工控信息安全牽涉的幾大問(wèn)題

發(fā)布時(shí)間：2024-03-11

其實(shí)不管是工控企業(yè)還是傳統(tǒng)企業(yè)，隨著信息化的深入，企業(yè)或多或少會(huì)遇到信息安全的問(wèn)題，而隨著數(shù)據(jù)價(jià)值的不斷的提高，這種影響對(duì)于企業(yè)來(lái)說(shuō)也會(huì)越來(lái)越明顯。所以保護(hù)企業(yè)的核心數(shù)據(jù)安全是未來(lái)所有企業(yè)的大方向，而面對(duì)不同企業(yè)不同的防護(hù)需求，采用靈活企業(yè)具有針對(duì)性的加密軟件進(jìn)行數(shù)據(jù)本源的防護(hù)或許是最好的選擇。
由外部看，從震網(wǎng)病毒肆虐伊朗核材料生產(chǎn)基地開(kāi)始，信息安全無(wú)疑引起了人們的真正關(guān)注。2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，將研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策，這表明了國(guó)家對(duì)信息網(wǎng)絡(luò)安全開(kāi)始給予高度重視；同時(shí)相關(guān)工控安全標(biāo)準(zhǔn)正在加緊制訂中。這一系列工作的開(kāi)展意味著，隨著我國(guó)工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，scada、dcs、plc等工業(yè)控制系統(tǒng)面臨的信息安全問(wèn)題已日益嚴(yán)重，保證工業(yè)信息安全刻不容緩。
由行業(yè)本身看，隨著工業(yè)領(lǐng)域生產(chǎn)系統(tǒng)網(wǎng)絡(luò)化，系統(tǒng)化，高度自動(dòng)化的發(fā)展，信息安全問(wèn)題在工業(yè)中一下子凸顯起來(lái)了，尤其是國(guó)家當(dāng)前大力推進(jìn)的借助互聯(lián)網(wǎng)基礎(chǔ)構(gòu)建物聯(lián)網(wǎng)，企業(yè)可因此遠(yuǎn)程監(jiān)控自身生產(chǎn)數(shù)據(jù)，甚至執(zhí)行遠(yuǎn)程操作，這同時(shí)也給黑客遠(yuǎn)程攻擊、操控生產(chǎn)網(wǎng)絡(luò)提供了理論上的可能。雖然當(dāng)前國(guó)內(nèi)未聽(tīng)說(shuō)企業(yè)因網(wǎng)絡(luò)安全造成重大生產(chǎn)安全事故，但因控制系統(tǒng)漏洞遭病毒攻擊，造成危險(xiǎn)設(shè)備的狀態(tài)數(shù)據(jù)采集失效的情況當(dāng)然存在。工控信息安全牽涉的幾大問(wèn)題：
一、責(zé)任如何明確
信息安全挑戰(zhàn)本身就是敏感話題，升級(jí)到國(guó)家安全層面的現(xiàn)實(shí)令問(wèn)題更加敏感。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心安全運(yùn)行處王明華處長(zhǎng)介紹，生產(chǎn)企業(yè)信息安全工作本著誰(shuí)擁有、誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)的基本原則，是否涉及到國(guó)家力量的介入，有相應(yīng)的“對(duì)等原則”。從受威脅對(duì)象上劃分：如網(wǎng)絡(luò)攻擊針對(duì)政府、整個(gè)行業(yè)，或攻擊實(shí)施者有組織有預(yù)謀，再或確認(rèn)是國(guó)家行為的針對(duì)我國(guó)任何個(gè)體單位的攻擊，這都是我國(guó)政府調(diào)動(dòng)力量對(duì)等介入的依據(jù)。國(guó)家響應(yīng)級(jí)別又將和安全受威脅程度相關(guān)，王明華處長(zhǎng)把這類比為是個(gè)體感冒，或是流感爆發(fā)，還是sars爆發(fā)的應(yīng)對(duì)級(jí)別，非常形象易懂。
