《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 電子六所:構(gòu)建多層次工業(yè)互聯(lián)網(wǎng)安全保障體系

電子六所:構(gòu)建多層次工業(yè)互聯(lián)網(wǎng)安全保障體系

2019-08-30
來源:原創(chuàng)
關(guān)鍵詞: 電子六所 工控安全

  近日,,由中國電子信息產(chǎn)業(yè)集團有限公司和海寧市政府主辦,,海寧市經(jīng)濟和信息化局、海寧市科學技術(shù)局,、杭州灣生態(tài)智造新城,、中電港承辦的“IAIC信息安全高峰論壇暨中國芯應(yīng)用創(chuàng)新設(shè)計大賽信息安全專項賽”于浙江海寧成功舉辦。

  中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統(tǒng)信息安全技術(shù)國家實驗室副主任蘇培培做了題為《構(gòu)建多層次工業(yè)互聯(lián)網(wǎng)安全保障體系》的演講,。

  10.png

  中國電子信息產(chǎn)業(yè)集團有限公司第六研究所工業(yè)控制系統(tǒng)信息安全技術(shù)國家實驗室副主任蘇培培

  工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實驗室設(shè)立初衷

  蘇培培介紹道,,目前該實驗室是國內(nèi)唯一一家專注于工控系統(tǒng)信息安全技術(shù)的國家實驗室,以工控系統(tǒng)及安全為引領(lǐng),,依托于工業(yè)控制系統(tǒng)信息安全技術(shù)國家工程實驗室,,開展包括網(wǎng)絡(luò)安全技術(shù)研究和支撐政府網(wǎng)絡(luò)安全工作,承擔國家網(wǎng)絡(luò)靶場任務(wù),,提供信息安全測評認證,。布局包括全國產(chǎn)化金融設(shè)備、軌道交通及先進智能制造三大重點產(chǎn)業(yè),,保障國家關(guān)鍵信息基礎(chǔ)設(shè)施信息安全,。

  其中重點職能是致力于工業(yè)系統(tǒng)的安全技術(shù)標準研究,此外還包括人才培養(yǎng),,技術(shù)孵化,,實現(xiàn)工控系統(tǒng) “可發(fā)現(xiàn)、可防范,、可替代” 的三大安全戰(zhàn)略任務(wù),。

  2016至2018三年間,實驗室已經(jīng)累計完成15省300套工控系統(tǒng)的安全測評及咨詢服務(wù),,服務(wù)企業(yè)近百家,,行業(yè)涉及電力、核電,、軌道交通及石油石化等多項重點工程,,檢測的工控系統(tǒng)供應(yīng)商包括艾默生、ABB,、施耐德,、日立、和利時、新華,、國電智深等國內(nèi)外知名公司,。

  信息化發(fā)展給工控安全帶來諸多挑戰(zhàn)

  “沒有網(wǎng)絡(luò)安全就沒有國家安全?!弊?013年11月12日成立中央國家安全委員會之后,,關(guān)鍵信息基礎(chǔ)設(shè)施安全成為了網(wǎng)絡(luò)安全的重中之重,網(wǎng)信辦,、工信部等部委圍繞信息安全工作出臺了一系列的政策,,提高了全社會全行業(yè)的網(wǎng)絡(luò)安全意識。

  蘇培培表示,,典型的企業(yè)生產(chǎn)及制造系統(tǒng)的架構(gòu)包括現(xiàn)場設(shè)備層,、現(xiàn)場控制層、過程監(jiān)控層,、制造執(zhí)行系統(tǒng)層,、企業(yè)管理層以及外部網(wǎng)絡(luò),通常認為以制造執(zhí)行系統(tǒng)層(MES)為分界,,向上為信息管理系統(tǒng),,向下為工業(yè)控制系統(tǒng)。

  目前工業(yè)系統(tǒng)和信息系統(tǒng)的融合演變越來越多,,從最早的封閉式系統(tǒng),,轉(zhuǎn)變?yōu)榕c企業(yè)信息系統(tǒng)的集成,遠程維護的支持并且延伸到整個工業(yè)物聯(lián)網(wǎng)的概念,,一方面有利于遠程控制技術(shù)的發(fā)展,,但同時也帶來了巨大的安全隱患。

