完全替代國外產(chǎn)品。像城鐵系統(tǒng)的信號控制部分��,目前工業(yè)和信息化部批準(zhǔn)的9家有競標(biāo)資格的企業(yè)所采用的核心技術(shù)都依賴于國外����。
記者:那你認(rèn)為工控安全的問題應(yīng)該如何解決?
徐新國:多年來我們一直在工業(yè)控制領(lǐng)域進(jìn)行相關(guān)技術(shù)和產(chǎn)品的研究,工控安全問題我們很早就開始關(guān)注��。在具體措施方面��,首先����,我認(rèn)為應(yīng)該先從立法入手,改變安全問題受制于人的現(xiàn)狀����。美國在這方面的做法值得參考�����,他頒布了國土安全總統(tǒng)令�、聯(lián)邦信息安全管理法���、國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃等相關(guān)法規(guī)戰(zhàn)略以及配套的標(biāo)準(zhǔn)和指南��,要求產(chǎn)品生產(chǎn)企業(yè)充分披露相關(guān)信息�。而俄羅斯則推行了審查制���,國外的產(chǎn)品要進(jìn)入市場必須經(jīng)過專門的測試���、考評、認(rèn)證和白盒審查��。
在我們軟硬件系統(tǒng)主要依賴進(jìn)口的現(xiàn)況下��,對于規(guī)范國外產(chǎn)品進(jìn)入中國市場�����,國家應(yīng)該推行準(zhǔn)入制。所謂準(zhǔn)入制����,就是廠商必須備案,并聲明產(chǎn)品沒有安全問題��。一旦發(fā)現(xiàn)問題得接受審查���,有追溯機(jī)制。在產(chǎn)品使用的過程中�����,我們還可以要求對國外產(chǎn)品進(jìn)行白盒檢測���。以前的黑盒測試��,就是不管產(chǎn)品的具體設(shè)計(jì)����,只要功能達(dá)到輸入輸出標(biāo)準(zhǔn)就行了��。但是�,現(xiàn)在我們要求廠商進(jìn)一步披露信息,知道問題出在哪里,并且對出問題的環(huán)節(jié)問責(zé)����、改進(jìn)。當(dāng)然���,這需要進(jìn)一步研究和設(shè)計(jì)出工控安全的基本準(zhǔn)則����,我們能提出明確的技術(shù)檢測指標(biāo)和方法���,才有資格和別人進(jìn)行博弈��。
其次�����,就是需要各部委聯(lián)合�����,集整個(gè)國家之力來推動這件事�����?����?傮w而言�����,國內(nèi)相關(guān)研究工作相對滯后�����,各方面的建設(shè)剛剛起步���。與工控安全相關(guān)的企業(yè)目前有兩類,一類是傳統(tǒng)信息安全技術(shù)和產(chǎn)品提供商�����。他們普遍認(rèn)為:工控系統(tǒng)安全是傳統(tǒng)IT安全的延伸�,希望通過傳統(tǒng)信息安全防護(hù)技術(shù)應(yīng)用于工控系統(tǒng),來實(shí)現(xiàn)對工控系統(tǒng)的全面監(jiān)控����。但過度監(jiān)控的理念��,在資源有限的條件下���,與工控系統(tǒng)要求的實(shí)時(shí)性和功能性是有沖突的,并且在復(fù)雜的應(yīng)用環(huán)境下��,傳統(tǒng)信息安全手段也無法解決工控系統(tǒng)的本質(zhì)安全問題�。
另一類是工控產(chǎn)品提供商,出于成本的考慮和技術(shù)的限制���,在提高自身系統(tǒng)安全性和相關(guān)防護(hù)產(chǎn)品方面���,廠商普遍缺乏主動性,很少對自身產(chǎn)品的安全漏洞進(jìn)行主動檢測和公布����。工控安全并不是單一學(xué)科、單一技術(shù)就能解決的問題�����,必須將信息安全技術(shù)�、工業(yè)控制技術(shù)、功能安全技術(shù)等進(jìn)行融合才能取得研究的突破�����。這就要求不同政府主管部門打破壁壘,開展深入合作��,充分發(fā)揮大政府的優(yōu)勢�����,從頂層設(shè)計(jì)出發(fā)�����,帶動相關(guān)行業(yè)����、企業(yè)����,進(jìn)行思路上的深刻變革和高度的資源整合,才有可能實(shí)現(xiàn)工控安全研究的突破�����。
具體而言���,可以組織相關(guān)技術(shù)和行業(yè)專家共同組成專家組�����,重點(diǎn)針對電力����、石化、軌道交通等關(guān)鍵領(lǐng)域開展試點(diǎn)工作��,開展行業(yè)工控系統(tǒng)安全問題的深入調(diào)研���,進(jìn)行漏洞分析和風(fēng)險(xiǎn)評估����,制定行業(yè)安全標(biāo)準(zhǔn)���,搭建測試��、測評平臺��。在試點(diǎn)經(jīng)驗(yàn)的基礎(chǔ)上����,進(jìn)行推廣應(yīng)用,逐步形成我國工控信息安全防護(hù)的長效機(jī)制���。
[#page#]
記者:你剛才主要講了從國家立法層面和資源整合方面推動問題的解決����,那從技術(shù)應(yīng)用的角度來講是否有什么新的思路?
