數(shù)字時代需筑牢工控系統(tǒng)“安全堤”


中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)   時間:2021-05-30





  近日,一個自稱黑暗面(DarkSide)的團體因攻擊美國科洛尼爾管道運輸公司(Colonial Pipeline),導(dǎo)致美國能源基礎(chǔ)設(shè)施遭遇了有史以來最具破壞性的網(wǎng)絡(luò)攻擊。美東多州宣布進入緊急狀態(tài),在國內(nèi)掀起了囤油熱潮。最終,Colonial Pipeline公司不得不向黑客支付了440萬美元贖金。


  此后不久,日本科技巨頭東芝的一家子公司公開承認(rèn)受到“DarkSide”勒索軟件襲擊,超過740GB的數(shù)據(jù)被竊取,包括護照掃描和其他個人信息。


  另據(jù)最新消息,美國最大的保險公司之一(CNA Financial Corp.)也因遭遇勒索軟件攻擊,被迫支付了4000萬美元贖金,以重新獲得對其網(wǎng)絡(luò)的控制權(quán)。該公司已確認(rèn)這起攻擊的實施者是一個名為Phoenix的組織。


  自2010年伊朗“震網(wǎng)”事件爆發(fā)以來,世界范圍內(nèi)針對工業(yè)信息系統(tǒng)的網(wǎng)絡(luò)攻擊事件愈演愈烈。關(guān)系到國家關(guān)鍵基礎(chǔ)設(shè)施建設(shè)、國防安全和經(jīng)濟安全的工控系統(tǒng)已成為網(wǎng)絡(luò)攻擊重點目標(biāo)。面對數(shù)字時代新形勢,應(yīng)該如何筑牢工控系統(tǒng)的安全堤壩?在近日召開的2021第四屆工業(yè)安全大會上,來自各行各業(yè)的專家對此進行了深入探討。


  可信計算提高工控安全“免疫力”


  一直以來,國家工控系統(tǒng)網(wǎng)絡(luò)安全都是一場沒有硝煙的戰(zhàn)爭?!翱紤]到工控系統(tǒng)的脆弱性和工業(yè)應(yīng)用場景的特殊性,傳統(tǒng)網(wǎng)絡(luò)安全防護手段已經(jīng)難以滿足工業(yè)控制系統(tǒng)安全需求?!睂幉ê屠麜r信息安全研究院有限公司方案總監(jiān)穆雷霆指出。


  中國工程院院士沈昌祥介紹稱,由于人們對IT的認(rèn)知邏輯的局限性,不能窮盡所有組合,只能局限于完成計算任務(wù)去設(shè)計IT系統(tǒng),必然存在邏輯不全的缺陷,從而難以應(yīng)對人為利用缺陷進行的攻擊。因此,為了安全必須從邏輯正確驗證、計算體系結(jié)構(gòu)和計算模式等方面進行科學(xué)計算創(chuàng)新,以解決邏輯缺陷被攻擊者所利用的問題,形成攻防矛盾的統(tǒng)一體。確保為完成計算任務(wù)的邏輯組合不被篡改和破壞,實現(xiàn)正確計算,這就是主動免疫防御。可信計算為構(gòu)建主動免疫防御架構(gòu)提供了技術(shù)支撐。


  可信計算是指計算運算的同時進行安全防護,全程可測可控,不被干擾,是一種運算和防護并存的主動免疫的新計算模式,以密碼為基因,實施身份識別、狀態(tài)度量、保密存儲等功能。它可以及時識別“自己”和“非己”成分,從而破壞與排斥進入機體的有害物質(zhì),相當(dāng)于為計算機信息系統(tǒng)培育了免疫能力。


  穆雷霆稱:“工業(yè)網(wǎng)絡(luò)安全應(yīng)基于可信計算等主動防御技術(shù),通過控制系統(tǒng)內(nèi)嵌可信計算防護體系,可實現(xiàn)主動識別、主動度量和主動保護功能,增強自身防護能力?!?/p>


