总结我国工控系统安全防护的有用经验并予以推广;(5)开展工控系统安全的宣传与学术交流,提高工控系统安全 意识。
Stuxnet病毒之类的威胁,发展到现在,已经远不止对工控系统、一般自动化系统构成威胁,而是对所有采用计算机、嵌入式芯片的系统构成了威胁,包括电网生产调度、油气生产运输、石油化工生产、核设施、航空航天、城市轨道交通、高速列车、水利枢纽、物流、城市上下水、卫生医疗等国家社会基础设施。我们在看到上述具体威胁时更应举一反三,关注我们面临的信息战、网络战多方面威胁。
(注:未能到会。内容摘自“2011中国信息安全技术大会”上的主题演讲。)
马增良
建立工控系统信息安全产品的认证评价体系。在实验室已经通过认证的工控系统在实际上线运行后不一定保证安全,这里面包括管理、操作、通信接口、集成等方方面面的协作。评估是必要的,但不足以保证上线后的安全。
杜京哲
从工业软件企业方面说,西门子公司提出部署纵深防御体系。纵深防御解决方案具体包括保证自动化工厂的物理安全,建立安全策略与流程,进行网络分区与边界保护,建立安全的单元间通信,系统加固与补丁管理,恶意软件的检测与防护,访问控制与账号管理,记录设备访问日志并进行必要的审计等。简而言之,就是确保只有绝对必要的人员才能在物理上接触到工控设备。
工控设备在网络上要与其他不必要的相连的系统断开,维护防火墙的完整性,坚持打上最新的软件安全补丁等。工控信息安全问题不仅仅是技术层面的问题,而是从意识培养开始涉及到管理、流程、架构、技术、产品等各方面的系统工程,要求工控系统的管理者、运营者和产品厂商的共同参与和协作。国内的一些信息安全企业也提出了一些措施,像工控系统安全平台。工控系统安全平台的核心思想是要对工控系统进行分层分域分等级,构建三层架构二层防护的安全体系架构。
欧阳劲松
1.工业自动化领域将安全概念分为三类:物理安全、信息安全和功能安全。功能安全是为了达到设备和工厂安全功能,受保护的和控制设备的安全相关部分必须正确执行其功能,而且当失效或故障发生时,设备或系统必须仍能保持安全条件或进入到安全状态(或避免因自动化系统功能失效导致的人身安全事故,及对财产、环境等造成影响的安全工程)。物理安全是减少由于电击、着火、辐射、机械危险、化学危险等因素造成的危害。功能安全是从系统自身失效引发的影响进行预防考虑,而信息安全是从外部攻击造成的影响进行预防考虑。功能安全和物理安全均可定性、定量分析,同时都有相关的国际标准和国家标准体系,而信息安全方面尚无可量化的指标。三类安全虽然考虑问题的出发点不同,但事实上他们对系统造成的影响结果是一致的,且这三类安全问题的防护是相辅相成的,因此在考虑工控系统的安全性时,应综合考虑,不应以偏代全。
2.工业控制系统与IT系统对信息安全的需求考虑存在明显差异,工控系统最先考虑的是系统可用性,第二位是完整性,第三是保密性,IT系统首先是保密性、完整性,最后才是可用性。
3.工控系统信息安全工作首要在于建立统一的标准体系。我们正在转化IEC 62443的几个标准,同时也在制定评估方法和验收规范两个国家标准。要以规范和标准为主体来规范工作,希望国家尽快地建立我们自己的评估体系和标准体系。
4.工控系统信息安全认证工作需要一个不断加深理解的过程,建议先从评估开展起来,一步步来,不可一蹴而就。信息安全和物理安全、功能安全最大的不同是不可示人,要自己认证,国家应该把这个认证严格抓在自己手上,并且规范它的体系,“实现自己的保险柜自己上锁”。
5.要本着为用户服务,为用户解决实际问题的立场出发,与用户相结合来做信息安全的评测和要求。
6.做信息安全的体系和标准,应该与培训和宣贯相结合,应该走到用户中去,提高用户信息安全的意识。
7.做好工控系统信息安全的相关工作,必须工业测控专家和信息安全专家相结合,共同推进。
刘权
1.关键信息基础设施安全状况堪忧,国家安全面临挑战