  針對具體的隱患,,蘇培培指出,,首先是工控系統(tǒng)已成為黑客攻擊和網(wǎng)絡(luò)戰(zhàn)的一個重要目標,據(jù)卡巴斯基實驗室統(tǒng)計,,僅2017年的上半年就發(fā)現(xiàn)了18000種針對工控系統(tǒng)的惡意軟件,;第二是核心技術(shù)產(chǎn)品自主可控程度地,受制于人,,尤其是涉及到國家基礎(chǔ)設(shè)施的精密設(shè)計,,核心設(shè)備,產(chǎn)品和技術(shù)依然受制于國外,;第三,,工業(yè)終端控制從閉環(huán)走向開放,面臨著新的安全互信問題,;第四,,缺乏工業(yè)互聯(lián)網(wǎng)安全的高仿真環(huán)境;第五,工業(yè)大數(shù)據(jù)作為企業(yè)的核心資產(chǎn),,面臨著嚴峻的安全風險,。

  “我們的云大物移等技術(shù)應(yīng)用一方面是促進了技術(shù)的發(fā)展,同時它也增加了工業(yè)處理流程的開放性和不確定性,,使風險進一步集中和放大,,工控系統(tǒng)如今正面臨著嚴峻的安全挑戰(zhàn)?!碧K培培舉例道,,包括震網(wǎng)病毒Stuxnet對伊朗核設(shè)施的打擊,BlackEnergy對烏克蘭電力系統(tǒng)的攻擊,,ClearEnergy對PLC的攻擊,,WannaCry給臺積電帶來的損失等等。 “過去早期封閉的工業(yè)系統(tǒng)中的病毒是非常少的,,但隨著時代的發(fā)展,,工業(yè)病毒已經(jīng)演變成一個網(wǎng)絡(luò)武器,這是之前所始料未及的,,會被黑客利用進行情報采集,滲透潛伏,,精確打擊等,,這些都會破壞我們的工業(yè)基礎(chǔ)設(shè)施?!?/p>

  令蘇培培感到擔憂的還有,,目前我國高端工業(yè)設(shè)備控制系統(tǒng)普遍是采用的國外品牌,包括機床,、發(fā)電設(shè)備,、機器人等等。目前我國工業(yè)系統(tǒng)中有超過90%的PLC和超過65%的操作員站都采用了國外產(chǎn)品,。而這些產(chǎn)品往往因為需要廠商的遠程維護,,必須支持遠程訪問端口。這就給系統(tǒng)帶來很大漏洞后門風險,,容易受到旁路控制,,拒絕服務(wù)DoS甚至信息泄露等風險。

  據(jù)悉,,行業(yè)內(nèi)已發(fā)生了多項事故,。據(jù)報道,曾經(jīng)有一家軍工企業(yè)采購了一臺高端的數(shù)控機床,,在廣州工廠調(diào)試正常,,但是將設(shè)備拉到蘭州工廠后卻無法使用,究其原因,原來是機床的信息系統(tǒng)自動將位置信息傳給了供應(yīng)商,,因為更換使用地址而被供應(yīng)商鎖定停機,,這種狀況表明這臺機器在使用過程存在巨大的安全風險。

  新思路保障工控領(lǐng)域端云一體化的安全

  目前工業(yè)客戶正在廣泛采用云端技術(shù),,從封閉走向開放的過程,,以前的物理隔離將會完全暴露在互聯(lián)網(wǎng)這個大環(huán)境中,而當前最缺乏的就是端云協(xié)作的整體安全解決方案,,該方案需要支持異構(gòu),,多樣化協(xié)議且功能迥異的工業(yè)終端平臺。

  “安全的平臺方案是端云深度融合的基礎(chǔ)和先決條件,,我們需要新思路來應(yīng)對信息系統(tǒng)安全及公共安全的深度融合,。”蘇培培指出,,“目前工業(yè)信息安全漏洞數(shù)量連年遞增,,已經(jīng)類似于十幾年前計算機面臨的安全大環(huán)境。且半數(shù)以上的公共安全漏洞屬于高危漏洞,,PC機中毒大不了重啟系統(tǒng)然而工業(yè)系統(tǒng)出現(xiàn)漏洞攻擊之后,,會導(dǎo)致嚴重的停產(chǎn),涉及國計民生安全,?!?/p>