  “網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大主權(quán)領(lǐng)域空間。沒有網(wǎng)絡(luò)安全就沒有國家安全,安全是發(fā)展的前提。”沈昌祥指出,“網(wǎng)絡(luò)空間安全是計算科學(xué)問題,是體系結(jié)構(gòu)問題,也是計算模式問題。經(jīng)過長期攻關(guān)應(yīng)用,我國形成了自主創(chuàng)新安全可信體系,完備的可信計算3.0產(chǎn)品鏈,將形成巨大的新型產(chǎn)業(yè)空間?!?/p>


  風(fēng)險評估是安全狀態(tài)的試金石


  根據(jù)工控典型風(fēng)險評估案例分析,工控系統(tǒng)目前面臨十大主要安全風(fēng)險,涉及網(wǎng)絡(luò)架構(gòu)、工控協(xié)議、安全基線、安全漏洞、威脅感知、人員機構(gòu)、安全管理、接入管理、物理環(huán)境、運維記錄等多個方面。工控系統(tǒng)安全不僅需要核心技術(shù)支撐,還需進一步加強安全防護能力建設(shè),風(fēng)險評估首當(dāng)其沖。


  國家信息技術(shù)安全研究中心牽頭、參與了核電網(wǎng)絡(luò)安全大檢查、某大型樞紐網(wǎng)絡(luò)安全驗收、工業(yè)互聯(lián)網(wǎng)分類分級試點、車聯(lián)網(wǎng)網(wǎng)絡(luò)安全檢測評估、數(shù)控機床網(wǎng)絡(luò)安全檢查等幾十項專項任務(wù)。通過對核電領(lǐng)域DCS系統(tǒng)、油氣管道SCADA系統(tǒng)、智能制造DNC系統(tǒng)的對比分析發(fā)現(xiàn),各類系統(tǒng)基本都會存在服務(wù)器機房或控制器節(jié)點位置等物理環(huán)節(jié)風(fēng)險。部分安全防護意識較差的機構(gòu),未將工控系統(tǒng)納入企業(yè)網(wǎng)絡(luò)安全管理體系或網(wǎng)絡(luò)安全防護規(guī)劃建設(shè)中,且未設(shè)專門人員負(fù)責(zé)工控網(wǎng)絡(luò)安全。此外,數(shù)據(jù)安全與技術(shù)防護方面也存在欠缺。


  為此,國家信息技術(shù)安全研究中心總工程師王宏指出,工業(yè)控制系統(tǒng)涉及領(lǐng)域廣、業(yè)務(wù)場景豐富,系統(tǒng)類型差異巨大,因此,風(fēng)險評估工作需要在網(wǎng)絡(luò)安全法律法規(guī)和標(biāo)準(zhǔn)要求下,根據(jù)工業(yè)控制系統(tǒng)實際特點,針對性開展評估工作。同時,要將目標(biāo)系統(tǒng)模擬仿真環(huán)境測試與實際系統(tǒng)評估相結(jié)合,將未知漏洞挖掘與已知漏洞對標(biāo)兩種檢測途徑相結(jié)合,加強評測環(huán)境選擇合理性。另外,要加強技術(shù)手段選擇的有效性,基于多種手段開展綜合評估,保障評估的有效性與完整性。


  “網(wǎng)絡(luò)安全本質(zhì)上是動態(tài)的平衡,沒有百分百的安全,也沒有一步到位的解決方案,它永遠(yuǎn)在路上。風(fēng)險評估是安全狀態(tài)的試金石,只有不斷發(fā)現(xiàn)目標(biāo)系統(tǒng)的安全風(fēng)險,才能促進系統(tǒng)網(wǎng)絡(luò)安全防護良性循環(huán)?!蓖鹾暾劦?。


  貫標(biāo)是工控安全政策標(biāo)準(zhǔn)落地、落實的基礎(chǔ),旨在為工控安全防護領(lǐng)域提供技術(shù)、標(biāo)準(zhǔn)、人才等方面支撐。中國電子技術(shù)標(biāo)準(zhǔn)化研究院高級工程師李琳指出,要進一步提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護水平,服務(wù)制造業(yè)高質(zhì)量發(fā)展,應(yīng)該在學(xué)習(xí)借鑒兩化融合貫標(biāo)、數(shù)據(jù)管理能力成熟度評估等先進經(jīng)驗基礎(chǔ)上,以貫標(biāo)為抓手,推動工業(yè)企業(yè)工業(yè)信息安全防護工作的開展。