徐新國:目前�����,我們使用的操作系統(tǒng)��,最大的安全問題就是超級用戶的問題�。超級用戶是操作系統(tǒng)體系架構(gòu)設(shè)計(jì)之初,按照人類的思維模式制定的���,具有當(dāng)時(shí)的歷史局限性?�,F(xiàn)在,具有無限權(quán)力的超級用戶往往被病毒和入侵行為所利用�,一旦被控制,就可以向控制對象發(fā)出破壞性指令���,并向系統(tǒng)發(fā)送虛假數(shù)據(jù)信息�,欺騙操作人員,造成事故和損失����。
2010年的“震網(wǎng)”事件,就是很典型的例子�。有的工控系統(tǒng)采用雙工熱備的方式進(jìn)行安全防護(hù),就是兩套系統(tǒng)同時(shí)工作��,一旦一套系統(tǒng)出現(xiàn)故障��,就切換到另一套系統(tǒng)繼續(xù)工作��。但對于惡意入侵行為�����,由于兩套系統(tǒng)的原理是一樣的�����,一套系統(tǒng)被攻破�,另一套也就不具有安全性。
基于多年來在工控領(lǐng)域的技術(shù)積累和應(yīng)用實(shí)踐�����,我們正在開展安全的實(shí)時(shí)數(shù)據(jù)庫、實(shí)時(shí)操作系統(tǒng)��,以及工控系統(tǒng)防危機(jī)制的研究�。和一般信息系統(tǒng)相比,工控系統(tǒng)有兩個(gè)特點(diǎn):一是工業(yè)控制系統(tǒng)的運(yùn)行狀態(tài)是有限的����,二是在每個(gè)狀態(tài)下允許執(zhí)行的指令也是有限的。這個(gè)和信息系統(tǒng)不一樣�����,信息系統(tǒng)有很多指令可以處于中間狀態(tài)���,而工控系統(tǒng)由于它的應(yīng)用特性導(dǎo)致他的狀態(tài)一定是可以窮舉的����,并且可以用規(guī)則表達(dá)出來��。
基于這個(gè)思路�,我們根據(jù)不同工控系統(tǒng)的功能需求,提煉出設(shè)計(jì)原則�,并進(jìn)一步生成規(guī)則庫。將規(guī)則庫裝入一套防危系統(tǒng)中�����,并保持與控制系統(tǒng)的聯(lián)通����,如果工控系統(tǒng)正常運(yùn)行,防危系統(tǒng)則不進(jìn)行干預(yù)�。一旦發(fā)現(xiàn)控制系統(tǒng)狀態(tài)異常,則進(jìn)行相應(yīng)的處理��。從工控安全的基本要求來講�,這套防危系統(tǒng)不一定能滿足系統(tǒng)的高效要求,但由于是完全獨(dú)立于工控系統(tǒng)運(yùn)行的�,至少可以保證當(dāng)系統(tǒng)運(yùn)行異常的時(shí)候發(fā)出警示,避免系統(tǒng)在異常狀態(tài)下導(dǎo)致的崩潰�。目前,這套防危系統(tǒng)已經(jīng)在一個(gè)地方電力系統(tǒng)中運(yùn)用了��。
實(shí)際的工控系統(tǒng)往往是一個(gè)復(fù)雜的網(wǎng)絡(luò)����,各設(shè)備之間存在著相互依賴關(guān)系,對一個(gè)設(shè)備的操作勢必會對其他設(shè)備造成影響��,針對獨(dú)立設(shè)備的防危還不能完全達(dá)到整體防危的要求。目前我們正在深入研究具有主動�、全局、實(shí)時(shí)等特性的工控系統(tǒng)防危機(jī)制����。