据统计,我国芯片、操作系统等软硬件产品,以及通用协议和标准90%以上依赖进口。当前针对关键信息基础设施的网络攻击持续增多,甚至出现了政府和恐怖分子支持的高级可持续性威胁(APT)。APT是针对特定组织的、复杂的、多方位的网络攻击,这类攻击目标性强,持续时间长,一旦成功则可能导致基础网络、重要信息系统和工业控制系统等瘫痪,将给我国国家安全等带来严峻挑战。
2.推动关键信息基础设施安全保障工作
一是启动信息安全核心技术产品的安全检查工作。加强国外进口技术和产品,以及新技术、新产品和新业务的漏洞分析工作,提升安全隐患的发现能力,促进漏洞信息共享。建立进口重大信息技术、产品及服务的安全检测与审核制度,对进口技术和产品的安全进行风险评估。逐步实现核心技术产品的国产化替代,真正实现“以我为主,自主可控”。二是加强关键信息基础设施安全防护工作。进一步完善等级保护制度和标准,继续做好等级保护定级工作,根据系统等级和面临风险有针对性加强管理和技术防护。加强风险评估工作,做好系统测评、安全检查等,及时发现风险隐患,完善安全措施。三是重点保障工业控制系统安全。全面落实《关于加强工业控制系统信息安全管理的通知》,切实加强对重点领域工业控制系统的信息安全管理工作,完善和加强工业控制系统安全检查和测评工作。
刘法旺
随着两化融合的不断深入,工控系统被广泛应用于战略基础设施、军工武器装备等,且越来越多采用通用协议、硬件和软件,并与公共网络进行互连。一旦工控系统受到攻击,将会直接导致重要基础设施瘫痪,甚至引发国家经济、社会剧烈动荡和生态环境严重破坏。此外,工控系统的核心技术受制于国外,高端市场拥有自主知识产权的产品和系统较少。因此,如何确保工控系统的安全可控,不仅仅是单个研究机构或企业要思考的问题,更需要国家层面进行战略布局,产业界群策群力。基于这个考虑,今天的研讨会可以说是意义重大。
在过去的几年中,中国软件评测中心针对工控系统的安全可靠性问题,建立了专门的研究团队,搭建模拟仿真实验环境,研制测评技术规范,研发专业测评工具,目前正在承建《离散型行业信息技术应用共性技术支持和公共服务平台》。借着今天这次机会,也想和各位专家探讨两个问题:
一是目前业界讨论比较多的是工控系统的Security,但也有研究人员侧重研究Reliability或Safety。在各位专家看来,这三个关键词之间是什么样的逻辑关系?另外,如何确保相关标准、规范或思路的落地,以真正保障工控系统安全可靠?
二是在目前的工控系统信息安全检查过程中,主管部门更多的是侧重管理层面。对于实际在线运行的系统,如何在不妨碍其正常运行的情况下,采取技术检查手段?也想请教一下各位专家,有没有什么好的建议或行之有效的最佳实践。
高昆仑
工控系统信息安全的三个基本属性包括完整、可用和保密。工控系统的信息安全能直接破坏功能安全。在考虑功能安全的同时,为了保证系统的功能在各种情况下万无一失的运作,会考虑很多风险因素,信息安全也考虑范围内。在传统IT领域提出的安全是信息安全,在工控领域提出的安全则是信息安全和功能安全,但是这二者的目标是一个,就是保证功能安全。我们做了很多年的传统信息安全,真正能做到什么程度心里没底,关键是产业链不行,要做到安全必须要在产业链的层面做到自主可控。信息安全测试是必要的,但有了测试也不能保证绝对安全,只能让风险降低。
王 彤
任何测评都不能保证系统以后的安全运行,软件测评和评估的目的就是发现缺陷,逐步丰富缺陷的数据库,为以后的设计人员避免这些缺陷提供相应的依据,使风险降到最低。为了保证工控系统的安全要迈出的第一步就是评估。
杨 帆
清华大学吴澄院士在几个场合都讲了工控系统的信息安全问题,认为它是值得关注的重要技术问题。吴澄院士提出了几个建议:加强工业控制系统漏洞及其挖掘技术的研究;进行工业控制系统安全应用行为分析与学习能力研究;建立必要的工控系统安全应急响应机制;加强国产工控软件的核心技术研究。