  工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全亟待加強


  進入數(shù)字時代,工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)日益成為提升制造業(yè)生產(chǎn)力、競爭力、創(chuàng)新力的關(guān)健要素。然而,在互聯(lián)開放的環(huán)境下,網(wǎng)絡(luò)攻擊路徑增多、難度降低,這導(dǎo)致數(shù)據(jù)安全風(fēng)險進一步加劇。與此同時,新一代信息技術(shù)的廣泛應(yīng)用與滲透,帶來了包括深度偽造、數(shù)據(jù)污染等在內(nèi)的全新的數(shù)據(jù)安全風(fēng)險。從數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用的全生命周期各個環(huán)節(jié)來看,工業(yè)數(shù)據(jù)安全風(fēng)險無處不在。


  如何加強互聯(lián)網(wǎng)數(shù)據(jù)安全防護?國家工業(yè)信息安全發(fā)展研究中心標(biāo)準(zhǔn)質(zhì)量處處長陳雪鴻認(rèn)為,工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)進行分類分級防護刻不容緩。應(yīng)從工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)全生命周期各環(huán)節(jié),細(xì)化防護方位及內(nèi)容,從工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分類分級、通用安全、一級數(shù)據(jù)安全、二級數(shù)據(jù)安全、三級數(shù)據(jù)安全等方面的不同防護要求進行治理。


  “未來是高度數(shù)字化的數(shù)字孿生世界,網(wǎng)絡(luò)安全風(fēng)險遍布數(shù)字化所有場景?!?60政企安全集團助理總裁兼工業(yè)安全事業(yè)部總經(jīng)理李航談道,“傳統(tǒng)安全思路還停留在碎片化產(chǎn)品層面。我們應(yīng)以工業(yè)數(shù)據(jù)為核心、資產(chǎn)為基礎(chǔ),通過‘白+黑’的技術(shù)手段,打造工業(yè)安全‘三位一體’的縱深安全運營防護體系?!?/p>


  美國歷史學(xué)家克拉克教授曾經(jīng)說過:“人類歷史上只發(fā)生過一件事情,那就是工業(yè)革命?!爆F(xiàn)如今,中國已經(jīng)到了從要素密集型、規(guī)模型的重工業(yè),向智能化、信息化、服務(wù)化的高端制造、智能制造轉(zhuǎn)型的新階段,工業(yè)安全成為一個繞不過去的重要話題。數(shù)字時代新形勢下,應(yīng)該如何筑牢工業(yè)控制系統(tǒng)“安全堤”?長路雖漫漫,但未來仍可期。(記者 宋婧)


  轉(zhuǎn)自:中國電子報

  【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個人觀點,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056。

延伸閱讀

  • 工控安全挑戰(zhàn)升級 亟待技術(shù)突破

    工控安全挑戰(zhàn)升級 亟待技術(shù)突破

    2010年,震網(wǎng)病毒感染了全球超過45000個網(wǎng)絡(luò);2016年,三一重工近千臺工程機械設(shè)備遭非法解鎖破壞,直接經(jīng)濟損失超3000萬元;2018年,Wannacry變種侵入臺積電,預(yù)計造成經(jīng)濟損失17 4億元。
    2019-05-20
  • 工控安全:數(shù)字時代面臨新課題

    工控安全:數(shù)字時代面臨新課題

    近日,美國最大燃油管道運營商Colonial Pipeline因遭到網(wǎng)絡(luò)攻擊而喪失了絕大部分輸油管道的控制權(quán),被迫關(guān)閉了長達(dá)5500英里的燃油管道。隨后,美國東部17個州和首都所在的華盛頓特區(qū)宣布進入緊急狀態(tài)。該事件在全球范圍內(nèi)引發(fā)了廣泛關(guān)注。
    2021-05-18
?

微信公眾號

版權(quán)所有:中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)京ICP備11041399號-2京公網(wǎng)安備11010502035964