二、管理與技術(shù)需齊頭并進(jìn)
信息安全防護(hù)問(wèn)題是技術(shù)問(wèn)題，更是涉及人因的系統(tǒng)問(wèn)題。如果系統(tǒng)有身份認(rèn)證，工程師卻嫌麻煩而不設(shè)密碼，或設(shè)置極其簡(jiǎn)單的密碼，那這一環(huán)節(jié)的“門(mén)”就是敞開(kāi)的。
同時(shí)就工控領(lǐng)域使用的防護(hù)技術(shù)而言，由于工業(yè)安全在工業(yè)生產(chǎn)中自然是最基本的前提條件，但信息安全卻是由于生產(chǎn)網(wǎng)絡(luò)化、信息化、高集成自動(dòng)化后形成的新問(wèn)題。由于現(xiàn)場(chǎng)控制系統(tǒng)設(shè)備如plc的計(jì)算能力有限，控制網(wǎng)絡(luò)的傳輸速率也參差不齊，生產(chǎn)控制在功能上還要確保實(shí)時(shí)性的硬性指標(biāo)，所以套用傳統(tǒng)it方法顯然不太現(xiàn)實(shí)。
面對(duì)這種需求，靈活且對(duì)敏感數(shù)據(jù)和信息有本源防護(hù)作用的防護(hù)技術(shù)或是最好的選擇。而多模加密技術(shù)正是這樣一種選擇。
多模加密技術(shù)采用對(duì)稱算法和非對(duì)稱算法相結(jié)合的技術(shù)。在確保了工控行業(yè)一些敏感信息收到高質(zhì)量加密防護(hù)的同時(shí)，配合工控領(lǐng)域不同的防護(hù)需求，多模加密加密還能靈活應(yīng)對(duì)，根據(jù)不同的需求采用不同的加密模式進(jìn)行防護(hù)。
同時(shí)，作為這項(xiàng)技術(shù)使用的典型代表，山麗防水墻的多模加密技術(shù)還采用了基于系統(tǒng)內(nèi)核的透明加密技術(shù)，保證了加密防護(hù)的便利性和完整性（加密與格式無(wú)關(guān)），從而進(jìn)一步提高了數(shù)據(jù)和信息安全防護(hù)的質(zhì)量。
三、切勿只看重眼前的投入與收益
不出事就是好事，這也許是安全議題的一貫衡量標(biāo)準(zhǔn)。而艾默生過(guò)程管理公司全球石油石化業(yè)務(wù)負(fù)責(zé)人larry先生對(duì)此的新近觀點(diǎn)讓人耳目一新。衡量工業(yè)信息安全的roi（投入產(chǎn)出比）要從大處著眼。企業(yè)要實(shí)現(xiàn)的是生產(chǎn)、商業(yè)一體化，構(gòu)建面向未來(lái)的物聯(lián)網(wǎng)、大數(shù)據(jù)的智能決策平臺(tái)，此愿景價(jià)值不可限量。作為實(shí)現(xiàn)這一目標(biāo)必需的投資細(xì)節(jié)組成部分，工業(yè)信息安全投資量非常有限。
四、工控信息安全防護(hù)的未來(lái)之路
從需要改革的角度看，工控信息安全發(fā)展主要有3個(gè)方向：
1、從定制化向通用平臺(tái)的轉(zhuǎn)變。早期工業(yè)控制系統(tǒng)針對(duì)特定應(yīng)用需求研發(fā)，各系統(tǒng)之間的軟硬件產(chǎn)品通用性差;反觀現(xiàn)有控制系統(tǒng)，其集成化程度越來(lái)越高，越來(lái)越多地采用通用的軟硬件產(chǎn)品(芯片、操作系統(tǒng)等)。
