天气预报:
当前位置: 首页 > 参政议政
关于工业控制安全和网络安全产业的建议
来源:作者:  发布时间:2017年11月21
    工业控制系统的安全漏洞暴露了整个控制系统安全的脆弱性。由于网络通信协议、操作系统、应用软件、安全策略甚至硬件上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问和操控控制网络系统,形成了巨大的安全隐患。控制网络系统的安全性同样符合“木桶原则”,其整体安全性不在于其最强处,而取决于系统最薄弱之处,即安全漏洞所决定。只要这个漏洞被发现,系统就有可能成为网络攻击的牺牲品。安全漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁。随着越来越多的控制网络系统通过信息网络连接到互联上,这种威胁就越来越大。目前互联网上已有几万个黑客站点,黑客技术不断创新,基本的攻击手法已达上千种。这些攻击技术一旦被不法之徒掌握,将产生不良的后果。

对于工业控制网络系统,由于安全漏洞可能带来的直接安全隐患有以下几种。

一、工业控制安全意识淡薄。有不少企业经营管理者一味强调工业控制系统的可用性和稳定性,从不考虑工控系统的安全性问题。一方面,他们认为安全性不是工业控制系统需要考虑的,因为工业控制系统不与互联网连接,不会遇到入侵破坏的可能;另一方面,他们担心工业控制系统安全建设带来的资金投入和对稳定性、可用性潜在的影响。

二、对工控安全理解存在偏差。很多运维管理人员认为工业控制系统与互联网完全隔离的,因此很少会遭到来自互联网的安全威胁和入侵,但是实际情况是一方面大部分工控虽然没有直接与互联网相连,但是因为各种生产业务需求,工业控制系统与办公网是连通的,而办公网是与互联网连通的,入侵者会先通过互联网入侵办公网,再以办公网为跳板入侵工控系统;另一方面,在国家推动制造业与互联网融合发展以及全面互联网+的大背景下,很多业务系统包括工控系统会以各种形式越来越多的对接互联网。工控系统运维管理人员认为通过防火墙、网闸等隔离措施就可以完全解决工控安全的问题,对工控安全的防护缺乏体系化的认知。

三、安全策略和管理流程漏洞。很多工业控制系统缺乏完整有效的安全策略与管理流程。例如工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。

四、技术层面存在较多漏洞和隐患。1、病毒与恶意代码。全球范围内,每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒,并且还在以每天数十余种的速度增长。除了传统意义上的具有自我复制能力但必须寄生在其它实用程序中的病毒外,各种新型的恶意代码也层出不穷,如陷阱门、逻辑炸弹、特洛伊木马、蠕虫、Zombie等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕虫,从广义定义来说也是一种病毒,但和传统病毒相比最大不同在于自我复制过程。传统病毒的自我复制过程需要人工干预,无论运行感染病毒的实用程序,或者是打开包含宏病毒的邮件等,没有人工干预病毒无法自我完成复制、传播。但蠕虫却可以自我独立完成。2SCADA系统软件的漏洞。国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD),自2000年以来,CNVD收录了1000余个对我国影响广泛的工业控制系统软件安全漏洞,涉及西门子、北京三维力控和北京亚控等国内外知名工业控制系统制造商的产品。3、操作系统安全漏洞。PC+Windows的技术架构现已成为控制系统上位机/操作站的主流。而在控制网络中,上位机/操作站是实现与MES通信的主要网络结点,因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个短板。4、网络通信协议安全漏洞。TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络,这一网络是互相信任的,因此它原本只考虑互通互联和资源共享的问题,并未考虑也无法兼容解决来自网络中和网际间的大量安全问题。当其推广到社会的应用环境后,安全问题发生了。所以说,TCP/IP在先天上就存在着致命的安全漏洞。

五、国外品牌占据主流,自主可控性较差。工控供应商大部分是国外品牌,自主可控性较差,核心代码无法查验,在出现安全漏洞等情况时,更新升级服务不及时。


                                CNVD工控系统行业漏洞统计数据

六、工控安全专业人员严重不足。工控安全市场刚刚起步,导致一方面绝大部分工业企业严重缺乏专业工控安全技术人员,另一方面省内专业安全服务公司因之前很少涉足工控安全领域,对工控系统应用了解有限,同样缺乏工控安全专业人才。

七、工控安全资金投入有限。工业企业在建设工控系统时投入较大,但是在工控安全建设服务这块缺少资金预算投入。

    相关建议

一、针对工业控制系统的安全问题,通过多种方式组织宣传培训工作;

二、培养组建工控安全专家团队,制定考核指标,实地走访工业企业,指导监督工控安全标准落地执行情况;

三、针对工控安全人才培养出台政策,加大工控安全人才培养输出力度;

四、加大工控安全投入资金预算,做好工控安全资金保障。(机关支部  王超)

分享到: 0
  
中国农工民主党合肥市委员会 主办 版权所有
技术支持:北京拓尔思信息技术股份有限公司
ICP备案编号:皖ICP备08001543号-2