近日,,由中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司和海寧市政府主辦,,海寧市經(jīng)濟(jì)和信息化局、海寧市科學(xué)技術(shù)局,、杭州灣生態(tài)智造新城、中電港承辦的“IAIC信息安全高峰論壇暨中國(guó)芯應(yīng)用創(chuàng)新設(shè)計(jì)大賽信息安全專項(xiàng)賽”于浙江海寧成功舉辦,。
中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家實(shí)驗(yàn)室副主任蘇培培做了題為《構(gòu)建多層次工業(yè)互聯(lián)網(wǎng)安全保障體系》的演講,。
中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家實(shí)驗(yàn)室副主任蘇培培
工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室設(shè)立初衷
蘇培培介紹道,目前該實(shí)驗(yàn)室是國(guó)內(nèi)唯一一家專注于工控系統(tǒng)信息安全技術(shù)的國(guó)家實(shí)驗(yàn)室,,以工控系統(tǒng)及安全為引領(lǐng),,依托于工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室,開展包括網(wǎng)絡(luò)安全技術(shù)研究和支撐政府網(wǎng)絡(luò)安全工作,,承擔(dān)國(guó)家網(wǎng)絡(luò)靶場(chǎng)任務(wù),,提供信息安全測(cè)評(píng)認(rèn)證。布局包括全國(guó)產(chǎn)化金融設(shè)備、軌道交通及先進(jìn)智能制造三大重點(diǎn)產(chǎn)業(yè),,保障國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施信息安全,。
其中重點(diǎn)職能是致力于工業(yè)系統(tǒng)的安全技術(shù)標(biāo)準(zhǔn)研究,此外還包括人才培養(yǎng),,技術(shù)孵化,,實(shí)現(xiàn)工控系統(tǒng) “可發(fā)現(xiàn)、可防范,、可替代” 的三大安全戰(zhàn)略任務(wù),。
2016至2018三年間,實(shí)驗(yàn)室已經(jīng)累計(jì)完成15省300套工控系統(tǒng)的安全測(cè)評(píng)及咨詢服務(wù),,服務(wù)企業(yè)近百家,,行業(yè)涉及電力、核電,、軌道交通及石油石化等多項(xiàng)重點(diǎn)工程,,檢測(cè)的工控系統(tǒng)供應(yīng)商包括艾默生、ABB,、施耐德,、日立、和利時(shí),、新華,、國(guó)電智深等國(guó)內(nèi)外知名公司。
信息化發(fā)展給工控安全帶來諸多挑戰(zhàn)
“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全,?!弊?013年11月12日成立中央國(guó)家安全委員會(huì)之后,關(guān)鍵信息基礎(chǔ)設(shè)施安全成為了網(wǎng)絡(luò)安全的重中之重,,網(wǎng)信辦,、工信部等部委圍繞信息安全工作出臺(tái)了一系列的政策,提高了全社會(huì)全行業(yè)的網(wǎng)絡(luò)安全意識(shí),。
蘇培培表示,,典型的企業(yè)生產(chǎn)及制造系統(tǒng)的架構(gòu)包括現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層,、過程監(jiān)控層,、制造執(zhí)行系統(tǒng)層、企業(yè)管理層以及外部網(wǎng)絡(luò),,通常認(rèn)為以制造執(zhí)行系統(tǒng)層(MES)為分界,,向上為信息管理系統(tǒng),向下為工業(yè)控制系統(tǒng),。
目前工業(yè)系統(tǒng)和信息系統(tǒng)的融合演變?cè)絹碓蕉啵瑥淖钤绲姆忾]式系統(tǒng),轉(zhuǎn)變?yōu)榕c企業(yè)信息系統(tǒng)的集成,,遠(yuǎn)程維護(hù)的支持并且延伸到整個(gè)工業(yè)物聯(lián)網(wǎng)的概念,,一方面有利于遠(yuǎn)程控制技術(shù)的發(fā)展,但同時(shí)也帶來了巨大的安全隱患,。