2、純硬件向軟硬結(jié)合的轉(zhuǎn)變，這降低了攻擊工控系統(tǒng)的技術(shù)門(mén)檻。早期的工業(yè)控制系統(tǒng)主要依賴硬件實(shí)現(xiàn)，系統(tǒng)可擴(kuò)展性差，現(xiàn)有控制系統(tǒng)在通用硬件計(jì)算平臺(tái)基礎(chǔ)上，大量采用軟件方式實(shí)現(xiàn);網(wǎng)絡(luò)攻擊的實(shí)施在某種程度上也是在原有系統(tǒng)平臺(tái)上擴(kuò)展實(shí)現(xiàn)新的功能，工業(yè)控制系統(tǒng)的可擴(kuò)展性也決定了其攻擊實(shí)現(xiàn)的難易程度。
3、單一設(shè)備控制向網(wǎng)絡(luò)互聯(lián)的轉(zhuǎn)變。早期的工業(yè)控制系統(tǒng)主要在單一、獨(dú)立的設(shè)備中實(shí)現(xiàn)，現(xiàn)在的工業(yè)控制系統(tǒng)則將大量設(shè)備互聯(lián)，工業(yè)控制系統(tǒng)甚至與互聯(lián)網(wǎng)相連，系統(tǒng)越來(lái)越復(fù)雜;同時(shí)網(wǎng)絡(luò)互聯(lián)使系統(tǒng)暴露更多的漏洞，為攻擊的實(shí)現(xiàn)提供了更多潛在的技術(shù)渠道，也為攻擊造成大規(guī)模破壞提供了條件。
從發(fā)展趨勢(shì)來(lái)看，工控信息安全主要有以下三個(gè)方面：
一是高穩(wěn)定性要求帶來(lái)的系統(tǒng)技術(shù)陳舊。工業(yè)控制系統(tǒng)對(duì)系統(tǒng)的穩(wěn)定性有很高的要求，一般情況下，一套系統(tǒng)建設(shè)完成之后，系統(tǒng)內(nèi)的設(shè)備、平臺(tái)不會(huì)輕易地做更新?lián)Q代，造成當(dāng)下很多的共控制系統(tǒng)仍在采用dos、windowsxp等操作系統(tǒng)平臺(tái);而對(duì)于已發(fā)現(xiàn)的安全漏洞若無(wú)法充分地驗(yàn)證，評(píng)估補(bǔ)丁程序?qū)刂葡到y(tǒng)穩(wěn)定性的影響，企業(yè)也會(huì)更傾向于選擇不打補(bǔ)丁。不會(huì)像個(gè)人電腦一樣，下載補(bǔ)丁后立刻打上。在這種條件下，如何保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，是個(gè)很有難度的事情。
二是高實(shí)時(shí)性要求帶來(lái)的防護(hù)系統(tǒng)性能挑戰(zhàn)?；ヂ?lián)網(wǎng)中我們也很強(qiáng)調(diào)性能，但跟工業(yè)控制系統(tǒng)相比就是小巫見(jiàn)大巫了。工業(yè)控制系統(tǒng)對(duì)系統(tǒng)的實(shí)時(shí)響應(yīng)要求是普通互聯(lián)網(wǎng)無(wú)法比擬的，因此也對(duì)各類防護(hù)系統(tǒng)提出了更高的性能要求。這造成一系列復(fù)雜的、智能化的分析、檢測(cè)算法都無(wú)法滿足工業(yè)控制系統(tǒng)的安全防護(hù)要求，限制了防護(hù)方法的應(yīng)用。
三是高可靠性要求帶來(lái)的檢測(cè)高準(zhǔn)確性目標(biāo)。工業(yè)控制系統(tǒng)同時(shí)具有高可靠性要求，這樣也要求防護(hù)系統(tǒng)的分析檢測(cè)結(jié)果要具有明確的確定性，從而造成當(dāng)前基于模糊匹配、聚類分析等智能算法的入侵檢測(cè)、計(jì)算機(jī)免疫等各類模糊檢測(cè)方法無(wú)法應(yīng)用。