工控安全存隐患 呼唤国家尽早立法
- 2013-04-17 15:18:121150
首先,传统工控系统在设计之初,计算资源和存储资源都非常有限,首要考虑的是实时性和功能性,在安全性方面往往缺乏完整的设计。
其次,随着信息技术的快速发展,工控系统变得越来越开放,特别是近年来国家推进工业化和信息化的深度融合,也是信息技术与控制技术融合的一个过程。工控系统与其他信息化系统结合越来越紧密,大量采用通用的操作系统平台、数据库系统、通讯协议和标准等信息技术,信息技术本身就存在安全隐患,它的引入势必放大控制系统的安全问题。
工控系统本身的重要性和应用环境的复杂性决定了它的安全问题并不仅仅是信息的泄露和安全,更重要的是它的安全性一旦遭到破坏可能引起与之相连的生产系统、生活系统也遭到破坏,造成重大安全事故、人员财产损失以及生态环境破坏。工控安全重要的就是系统的本质安全问题。
传统信息安全关注的是虚拟网络的安全,工控系统安全则与现实世界紧密联系,整个国民经济的各个领域都离不开工控系统,尤其是在电力(包括核电)、石油石化以及轨道交通等关键基础设施中的工控系统。它不仅是企业层面的问题,还是涉及国家基础经济和战略安全的重要问题,这些领域都是我们首要关注的领域。
事实上,中国工控产品的市场格局正是我们担忧的问题。中国关键基础设施的控制系统现在有相当大的比例是国外公司供应的,比如西门子、施耐德和西屋电气等。关键系统由国外企业的产品运行就存在一些不可控的风险,如果采用的系统和数据库内核是别人的,别人只需要简单的逻辑激发就可以使你的系统瘫痪。
目前国内的工控产品,特别是工控系统方面实力还很弱,确实无法完全替代国外产品。像城铁系统的信号控制部分,目前*批准的9家有竞标资格的企业所采用的核心技术都依赖于国外。
多年来我们一直在工业控制领域进行相关技术和产品的研究,工控安全问题我们很早就开始关注。在具体措施方面,首先,应该先从立法入手,改变安全问题受制于人的现状。美国在这方面的做法值得参考,颁布了国土安全总统令、联邦信息安全管理法、国家基础设施保护计划等相关法规战略以及配套的标准和指南,要求产品生产企业充分披露相关信息。而俄罗斯则推行了审查制,国外的产品要进入市场必须经过专门的测试、考评、认证和白盒审查。
在软硬件系统主要依赖进口的现况下,对于规范国外产品进入中国市场,国家应该推行准入制。所谓准入制,就是厂商必须备案,并声明产品没有安全问题。一旦发现问题得接受审查,有追溯机制。在产品使用的过程中,我们还可以要求对国外产品进行白盒检测。以前的黑盒测试,就是不管产品的具体设计,只要功能达到输入输出标准就行了。但是,现在我们要求厂商进一步披露信息,知道问题出在哪里,并且对出问题的环节问责、改进。当然,这需要进一步研究和设计出工控安全的基本准则,能提出明确的技术检测指标和方法,才有资格和别人进行博弈。
其次,就是需要各部委联合,集整个国家之力来推动这件事。总体而言,国内相关研究工作相对滞后,各方面的建设刚刚起步。与工控安全相关的企业目前有两类,一类是传统信息安全技术和产品提供商。他们普遍认为:工控系统安全是传统IT安全的延伸,希望通过传统信息安全防护技术应用于工控系统,来实现对工控系统的全面监控。但过度监控的理念,在资源有限的条件下,与工控系统要求的实时性和功能性是有冲突的,并且在复杂的应用环境下,传统信息安全手段也无法解决工控系统的本质安全问题。
另一类是工控产品提供商,出于成本的考虑和技术的限制,在提高自身系统安全性和相关防护产品方面,厂商普遍缺乏主动性,很少对自身产品的安全漏洞进行主动检测和公布。工控安全并不是单一学科、单一技术就能解决的问题,必须将信息安全技术、工业控制技术、功能安全技术等进行融合才能取得研究的突破。这就要求不同政府主管部门打破壁垒,开展深入合作,充分发挥大政府的优势,从顶层设计出发,带动相关行业、企业,进行思路上的深刻变革和高度的资源整合,才有可能实现工控安全研究的突破。
具体而言,可以组织相关技术和行业专家共同组成专家组,重点针对电力、石化、轨道交通等关键领域开展试点工作,开展行业工控系统安全问题的深入调研,进行漏洞分析和风险评估,制定行业安全标准,搭建测试、测评平台。在试点经验的基础上,进行推广应用,逐步形成我国工控信息安全防护的*机制。
目前,我们使用的操作系统,大的安全问题就是超级用户的问题。超级用户是操作系统体系架构设计之初,按照人类的思维模式制定的,具有当时的历史局限性。现在,具有无限权力的超级用户往往被病毒和入侵行为所利用,一旦被控制,就可以向控制对象发出破坏性指令,并向系统发送虚假数据信息,欺骗操作人员,造成事故和损失。
2010年的“震网”事件,就是很典型的例子。有的工控系统采用双工热备的方式进行安全防护,就是两套系统同时工作,一旦一套系统出现故障,就切换到另一套系统继续工作。但对于恶意入侵行为,由于两套系统的原理是一样的,一套系统被攻破,另一套也就不具有安全性。
基于多年来在工控领域的技术积累和应用实践,我们正在开展安全的实时数据库、实时操作系统,以及工控系统防危机制的研究。和一般信息系统相比,工控系统有两个特点:一是工业控制系统的运行状态是有限的,二是在每个状态下允许执行的指令也是有限的。这个和信息系统不一样,信息系统有很多指令可以处于中间状态,而工控系统由于它的应用特性导致他的状态一定是可以穷举的,并且可以用规则表达出来。
基于这个思路,我们根据不同工控系统的功能需求,提炼出设计原则,并进一步生成规则库。将规则库装入一套防危系统中,并保持与控制系统的联通,如果工控系统正常运行,防危系统则不进行干预。一旦发现控制系统状态异常,则进行相应的处理。从工控安全的基本要求来讲,这套防危系统不一定能满足系统的要求,但由于是完全独立于工控系统运行的,至少可以保证当系统运行异常的时候发出警示,避免系统在异常状态下导致的崩溃。目前,这套防危系统已经在一个地方电力系统中运用了。
实际的工控系统往往是一个复杂的网络,各设备之间存在着相互依赖关系,对一个设备的操作势必会对其他设备造成影响,针对独立设备的防危还不能完全达到整体防危的要求。目前我们正在深入研究具有主动、全局、实时等特性的工控系统防危机制。