我认为,工控系统信息安全与传统的安全性研究有一些区别。过程安全(Safety)主要关注物理世界(Physical Space)本身的安全性,信息安全(Security)主要关注信息世界(Cyber Space)的安全问题,前者首要关注的是可用性,后者首要关注的是保密性。而工控系统信息安全则主要关注信息世界的攻击对物理世界所可能产生的影响,保密性对可用性的影响更为重要,因此是Cyber Physical System (CPS)领域需要研究的问题,这不仅需要搞信息安全的专家学者关注,更需要控制界人士的高度关注和广泛参与。目前最有代表性的一份建议文件是2011年6月NIST发布的《工业系统安全指南》(SP800-82),这里面提出了有关工控系统纵深防御体系架构的建议,但这个报告更多是站在网络安全等技术角度进行的,并未全面使用工控系统的控制特性,因而是远远不足的。
从学术研究的角度,除了提炼、解决现实问题以外,还要有一定的超前性和深入性,建议有两方面工作可以做:一是从攻击的角度建模,在这个基础上,对攻击的危害和后果进行评估和评价,建立攻击的检测机制;二是从控制系统设计的角度,来改进估计和设计算法,保证工控系统在攻击条件下也能维持正常功能,或者在攻击后能迅速恢复功能,最多只是造成控制性能的损失。
崔 琳
在化工领域不强调百分之百的安全,所谓的安全就是把风险控制在可以接受的范围。功能安全归为可靠性方面,对于信息安全,Safety和Reliability不属于信息安全主要的研究内容,可以用功能安全的方式来解决。
田雨聪
信息安全主要考虑的是安全性和保密性,应该从以下几个方面考虑:从操作系统上,尽量不用微软的Windows操作系统,采用Linux系统或者自己优化过的系统或做一些安全加密;从网络上,应做适当的隔离。信息安全要做到几个适度:适度的开放,适度的保密,有些协议尤其是底层协议要保密或做一些适当的加密措施。一个系统如果过分地强调信息安全,就会造成成本飞升和性能的下降。
魏钦志
1.工控行业的国产化程度问题
随着工业控制系统、网络、协议的不断发展和升级,不同厂商对于以太网技术也在加速推广,而国内80%以上的控制系统由国外品牌和厂商所占据,核心的技术和元件均掌握在他人手里,这给国内的工业网络安全形势,造成了极大的威胁和隐患。
2.软件和硬件的漏洞问题
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD),在2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍,涉及西门子、北京三维力控和北京亚控等国内外知名工业控制系统制造商的产品。相关企业虽然积极配合CNCERT处理了安全漏洞,但这些漏洞可能被黑客或恶意软件利用。这些漏洞都是高危的,工控软件要有一个安全编程的思想。
3.工控安全和IT安全的区别
首要区别就是协议。比如OPC,因为其基于DCOM技术,在进行数据通讯时,为了响应请求,操作系统就会为开放从1024到5000动态端口使用,所以IT部门在使用普通商用防火墙时根本没有任何意义。对于一般防火墙更无法进行剖析,而使OPC客户端可以轻易对OPC服务器数据项进行读写,一旦黑客对客户端电脑取得控制权,控制系统就面临很大风险。 黑客可以很轻松地获得系统所开放的端口,获取/伪装管理员身份,对系统进行恶意破坏,影响企业的正常生产运营。
其次,是访问机制的区别。
4.对工控信息安全发展的几点建议
一是采用白名单的机制。白名单主动防御技术是通过提前计划好的协议规则来限制网络数据的交换,在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法,从根源上节制未知恶意软件的运行和传播。
二是做边界隔离(网闸等)。在工业控制领域,网络物理隔离也开始得到应用和推广。通常采用“2+1”的三模块架构,内置双主机系统,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。网络物理隔离提供的应用专门针对控制网络的安全防护,因此它只提供控制网络常用通信功能如OPC、Modbus等,而不提供通用互联网功能,因此更适合于控制网络与办公网络,以及控制网络各独立子系统之间的隔离。
