首页 > 代码库 > 工控信息网络隐患多 电网安防须步步为营
工控信息网络隐患多 电网安防须步步为营
随着工业以太网的快速发展,工控系统网络信息安全问题日渐显露。以太网可能会遇到包括病毒感染、非法操作等网络安全隐患;而软件的漏洞、错误配置或者网络管理的失误也会造成工控网络异常;另外,工业控制系统网络与其他网络连接时缺乏安全边界控制,也是常见的安全隐患。2010年的震网病毒就是例证,最近的“棱镜门”事件又再次为信息网络安全敲响了警钟,对此,我们应当如何应对,这些安全隐患究其根底原因何在?另外,工信部451号文件(即《关于加强工业控制系统信息安全管理的通知》)已出台近两年,为何工控网络信息安全依旧得不到应有的重视?最重要的是,随着智能电网的接入环境变得更加复杂,电网调度系统以及电力通信网络的信息安全又当如何保障?带着这些疑问,记者采访了北京中科网威信息技术有限公司(下称中科网威)的总裁助理殷国强。
工控信息网络缺乏安全设计 “打补丁”治标不治本
作为国内最早从事工业控制系统网络安全信息安全研究的安全厂商。由中科网威研制推出的工业防火墙、网络资产安全风险异常监测平台的工业网络安全产品以及“网威工业控制系统网络信息安全时空防御模型”解决方案已被广泛应用于电力、军工、工控等领域。对于工控信息网络安全存在的诸多安全隐患,殷国强表示,工业控制系统网络安全是一个新的课题。根据我们的研究,目前我国工业控制系统网络安全问题频发原因主要有两方面,一方面是管理,另一方面是技术。”
在殷国强看来,管理上,目前工控网络信息安全主要有五个方面的问题。一是组织不健全。现有的工业自动化管理体系和信息安全管理体系尚未完成有机结合,难以有效应对工业控制网络安全挑战;二是工业信息安全管理制度缺失。没有可以参照的安全标准规范,缺乏经过实践检验的工业控制系统网络安全管理制度流程,从而难以有效实现工业控制系统网络的安全规范管理;三是相关人员缺乏安全培训。面对全新的课题,从管理人员到一线操作人员普遍缺乏对工业信息安全的认识,更谈不上有效的针对性培训,一旦出现问题,往往无力应对;四是监管执行不力。由于组织不健全、安全管理标准和制度缺失,加上技术方面原因,直接导致监管措施难以落实,从而使高层管理人员对安全风险难以把控;五是技术措施不到位。在缺乏标准规范的情况下,无法安排有效的技术措施,也无法确保技术措施真正发挥作用。
同时在技术上也存在一系列问题,首先是缺乏对攻击手段的研究和工业信息安全防护及检测手段,对攻击手段的一无所知直接造成了防护的无从下手。其次,缺乏对技术设备的控制,我国的工业控制系统中的关键设备95%以上都是进口的,对于其内部结构、组成、隐藏功能都缺乏了解,也没有有效的技术和法律控制措施,很难保证没有暗藏的后门、病毒、木马、逻辑炸弹等破坏手段。最重要的是,缺乏信息安全设计,没有安全模块设计就谈不上安全保障。据殷国强透露,目前,所谓的安全防护大都是通过“打补丁”的方式进行,这种方式可以暂时取得防护效果,但是从长远来看,治标不治本,或许还会带来更大的风险。
政策与利益脱节 企业领导不带头造成下游无力
近年来,工控系统网络存在的诸多安全隐患也引起了国家相关部门的重视。2011年,工信部下发了451号文件《关于加强工业控制系统信息安全管理的通知》,其中明确规定加强重点领域工业控制信息系统安全管理,文件要求须断开工业控制系统同公共网络之间的所有不必要连接;工控系统组网时要同步规划、同步建设、同步运行安全防护措施;另外,应加强对技术服务的信息安全管理,在安全得不到保证的情况下禁止采取远程在线服务。
但据记者了解,目前,上述要求落实情况很不乐观,很多企业尚未达到要求,很多解决方案还一直停留在理论阶段,无法大范围推广实施。对此,殷国强说:“理论研究是可以理解的,而且必须有足够的理论研究才能在实践中加以运用,否则,遇到问题手足无措也会造成极大的浪费甚至得不偿失。但是,我们不能只停留在理论层面上,只一味高喊要重视工控网络信息安全行动上却无动于衷,这样止步不前终究不会有进步。而且理论实践本就是辩证统一的关系,理论指导实践,实践验证理论,只有两者相结合才会有最好的结果。”
据了解,中科网威工业级防火墙在2012年通过了电力行业测评,成为中国首家通过电力协议访问控制专业测评的工业级防火墙生产厂商。在殷国强看来,取得这样的成果,主要在于领导重视,董事长兼总裁刘兵亲自挂帅主抓工业安全产品的研发和推广,这在目前是国内同等规模企业中唯一的一家。领导的重视带来资源的集中,中科网威在工业控制系统安全方面的理论研究、产品开发、产品测试和对外合作都集中了全公司的技术力量,从而取得了长足的进步。据了解,现在很多企业的现状是,只有主管工控的工程师重视信息安防,公司领导不重视,加上国家的相关政策大多只是一些指导意见,跟企业没有直接的利益挂钩,造成了目前工控网络信息安防下游无力的局面。事实上,不仅工控领域,我国的智能电网调度系统和电力通信网络也遭遇了同样的困境。
电网调度系统大而庞杂 信息安全须及早防护
电网调度系统大而庞杂,随着我国同步电网规模的扩大,智能化设备、新技术逐步广泛应用到电力系统网络中,使智能电网的接入环境变得更加复杂,电网的安全性及电力通信网络信息安全面临新的挑战。据殷国强介绍,中科网威在电网的信息安全防护产品方面做出了极大努力。“首先,我们加强了对电网攻击技术手段的研究;其次,在研究的基础上开发了适合电力调度网的电力专用防火墙、风险监测平台等系列产品;最后,我们还联合其他科研机构比如电科院等在一些电力企业进行试点,改进产品技术,使之更加可靠、有效。”殷国强说。
据记者了解,日前,中科网威参与国家电网安防设备招标并成功中标。而其电力专用防火墙及解决方案,在西北电网、东北电网和南网也均已投入使用。对于公司的未来发展,殷国强表示,公司将会一如既往的把工业控制系统信息安全作为战略目标和发展方向,其中,电力行业信息安全防护是重中之重。