針對(duì)具體的隱患,,蘇培培指出,首先是工控系統(tǒng)已成為黑客攻擊和網(wǎng)絡(luò)戰(zhàn)的一個(gè)重要目標(biāo),,據(jù)卡巴斯基實(shí)驗(yàn)室統(tǒng)計(jì),,僅2017年的上半年就發(fā)現(xiàn)了18000種針對(duì)工控系統(tǒng)的惡意軟件;第二是核心技術(shù)產(chǎn)品自主可控程度地,,受制于人,,尤其是涉及到國(guó)家基礎(chǔ)設(shè)施的精密設(shè)計(jì),核心設(shè)備,,產(chǎn)品和技術(shù)依然受制于國(guó)外,;第三,工業(yè)終端控制從閉環(huán)走向開放,,面臨著新的安全互信問題,;第四,缺乏工業(yè)互聯(lián)網(wǎng)安全的高仿真環(huán)境,;第五,,工業(yè)大數(shù)據(jù)作為企業(yè)的核心資產(chǎn),面臨著嚴(yán)峻的安全風(fēng)險(xiǎn),。
“我們的云大物移等技術(shù)應(yīng)用一方面是促進(jìn)了技術(shù)的發(fā)展,,同時(shí)它也增加了工業(yè)處理流程的開放性和不確定性,使風(fēng)險(xiǎn)進(jìn)一步集中和放大,,工控系統(tǒng)如今正面臨著嚴(yán)峻的安全挑戰(zhàn),。”蘇培培舉例道,,包括震網(wǎng)病毒Stuxnet對(duì)伊朗核設(shè)施的打擊,,BlackEnergy對(duì)烏克蘭電力系統(tǒng)的攻擊,ClearEnergy對(duì)PLC的攻擊,,WannaCry給臺(tái)積電帶來的損失等等,。 “過去早期封閉的工業(yè)系統(tǒng)中的病毒是非常少的,但隨著時(shí)代的發(fā)展,,工業(yè)病毒已經(jīng)演變成一個(gè)網(wǎng)絡(luò)武器,,這是之前所始料未及的,會(huì)被黑客利用進(jìn)行情報(bào)采集,,滲透潛伏,,精確打擊等,,這些都會(huì)破壞我們的工業(yè)基礎(chǔ)設(shè)施?!?/p>
令蘇培培感到擔(dān)憂的還有,,目前我國(guó)高端工業(yè)設(shè)備控制系統(tǒng)普遍是采用的國(guó)外品牌,包括機(jī)床,、發(fā)電設(shè)備,、機(jī)器人等等。目前我國(guó)工業(yè)系統(tǒng)中有超過90%的PLC和超過65%的操作員站都采用了國(guó)外產(chǎn)品,。而這些產(chǎn)品往往因?yàn)樾枰獜S商的遠(yuǎn)程維護(hù),,必須支持遠(yuǎn)程訪問端口。這就給系統(tǒng)帶來很大漏洞后門風(fēng)險(xiǎn),,容易受到旁路控制,,拒絕服務(wù)DoS甚至信息泄露等風(fēng)險(xiǎn)。
據(jù)悉,,行業(yè)內(nèi)已發(fā)生了多項(xiàng)事故,。據(jù)報(bào)道,曾經(jīng)有一家軍工企業(yè)采購了一臺(tái)高端的數(shù)控機(jī)床,,在廣州工廠調(diào)試正常,,但是將設(shè)備拉到蘭州工廠后卻無法使用,究其原因,,原來是機(jī)床的信息系統(tǒng)自動(dòng)將位置信息傳給了供應(yīng)商,,因?yàn)楦鼡Q使用地址而被供應(yīng)商鎖定停機(jī),這種狀況表明這臺(tái)機(jī)器在使用過程存在巨大的安全風(fēng)險(xiǎn),。
新思路保障工控領(lǐng)域端云一體化的安全
目前工業(yè)客戶正在廣泛采用云端技術(shù),,從封閉走向開放的過程,以前的物理隔離將會(huì)完全暴露在互聯(lián)網(wǎng)這個(gè)大環(huán)境中,,而當(dāng)前最缺乏的就是端云協(xié)作的整體安全解決方案,,該方案需要支持異構(gòu),多樣化協(xié)議且功能迥異的工業(yè)終端平臺(tái),。
“安全的平臺(tái)方案是端云深度融合的基礎(chǔ)和先決條件,,我們需要新思路來應(yīng)對(duì)信息系統(tǒng)安全及公共安全的深度融合?!碧K培培指出,,“目前工業(yè)信息安全漏洞數(shù)量連年遞增,已經(jīng)類似于十幾年前計(jì)算機(jī)面臨的安全大環(huán)境,。且半數(shù)以上的公共安全漏洞屬于高危漏洞,,PC機(jī)中毒大不了重啟系統(tǒng)然而工業(yè)系統(tǒng)出現(xiàn)漏洞攻擊之后,會(huì)導(dǎo)致嚴(yán)重的停產(chǎn),,涉及國(guó)計(jì)民生安全,?!?/p>
