)随着时代的发展,国内外的工业控制系统在时有安全威胁攻击发生,不断受到刺激的工业控制领域因此逐步发生重大的变革。德国和美国相继提出了“工业4.0”“工业互联网”概念,并伴随着一系列的保障安全和发展的措施出台,极力对抗工控系统不断被入侵现实,维护工业系统的安全。
自 2005 年开始,美国和欧盟就高度重视工业控制网络安全技术的发展,大力推动相关前沿技术研究,相继发布了保护国家关键基础设施的国家战略和政策法规,并牵头建立了多个国家级工业控制网络安全实验室,构建了全维度的工控网络安全国家体系。
美国和欧盟均已发布了关于网络安全和保护关键基础设施的国家战略。美国于 2006 年专门设立了“国家基础设施保护计划”,并在 2010 年设立了控制系统安全计划(CSSP),将保护美国国家基础设施的控制系统上升为国家战略。欧盟继美国之后于 2013 年发布了“欧洲关键基础设施保护项目(EPCIP)”,协调欧盟各个国家保护其关键基础设施,应对日益增加的针对关键基础设施的网络攻击。
美国国防部、国土安全部、能源部、国家标准局、审计署和财政部协调各自职能,为该战略提供相应的资源协助。欧洲则是由欧洲委员会、欧洲高级议会、欧洲对外行动处、欧洲防务局、欧洲网络犯罪中心和欧洲标准机构,协调欧盟各个机构的相关职能,部署各个国家的关键设施保护计划。
同时,美国国土安全部成立了工业控制系统应急响应组(ICS-CERT),作为CSSP 的实施部门。欧盟也成立了类似的欧洲网络应急响应组(CERT-EU),同时计划成立针对工业控制网络安全的应急响应组(ICS-CSIRT)。
作为工业控制网络重要的组成部分,工业控制网络安全深刻地影响着工业控制网络及相关产业的发展,具有极强的产业关联度和产业渗透能力,因此工业控制网络安全产业得到了各国极大的关注。近几年,走进公众视线的工业控制网络安全问题越来越多,各界对工业控制网络安全问题关注度大幅上升,针对工业控制网络安全的研究呈现爆发式增长。
我国也于 2015 年 5 月 8 日提出“中国制造 2025”战略,在两化深度融合的基础上继续进行产业结构调整和升级转型。随着互联网 +、中国制造2025 等国家战略方针的出台,随着“两化融合”政策的深入推进,国内工业控制网络的网络化、智能化水平快速提高,同时工业控制网络的信息安全持续 2014 年的热度,继续被政府组织、科研机构、安全厂商、自动化厂商密切关注。虽然国内工控系统依然比较脆弱,整体安全形势面临严峻挑战,但我们也能看到从政府、企业、厂商各方都在为积极推进国内工控安全的发展。
2012 年 6 月 28 日国务院《关于大力推进信息化发展和切实保障信息安全的若干意见(国发〔2012〕23 号)》明确要求:保障工业控制系统安全。
加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统,定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。
对重点领域使用的关键产品开展安全测评,实行安全风险和漏洞通报制度。工业和信息化部 2011 年 9 月发布《关于加强工业控制系统信息安全管理的通知》([2011]451 号),通知明确了工业控制系统信息安全管理的组织领导、技术保障、规章制度等方面的要求。并在工业控制系统的连接、组网、配置、设备选择与升级、数据、应急管理等六个方面提出了明确的具体要求。
文中明确指出,全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准,明确设备安全技术要求。
电力行业已陆续发布《电力二次系统安全防护规定》、《电力二次系统安全防护总体要求》等一系列文件。 交通铁路系统也发布了 TB10117 - 98《铁路电力牵引供电远动系统技术规范》,TB10064 - 2002《电力系统综合设计》和《铁路供电水电调度规则》、《关于强化铁路牵引供电和电力远动系统若干要求》等文件。
2015 年 6 月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》,并对关键信息基础设施安全保护办法的制定、负责安全保护工作的部门、运营者的安全保护义务、有关部门的监督和支持等作了规定。(草案第二十五条至第二十九条、第三十二条、第三十三条)。
同时,我国工控安全企业也是积极担负起社会责任,参与国家行业标准的制定,并对安全事件进行跟进分析,为实际解决安全问题不断积累经验和实战能力,成为保卫国家工业控制系统安全的主力军,面对安全威胁,与国家共进退。
在国家层面,我国可以参照美国的成功经验,利用国家力量促进工业控制系统安全的保障工作:
1、激发业主企业内在驱动力
美国要求重点行业企业内部设立 CISO(首席信息安全官)。CISO的资质由联邦政府审核、颁发,由企业任命,对企业的工控网络的安全负责,其职责就是与政府和科研机构配合,推广风险评估、漏洞挖掘和保护设备在企业的最终落实,最大限度地保证企业不会受到黑客的恶意攻击。
2、大力扶持私营企业
美国对从事工控安全领域的第三方私营企业给予大力度扶持,不仅从税收等方面给予优惠,而且每年还有大量的研究经费可以申请,同时当企业的产品推向市场时,政府往往会成为第一个买家。一些特别有实力的企业,政府甚至会对其进行“收编”,FireEye 公司就是一个典型例子。
3、大力培养渗透检测团队
这类公司的日常工作就是渗透检测目标行业,寻找入侵系统的办法。他们的目标包括浏览器、电邮客户端、即时通讯客户端、Flash、Java、工业控制网络,以及任何可以被攻击者作为突破口的系统。这类公司往往具有一定的政府背景,在发现漏洞后第一时间配合政府和其他安全企业研究出对策。
4、大力培养专业人才
美国政府历来重视信息安全人才的培养,为培养信息安全人才出台了各类信息安全教育项目。其中比较有代表性的教育项目包括:联邦计算机服务(FSC)项目,它是综合性的项目,很多活动都遵循信息安全培训概念性框架;服务奖学金(SFS)项目:政府资助研究生和本科生的信息安全学习,待其毕业后服务于联邦政府;联邦范围内的信息安全意识培养项目等。
同时,我国还要充分利用好国际话语权,参与和推进工业控制系统安全的不断完善,保护好我国各领域的发展权。
另外,网络的无国界性,导致网络犯罪攻击来源的国际性和不确定性,因此,我国还要推动建立国际协调机制,共同面对工业控制系统安全,合力打击违法犯罪,这样面对安全问题的威胁,解决起来相对会容易一些。虽然,工控系统的安全保障和其他领域的安全一样处于扑朔迷离的现实之下,还不能确保安全,但我们同样面对大量问题需要去解决的现实。积极参与,就能找到解决问题的安全之道。
我来说两句排行榜