《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 工業(yè)控制系統(tǒng)信息安全發(fā)展趨勢大解析,!

工業(yè)控制系統(tǒng)信息安全發(fā)展趨勢大解析,!

2018-08-15

ce8bdcf62dc0467e9d60073150e0f427.jpeg

  在“沒有網(wǎng)絡安全,就沒有國家安全”的大前提下,,工業(yè)企業(yè)已經(jīng)意識到了工業(yè)控制系統(tǒng)信息安全的重要性,。正在或者計劃加大力度,完善提高工控安全技術和管理水平,。但企業(yè)會發(fā)現(xiàn),,在工業(yè)化和信息化深度融合的背景下,工業(yè)生產環(huán)境和信息環(huán)境的不斷交集,,即使區(qū)域邊界明確,,數(shù)據(jù)交換已經(jīng)不可避免地為工業(yè)控制系統(tǒng)安全建設帶來了難度,因此,,在未來的一段時間內,,工業(yè)控制系統(tǒng)信息安全的發(fā)展將呈現(xiàn)出以下幾個特點:

  1

  工控安全事件存在大量爆發(fā)的可能性

  自2010年伊朗的“震網(wǎng)事件”和2015年烏克蘭停電事件爆發(fā)后,針對工業(yè)控制系統(tǒng)及相關輔助系統(tǒng)的信息安全研究不斷高漲及持續(xù),。系統(tǒng)脆弱性及漏洞的發(fā)現(xiàn),,實際是在不斷增加;同時,,工業(yè)控制系統(tǒng)在未完全建立安全體系就互聯(lián)互通的現(xiàn)狀,,也降低了黑客對其系統(tǒng)架構、信息流向研究的門檻,。工控系統(tǒng)不再是神秘的,。通過SHADON搜索引擎,就可以根據(jù)工控系統(tǒng)的指紋特性到全球網(wǎng)絡去掃描,,以發(fā)現(xiàn)目標系統(tǒng)進行研究,。因此,現(xiàn)在針對工控系統(tǒng)的信息安全研究和信息收集的技術難度在降低,、技術手段在不斷豐富,,同時工業(yè)企業(yè)的安全建設投入持續(xù)性不夠好,,這使安全風險增大,導致工控安全事件爆發(fā)概率逐漸提升,。

  2

  政府監(jiān)管力度持續(xù)加大

  工控安全不等于關鍵信息基礎設施安全,,但很多關鍵信息基礎設施的核心,確實是工業(yè)控制系統(tǒng),。因此,,針對工控安全的政府監(jiān)管和行業(yè)指導,也成為了工信部未來3年的工作重點之一,,再加上網(wǎng)信辦發(fā)布的《關鍵信息基礎設施保護條例》,、基于《網(wǎng)絡安全法》公安的執(zhí)法,工控安全一定會成為重點監(jiān)管的領域和對象,。

  聯(lián)防聯(lián)動的工作機制,,已經(jīng)確立了我國工控安全的具體監(jiān)管機制,“一網(wǎng)一庫三平臺”技術支撐體系的建立,,也有效地支持了工業(yè)企業(yè)以及相關領域,、行業(yè)主管部門的信息收集和工作決策。同時,,全國范圍的應急資源庫,,也成為了保障工控安全事件爆發(fā)后的有效應對手段,降低了安全事件帶來的損失,。

  3

  工業(yè)控制系統(tǒng)信息安全行業(yè)屬性突出

  工業(yè)領域十分廣闊,,包括能源、交通,、冶金,、食品加工、機械制造等多個行業(yè)和領域,,每個行業(yè)和領域的生產工藝,、供應鏈特點,都具有明顯的差異,;即使是同一品牌,、同一型號的控制系統(tǒng),在不同領域,、行業(yè),、甚至企業(yè),都會有不同的應用特點,。統(tǒng)一的安全體系及制度,,統(tǒng)一的技術標準和方案,無法解決企業(yè)的安全問題,。因此,,在不斷加強安全建設中,,如何與企業(yè)、行業(yè)的業(yè)務特點相結合,,形成有效的業(yè)務安全建設的最佳實踐,是工控安全的發(fā)展方向之一,。

  4

  以業(yè)務數(shù)據(jù)為核心的安全體系建立

  新一代信息技術的大量應用,,包括工業(yè)領域新技術的不斷快速迭代,大數(shù)據(jù),、工業(yè)云等技術的不斷試水,,工業(yè)企業(yè)更加強調了高效、低耗,、業(yè)務聯(lián)動的特點,,端到端的定制化需求要求信息流要快速而準確。而信息流中的業(yè)務內容,、強調時效性的數(shù)據(jù)表達了客戶需求,、產品特點、原材料物流,、生產排班,、定制生產、產品配送等關鍵信息,,這些信息所表達的數(shù)據(jù)形式,、內容的關鍵程度較為重要。數(shù)據(jù)的準確度,、時效性以及認證程度等,,防篡改、防抖動的需求是極為迫切的,,因為,,生產的輸入和輸出,完全基于數(shù)據(jù)的信息流的完整程度和準確程度,。因此,,結合工業(yè)工藝的業(yè)務數(shù)據(jù),同時也包括基于工業(yè)企業(yè)資產的數(shù)據(jù),,就成為工業(yè)企業(yè)安全體系建立的核心,,也是技術和管理雙向保障企業(yè)安全的基礎。

