《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > AET原創(chuàng) > 電子六所吳云峰:工業(yè)控制系統(tǒng)安全體系思考與創(chuàng)新實踐

電子六所吳云峰:工業(yè)控制系統(tǒng)安全體系思考與創(chuàng)新實踐

2021-04-27
作者:王潔
來源:電子技術應用

工業(yè)控制系統(tǒng)是國家關鍵信息基礎設施長期,、安全,、穩(wěn)定運行的核心,。工控系統(tǒng)一旦出現(xiàn)問題,,可能會導致系統(tǒng)變慢而造成死機,,一些關鍵的數(shù)據(jù),、配方,、控制程序遭遇竊取和清除,,嚴重可能會使生產(chǎn)設備失控,、生產(chǎn)停止,、財產(chǎn)損失、人員傷亡和環(huán)境污染,,更嚴重的情況會破壞國防軍工,、能源、交通,、水利等國家基礎設施,,危急國家和人民的生活,影響社會的長治久安,?!?中國電子信息產(chǎn)業(yè)集團有限公司第六研究所副總工程師吳云峰先生在CITE2021工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會上表示。

1.jpg

中國電子信息產(chǎn)業(yè)集團有限公司第六研究所副總工程師 吳云峰先生

工業(yè)控制系統(tǒng)運用控制理論,、儀器儀表,、計算機和其它信息技術,實現(xiàn)對工業(yè)過程檢測,、控制,、優(yōu)化、調(diào)度,、管理和決策,,達到增加產(chǎn)量、提高質(zhì)量,、降低消耗,、確保安全等目的,。

工控安全事件危及國家安全和社會長治久安。2018年4月,,習近平總書記在全國網(wǎng)絡安全與信息化工作會議上發(fā)表講話:“沒有網(wǎng)絡安全就沒有國家安全,就沒有經(jīng)濟社會穩(wěn)定運行,,廣大人民群眾也難以得到保障,。”

如今公共安全已經(jīng)成為國家安全戰(zhàn)略的重要組成部分,。近幾年網(wǎng)絡安全相關的國家政策以及法規(guī)政策都強調(diào)了工控安全的重要性,。如:2016年11月發(fā)布了《中華人民共和國網(wǎng)絡安全法》,2017年12月發(fā)布了《工業(yè)控制系統(tǒng)信息安全行動計劃 》,,2018年5月發(fā)布了《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃(2019-2020)》,,2019年12月 “網(wǎng)絡安全等保2.0標準”正式實施,2020年03月發(fā)布了《關于推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》……                    

我國工業(yè)控制系統(tǒng)安全現(xiàn)狀

工控安全關乎國家的國防安全,、經(jīng)濟安全,、社會安全,是制造強國和網(wǎng)絡強國戰(zhàn)略建設的堅實基礎,。目前我國的工控系統(tǒng)存在嚴重的風險和隱患,,吳云峰主要從四個方面進行了介紹:

第一,工控系統(tǒng)目前大部分采用國外的產(chǎn)品,,不掌握核心技術,,受制于人是最大的隱患。

第二,,隨著工業(yè)互聯(lián)網(wǎng)的推進,,工控系統(tǒng)由傳統(tǒng)的封閉模式走向開放,引入了安全風險,。在工控系統(tǒng)的設計上,,傳統(tǒng)的設計一般都不會考慮信息安全相關的方案,并且工控系統(tǒng)在各個行業(yè)形態(tài)各異,,協(xié)議多樣,,功能也是各有不同,因而工控系統(tǒng)的安全需求也是千差萬別,。

第三,,在工控系統(tǒng)存在的后門與漏洞缺乏有效的安全檢測手段,且內(nèi)外部異常行為也難以及時發(fā)現(xiàn),。

第四,,工控系統(tǒng)里面存在著安全風險,但是一些新技術(如自主,、安全,、可信的技術)缺少高擬合,、高仿真工控環(huán)境驗證,難以評估其在工控系統(tǒng)的應用效果,。此外,,工控系統(tǒng)里存在的漏洞修復缺少評估和驗證環(huán)境,不敢升級,,工控系統(tǒng)長期帶病運行,。

2.jpg

近幾年工控系統(tǒng)安全事件

可以看出工業(yè)控制系統(tǒng)日益成為網(wǎng)絡對抗的重要目標。工業(yè)病毒演化成網(wǎng)絡武器,,可進行戰(zhàn)略情報采集,、滲透潛伏、精確打擊,,可以直接破壞工業(yè)網(wǎng)絡核心基礎設施,,是國家、組織間的對抗工具,,政治,、軍事外的博弈手段!