三是采取深度过滤的机制。对于大多数通讯控制设备,SCADA和工业协议,如MODBUS/ TCP,EtherNet/ IP和DNP3等被大量使用。不幸的是,这些协议在设计时,没有安全加密机制,通常也不会要求任何认证,便可以在远程对一个控制装置执行命令。这些协议应该只被允许在控制网络单向传输,不准许在办公网络穿透到控制网络。
能够完成以上功能的工业防火墙或者安全路由器,通常被部署在具有以太网接口的I/O设备和控制器上,从而避免因设备联网而造成的病毒攻击或广播风暴,还可以避免各子系统间的病毒攻击和干扰。
四是尽量避免非控制人员对设备本身或界面进行操作。目前的工业网络安全设备通常由简单的IT通用防火墙、桌面级反病毒软件、虚拟专用网、物理隔离网关等安全工具构成,产品功能单一,购置成本高昂,配置、管理、维护、升级极其复杂,不符合工控专业人员的操作习惯,综合使用成本很高,很多单位由于没有相应的技术人员或无力承担多种安全工具的购置和使用费用,从而对重要的业务应用裹足不前。
5.在企业中信息安全问题不知道谁负责,要明确权责。
薛百华
信息安全未来更重要的一个问题不是系统而是芯片。采用国外设备可靠性不行,我们的系统安全是治标不治本。
李洪波
1.不同行业不同专业对信息安全的理解可能不一样。
2.系统的国产化问题,在石化系统里占主流的工控系统都是国外的。
明 旭
与工业领域相比,传统IT信息领域最大的不同在于其影响范围主要在虚拟的数字空间,需要借助人的作用才会对真实世界造成影响;而工业领域是真实世界的重要组成部分,是现代人类文明的基础,工业领域的信息安全问题会直接对工业生产造成损失,对社会秩序造成重大的影响甚至威胁到人类的安全。我们认为从网络安全的角度出发,可以用新问题、老方法的方式来看待工业控制网络安全问题。
1.工业控制网络安全和传统网络安全产生的原因
无论是传统信息安全或者是工业控制网络安全,他们的发生有其共同的特点:(1)都是信息化、互通化,都发生在网络世界里;(2)系统平台的脆弱性和通用性,都有比较多的漏洞和风险。例如使用通用的商用PC机、操作系统(如Windows等);(3)人员操作的不规范化、随意性和恶意行为。例如随意越权访问、随意使用外设等行为;(4)恶意代码攻击、病毒、木马传播和控制。但对于工业控制网络而言,也有其特殊的地方:由于OPC控制协议依赖于OLE/COM/DCOM技术,目前还不为大多的网络安全产品所能识别,无法有针对性的对其进行防御,这也工业控制网络领域成为网络安全重灾区的原因。
2.工业控制网络安全和传统信息安全防御手段的一致性
信息系统安全等级保护应依据信息系统安全保护等级情况保证他们具有相应等级的基本安全保护的能力,一般是从基本技术和基本管理两个方面进行。具体采用的手段有区域隔离、访问控制、审计报警追踪、身份认证、漏洞扫描、风险评估和安全行为规范等方法,在不同的区域内实行等级保护,来分层次、逐级别进行防御,从而确保整个网络系统的安全性。
对于工业控制网络安全而言,从方法论的角度,我们认为参考风险评估和等级保护的规范和技术手段,依然可以保证工业控制网络系统的安全。当然由于工业控制网络有一些区别于传统IT信息网络的特殊性,一些规范的细节和具体技术手段的使用要求会有不同。
3.工业控制网络对网络安全产品有其自身的特殊要求
(1)高实时性;(2)复杂的电磁环境;(3)特定的供电环境;(4)恶劣的温度、湿度环境;(5)专业的通讯协议;(6)高可靠性和MTBF;(7)使用人员不同。通过了解上述网络安全的相关原理、特性以及参考国际、国标行业相关的标准和ANSI/ISA-99、IEC62443标准,我们可以得出如下结论:在传统网络安全产品的基础上还需要改造硬件平台,使其满足工业级网络运行环境要求;提升数据处理的实时性,使其满足工业控制网络信息的高实时性的要求;增加专用协议识别,使其满足访问控制功能识别工业控制协议的要求,完善和改进易懂、易用的人机交互管理系统,才能达到工业控制网络安全产品的要求。
(注:未能到会,但发来书面发言)