  5

  由重邊界防護向全流程監(jiān)管方向發(fā)展

  工業(yè)生產環(huán)境,,大部分還是處于隔離的狀態(tài),,即互聯(lián)互通的需求存在,也是需要在邊界建立強保護措施,,例如電力的生產控制大區(qū)和管理信息大區(qū)的單向隔離要求達到或者接近物理隔離的水平,、石化行業(yè)的數(shù)采網(wǎng)和信息網(wǎng)同樣增加了網(wǎng)閘進行隔離,。這種措施確實是可以有效保障安全威脅因缺少邊界防護從辦公信息網(wǎng)滲透到生產網(wǎng)絡環(huán)境中,但也同時形成了企業(yè)人員認為隔離即是安全的固定思維,,再加上生產環(huán)境中的針對信息安全的保障制度和保障措施的執(zhí)行缺失,,工業(yè)控制系統(tǒng)“帶病工作”的現(xiàn)象極為普遍。企業(yè)為保障生產任務,,又不能徹底解決安全問題,,周而復始積累了大量的安全隱患。因此,,從政府及行業(yè)監(jiān)管和企業(yè)自身安全需求的雙向驅動下,,企業(yè)安全建設不會再停留在只重邊界防護建設的思想之上,同時工控安全防內大于防外的認識會不斷完善,,風險管理的體系會逐漸形成,,企業(yè)的全流程安全監(jiān)管成為主要的保障措施。

  6

  基礎組件的先天缺陷催生工控本體安全的建設

  最近幾年針對計算機系統(tǒng)的組件暴露的漏洞日益增多,,最近Intel,、AMD和ARM的CPU的兩個新的側信道攻擊漏洞“Spectre”和“Meltdown”被爆出,雖然相關公司已經(jīng)提供了固件和軟件更新,,但專家們認為自1995年以來幾乎所有的英特爾處理器都受到影響,。相關公司,如微軟,、谷歌,、紅帽、VMware等開始發(fā)布軟件更新和解決方案來解決漏洞,??此迫虻目萍脊径荚跒橄嚓P漏洞積極尋找解決辦法,但是對于我國工業(yè)企業(yè),,控制系統(tǒng)的工程師站和操作員站以及嵌入式設備大量使用基于Intel,、AMD、ARM的CPU,,同時卻無法針對此問題進行有效的固件和軟件更新,,所帶來的風險是無法預估和防御的。因此,,工業(yè)控制系統(tǒng)本體安全的研究和工程化,,成為解決工控安全架構安全的途徑和方式之一。

  7

  由強調靜態(tài)安全產品建設向服務+產品的動態(tài)保障轉變

  從信息安全發(fā)展角度來看,,解決系統(tǒng)的架構安全,、建立被動防御體系、形成積極防御力量,再到基于威脅情報的保障體系,,需要逐步完善,。但在工控安全領域,面臨的問題往往是架構安全,、被動防御,、積極防御和威脅情報需要并行發(fā)展、完善和工程化,。因此,,在企業(yè)逐漸認識到安全是相對的、動態(tài)的和持續(xù)投入的,,單純的,、靜態(tài)的安全防護體系不是一條有效的解決途徑后,,會提出基于業(yè)務安全的持續(xù)性安全保障措施——安全運營,。安全運營,是在與業(yè)務緊密貼合的前提下,,承認工控系統(tǒng)架構安全的脆弱性,,建立縱深防御后,采取數(shù)據(jù)采集,、監(jiān)控和應急處置的聯(lián)動方式,,快速、及時地保障生產安全,。采取的方式是安全運營人員+產品工具+安全數(shù)據(jù)分析+閉環(huán)管控的動態(tài)保障模式,,就會形成安全防護產品建設、安全運營體系,、應急保障體系的聯(lián)動機制,,更加貼近企業(yè)的實際情況,更有效地保障工控安全,。

  綜上所述,,工控安全,將會打破現(xiàn)有的技術形態(tài)和管理體系,,在面對工控安全的極大脆弱性,,可能爆發(fā)大量安全事件的情況下,通過持續(xù)的監(jiān)管工作機制,,基于企業(yè)的業(yè)務特點,,建立數(shù)據(jù)資產為核心的安全保障技術體系,通過安全產品+運營服務的動態(tài)模式保障工控安全,,同時,,加大工控系統(tǒng)本體安全的研究和工程化,從架構安全、被動防御,、積極防御到威脅情報,,整體建設、完善工控安全保障體系,,是未來工控安全的發(fā)展方向,。


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。