  同時,目前的工控漏洞呈現(xiàn)多樣化碎片化的特點,,并廣泛分布于各個重點領(lǐng)域,,很難通過統(tǒng)一的技術(shù)解決。而最后,,工業(yè)只是對實時性,、功能性及可靠性要求較高,更新頻率不高,,因此漏洞從發(fā)現(xiàn)到修復(fù)的整體進程非常緩慢,。 除此之外,工業(yè)大數(shù)據(jù)已成為網(wǎng)絡(luò)攻擊的顯著目標,,業(yè)務(wù)數(shù)據(jù)的敏感性吸引了各類網(wǎng)絡(luò)攻擊,,隱私泄露、存儲風險以及APT攻擊都是大數(shù)據(jù)所面臨的風險,。

  為此,,蘇培培建議搭建完整的工業(yè)安全實驗室,通過實驗檢測評估,,攻防演練,,公共態(tài)勢感知平臺以及安全監(jiān)測溯源系統(tǒng)等,,解決公共信息安全漏洞檢測、驗證與修復(fù)等問題,,逐步清除工業(yè)互聯(lián)網(wǎng)的安全隱患,。

  一種多層次的公共安全保障體系

  工業(yè)控制系統(tǒng)信息安全技術(shù)國家實驗室正在推出一種多層次的公共安全保障體系,貫穿了整個工業(yè)安全運行服務(wù)的全生命周期,,覆蓋了設(shè)備安全,,控制安全,網(wǎng)絡(luò)安全,,數(shù)據(jù)安全,,應(yīng)用安全,管理安全等多方面,。

  首先在設(shè)備層面,,通過國產(chǎn)飛騰CPU,麒麟OS,,自主存儲芯片,,安全芯片及工控仿真環(huán)境,確保了底層的自主可控,;其次,,通過工控感知態(tài)勢平臺圍繞著漏洞管理、審計溯源,、云端可信認證,、大數(shù)據(jù)安全保護等,實現(xiàn)了數(shù)據(jù),、網(wǎng)絡(luò),、控制等容和安全,。第三則是驗證平臺,,建設(shè)了工控網(wǎng)絡(luò)靶場實現(xiàn)大規(guī)模工控場景技術(shù)的靈活構(gòu)建,場景化的工業(yè)控制行為仿真模擬以及實現(xiàn)工控系統(tǒng)智能,、自動攻擊測試技術(shù),。第四是實驗室會通過安全咨詢、風險評估,、滲透測試,、培訓等方式,培養(yǎng)企業(yè)內(nèi)部的安全運維意識,。

  其中靶場是該實驗室的重點項目,,其本質(zhì)是一個攻防平臺,通過互聯(lián)技術(shù),,基于真實的功能資源,,搭建了兩級公共安全服務(wù)平臺,,一級平臺是覆蓋了通用的工業(yè)控制系統(tǒng),通過資源池及通用安全的防護設(shè)備來實現(xiàn),。第二級平臺則涵蓋了重點行業(yè)的專用設(shè)備和專用軟件,。

  談及建設(shè)靶場的原因,蘇培培說道,,首先無論是電網(wǎng),、水利工程、軌交,、核工業(yè),、化工等場景,進行檢測,、掃描及攻擊測試時,,不可能基于實際的產(chǎn)線進行測試,真正的實景測試只能在設(shè)備剛剛安裝之后或者是換修期進行測試,,這就給測試帶來很多不便,。而隨著互聯(lián)網(wǎng)的快速發(fā)展,攻擊手段不斷演進,,必須要進行頻繁的攻防測試演練,,以驗證防護手段,這就需要靶場的建設(shè),。

  據(jù)悉,,目前實驗室已經(jīng)在軌交、電網(wǎng),、智能制造系統(tǒng)等領(lǐng)域構(gòu)建了測試床和靶場,,目的是發(fā)現(xiàn)信息風險漏洞并解決,從而為維護設(shè)備的安全運行提供技術(shù)保障,。

  “目前我們的業(yè)務(wù)合作單位非常廣泛,,包括各大能源集團,電網(wǎng)等,,最終是為了解決信息安全和功能安全在國計民生相關(guān)領(lǐng)域的深度融合問題,。”蘇培培總結(jié)道,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。