同時(shí),目前的工控漏洞呈現(xiàn)多樣化碎片化的特點(diǎn),,并廣泛分布于各個(gè)重點(diǎn)領(lǐng)域,,很難通過統(tǒng)一的技術(shù)解決。而最后,,工業(yè)只是對(duì)實(shí)時(shí)性、功能性及可靠性要求較高,,更新頻率不高,,因此漏洞從發(fā)現(xiàn)到修復(fù)的整體進(jìn)程非常緩慢。 除此之外,,工業(yè)大數(shù)據(jù)已成為網(wǎng)絡(luò)攻擊的顯著目標(biāo),,業(yè)務(wù)數(shù)據(jù)的敏感性吸引了各類網(wǎng)絡(luò)攻擊,隱私泄露,、存儲(chǔ)風(fēng)險(xiǎn)以及APT攻擊都是大數(shù)據(jù)所面臨的風(fēng)險(xiǎn),。
為此,蘇培培建議搭建完整的工業(yè)安全實(shí)驗(yàn)室,,通過實(shí)驗(yàn)檢測(cè)評(píng)估,,攻防演練,公共態(tài)勢(shì)感知平臺(tái)以及安全監(jiān)測(cè)溯源系統(tǒng)等,,解決公共信息安全漏洞檢測(cè),、驗(yàn)證與修復(fù)等問題,逐步清除工業(yè)互聯(lián)網(wǎng)的安全隱患,。
一種多層次的公共安全保障體系
工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家實(shí)驗(yàn)室正在推出一種多層次的公共安全保障體系,,貫穿了整個(gè)工業(yè)安全運(yùn)行服務(wù)的全生命周期,覆蓋了設(shè)備安全,,控制安全,,網(wǎng)絡(luò)安全,數(shù)據(jù)安全,,應(yīng)用安全,,管理安全等多方面。
首先在設(shè)備層面,,通過國(guó)產(chǎn)飛騰CPU,,麒麟OS,自主存儲(chǔ)芯片,,安全芯片及工控仿真環(huán)境,,確保了底層的自主可控;其次,,通過工控感知態(tài)勢(shì)平臺(tái)圍繞著漏洞管理,、審計(jì)溯源,、云端可信認(rèn)證、大數(shù)據(jù)安全保護(hù)等,,實(shí)現(xiàn)了數(shù)據(jù),、網(wǎng)絡(luò)、控制等容和安全,。第三則是驗(yàn)證平臺(tái),,建設(shè)了工控網(wǎng)絡(luò)靶場(chǎng)實(shí)現(xiàn)大規(guī)模工控場(chǎng)景技術(shù)的靈活構(gòu)建,場(chǎng)景化的工業(yè)控制行為仿真模擬以及實(shí)現(xiàn)工控系統(tǒng)智能,、自動(dòng)攻擊測(cè)試技術(shù),。第四是實(shí)驗(yàn)室會(huì)通過安全咨詢、風(fēng)險(xiǎn)評(píng)估,、滲透測(cè)試,、培訓(xùn)等方式,培養(yǎng)企業(yè)內(nèi)部的安全運(yùn)維意識(shí),。
其中靶場(chǎng)是該實(shí)驗(yàn)室的重點(diǎn)項(xiàng)目,,其本質(zhì)是一個(gè)攻防平臺(tái),通過互聯(lián)技術(shù),,基于真實(shí)的功能資源,,搭建了兩級(jí)公共安全服務(wù)平臺(tái),一級(jí)平臺(tái)是覆蓋了通用的工業(yè)控制系統(tǒng),,通過資源池及通用安全的防護(hù)設(shè)備來實(shí)現(xiàn),。第二級(jí)平臺(tái)則涵蓋了重點(diǎn)行業(yè)的專用設(shè)備和專用軟件。
談及建設(shè)靶場(chǎng)的原因,,蘇培培說道,,首先無論是電網(wǎng)、水利工程,、軌交,、核工業(yè)、化工等場(chǎng)景,,進(jìn)行檢測(cè),、掃描及攻擊測(cè)試時(shí),不可能基于實(shí)際的產(chǎn)線進(jìn)行測(cè)試,,真正的實(shí)景測(cè)試只能在設(shè)備剛剛安裝之后或者是換修期進(jìn)行測(cè)試,,這就給測(cè)試帶來很多不便。而隨著互聯(lián)網(wǎng)的快速發(fā)展,,攻擊手段不斷演進(jìn),,必須要進(jìn)行頻繁的攻防測(cè)試演練,以驗(yàn)證防護(hù)手段,,這就需要靶場(chǎng)的建設(shè),。
據(jù)悉,,目前實(shí)驗(yàn)室已經(jīng)在軌交、電網(wǎng),、智能制造系統(tǒng)等領(lǐng)域構(gòu)建了測(cè)試床和靶場(chǎng),,目的是發(fā)現(xiàn)信息風(fēng)險(xiǎn)漏洞并解決,從而為維護(hù)設(shè)備的安全運(yùn)行提供技術(shù)保障,。
“目前我們的業(yè)務(wù)合作單位非常廣泛,,包括各大能源集團(tuán),電網(wǎng)等,,最終是為了解決信息安全和功能安全在國(guó)計(jì)民生相關(guān)領(lǐng)域的深度融合問題,。”蘇培培總結(jié)道,。