在线客服
企业微信
面对工控系统信息安全的严峻形势,由中国电子技术标准化研究院信息安全研究中心和其他23家单位共同发起成立了“工业控制系统信息安全产业联盟”。该产业联盟成立的宗旨是搭建政府、用户、企业、科研院所之间的交流平台,发挥纽带与桥梁作用,共同推进我国工业控制系统信息安全产业发展,保障关键基础设施安全稳定运行,支撑中国工业健康可持续发展。
联盟致力于为我国工业控制系统信息安全在体系建设、风险评估、标准制定、产品开发和评测等方面迅速有效地取得积极成效而搭建一个交流平台。
形势严峻
我国正处于工业转型升级的关键期,信息化与工业化深度融合的智能化生产成为发展趋势。在工业信息化过程中,现有工控系统的软硬件、通信协议,以及管理环节往往都存在信息安全隐患风险。工控系统信息安全事件在近年来逐年增加,严重影响国家和地区的重要基础设施安全,造成的损失和危害越来越严重,安全形势刻不容缓。
美欧等国已将关键基础设施与工控安全列为国家战略。美国高度重视工控系统安全,采取了一系列的措施来保障关键基础设施和工控系统的信息安全,通过发布国家法规战略、制定工业控制系统安全路线图、制定工控信息安全深度防御策略和标准、开展工控系统信息安全检查和评估来保障工控系统的安全。
反观现阶段我国的工控系统信息安全,就会发现我国工控系统信息安全产业的规模与国外相比还有很大差距,相关工控系统信息安全国家标准还不够完善。我国工控系统信息安全工作起步晚,总体上技术研究尚属起步阶段,管理制度不健全,相关标准体系不完善,安全防护能力和应急处理测评能力不高。因此,应尽快制定相关政策及标准,将工控系统安全纳入到工业和信息化行业,并上升到国家网络安全战略高度予以部署推进。
我国工控系统安全存在多个薄弱环节,工控系统国产化程度不高,尤其是在高端市场基本被国外垄断,核心的技术和元件均掌握在国外厂商手中,工控系统高度依赖国外,安全形势严峻。
首先,国外工控系统在产品设计、配置等方面不可避免地存在漏洞,这些漏洞一旦被敌对势力、恐怖组织、商业间谍、黑客组织等利用,将带来关键数据和信息被窃取、被篡改破坏等问题,还可能使涉及国计民生的工业、能源、交通等关键基础设施遭到破坏。
其次,国外厂商会对工控系统进行远程维护,关键核心数据可能被窃取并被利用。
当前我国工控系统的安全保护水平和安全管理偏低,表现在缺乏有效的管理标准来监管工控系统的安全,未对工控系统采取有效的分层保护措施、未经允许控制的远程访问等。
此外,我国目前还缺乏应用于工控系统的安全防护产品,工控系统的安全防护产品门类不全、为形成应用于各个系统层级、各个应用领域的安全防护产品体系不够健全。
未来重点
为保障我国工控系统乃至关键基础设施的安全,在有关政府主管部门的组织下,相关工控企业、标准研究机构、测评机构、联盟组织应全力合作,从建立工作机制、制定标准、提高测评能力、培养工控安全人员信息安全意识等方面推进工控系统信息安全工作。
首先,应建立主管部门和工控系统企业的联动工作机制,政府提供政策支持,企业自身做好管理和技术支持,二者协调统一。相关企业和科研机构应对出现的安全事件的原因分析总结,及时发现我国现有工控系统的隐患并给出解决方案。同时,政府指导推动工控行业和优势企业,发展具有自主产权的工控系统的核心软硬件,改变目前这种严重依赖关键技术产品进口的不利局面,加速提升我国在工控系统方面的核心竞争力,掌握工控产业发展的主动权。
其次,应加快制定工控系统信息安全国家标准。依据工业和信息化部发布《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号文)和《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)等相关文件,并结合ISO/IECJTC1/SC27、IEC62443、NISTSP800-82等工控安全相关国际国外标准,从工控系统的技术线、管理线出发,以工控系统安全管理标准带动工控系统技术标准制定,统筹工控安全产业发展,建立标准体系,维护工控系统信息安全。
再次,应加强工控系统安全评估能力建设。目前,国际上工控系统的物理安全测评认证主要由欧盟、德国、英国主导,工控系统核心安全数据、核心评估工具均被国外企业和评估机构垄断。在工控系统信息安全测评领域,我国也刚刚起步,亟须加强测评技术研究、测评工具开发、测评环境建设等能力提升工作,逐步形成我国独特的工控系统信息安全测评体系和工控系统网络安全审查体系。
最后,应提高工控系统企业信息安全意识。当前,很多工控安全事件都是由于企业信息安全管理不当或员工缺乏信息安全意识的误操作引起的,因此,相关企业在对系统进行管理时要对管理人员进行信息安全培训,国家有关主管部门可定期对管理和操作人员进行考核认证,并建立问责机制。此外还可以委托相关信息安全测评机构建立演练模拟平台,定期对企业员工进行信息安全事故演练,模拟在面对工控安全突发事件时的应急响应。