目前國內(nèi)的一些高端裝備(如機床,、發(fā)電設備,、機器人等)嚴重依賴于國外品牌;在工控系統(tǒng)里90%PLC,、65%的操作員站為國外產(chǎn)品,;并且因部分客戶需要廠商遠程維護,設備留有遠程訪問端口,,存在很多未知的設備“后門”,,存在訪問控制和拒絕服務等風險。

工控系統(tǒng)里面涉及到一些核心技術,,如核心處理器,、嵌入式的作系統(tǒng)、桌面系統(tǒng),、數(shù)據(jù)庫,、編譯工具、總線,、傳感器技術等,,核心設備包括服務器、工業(yè)計算機,,到網(wǎng)絡設備DCS,、PLC、工業(yè)軟件,、變頻器伺服和工業(yè)機器人等,。核心技術產(chǎn)品主要掌握在美德日法等西方國家,,我國工控領域處于被國外壟斷市場的狀態(tài)。

另外,,工控系統(tǒng)由封閉走向開放,,對傳統(tǒng)的工控系統(tǒng)安全造成了一定威脅。當前工控安全主要依靠物理隔離,,但云端協(xié)作要求工控走向開放,,物理隔離的安全邊界一旦打開,面臨諸多威脅,,而當前仍缺乏支持云端協(xié)作的整套安全技術。

3.jpg

近幾年工業(yè)信息安全漏洞數(shù)量連年呈現(xiàn)高發(fā)態(tài)勢,,半數(shù)以上的工控安全漏洞均為高危漏洞,,披露的漏洞類型呈現(xiàn)多樣化特征,工控漏洞廣泛分布在能源,、制造,、水務、市政等重點領域,,工業(yè)對實時性,、功能性、可靠性的要求導致工控漏洞的修復進度非常遲緩,。

工業(yè)控制系統(tǒng)安全體系思考

吳云峰以一個典型的工控系統(tǒng)架構為例,,分析工控安全需求。

4.jpg

政策方面,,近幾年有《網(wǎng)絡安全法》,、《等保2.0》、《密碼法》,、“信創(chuàng)”要求和《關基保護條例》的要求,,對關基保護服務、安全防護,、自主核心產(chǎn)品以及安全訓練平臺等方面提出了需求,,最后實現(xiàn)可發(fā)現(xiàn)、可防范,、可替代,、可驗證的目標。

針對這個需求,,電子六所提出構建多層次工控安全保障體系,。

5.jpg

電子六所以國家安全戰(zhàn)略為牽引,提出基于安全訓練平臺,、自主核心產(chǎn)品,、深度安全防護和關基保護服務四層結(jié)構模型的公共安全保障體系,,實現(xiàn)全方位提升國家關鍵基礎設施的防控能力,實現(xiàn)關后門,、堵漏洞,、防斷供的目標。

·自主核心產(chǎn)品體系

6.jpg

打造全方位,、立體式覆蓋和應用的自主核心產(chǎn)品體系,,持續(xù)推進工業(yè)控制系統(tǒng)核心技術自主創(chuàng)新,以國家基礎設施自主化建設為牽引,,帶動工控產(chǎn)業(yè)高質(zhì)量發(fā)展,。

·深度安全防護體系

7.jpg

打造工廠內(nèi)外的一體化深度防護體系,覆蓋設備,、控制,、網(wǎng)絡、數(shù)據(jù),、應用,、管理、安全等方面,。

·安全試驗驗證平臺

8.jpg

通過虛實互聯(lián)技術,,基于真實工控行業(yè)場景和虛擬通用資源,構建涵蓋現(xiàn)場設備,、控制器,、過程監(jiān)控、生產(chǎn)管理,、典型工控業(yè)務的仿真平臺,,具備工控網(wǎng)絡安全評估、工控及安全產(chǎn)品測試,、安全攻防能力和運營維護能力,。

·多維工控安全服務體系

9.jpg

打造多維工控安全服務體系,提供工控系統(tǒng)測評,、安全認證,、產(chǎn)品測試、咨詢培訓等安全服務,。在各項業(yè)務環(huán)節(jié)中融入在工控安全領域的技術積累和安全產(chǎn)品,,依托專業(yè)化團隊為監(jiān)管機構和行業(yè)用戶提供國家關鍵信息基礎設施安全技術服務支撐。

電子六所構建工業(yè)控制系統(tǒng)核心技術完整體系

電子六所成立于1965年,,是我國信息產(chǎn)業(yè)領域從事電子技術應用系統(tǒng)研究,、開發(fā)的重點科研院所之一,是中國電子旗下唯一的一個研究所,、事業(yè)單位,,也是中國電子工業(yè)控制系統(tǒng)網(wǎng)絡安全的牽頭單位,,建有工業(yè)控制系統(tǒng)信息安全技術國家工程實驗室,長期致力于工控安全技術研究,,包括關鍵基礎設施行業(yè)工業(yè)控制系統(tǒng)應用研究,,國內(nèi)外主流工業(yè)控制系統(tǒng)產(chǎn)品研究及工業(yè)網(wǎng)絡漏洞挖掘與研究,以及工業(yè)網(wǎng)絡測繪技術,、攻擊技術,、滲透技術研究,工控安全主動防御技術,、保障體系研究,,關鍵基礎設施行業(yè)工業(yè)網(wǎng)絡攻防試驗平臺研究等。

電子六所堅持自主創(chuàng)新,,持續(xù)攻關工業(yè)控制系統(tǒng)核心技術,,在工業(yè)控制的安全技術和相關總線技術等方面都有突破,構建了自主化的技術體系,,完善技術生態(tài)鏈。

戰(zhàn)略需求牽引,,打造“超御”系列工控產(chǎn)品體系,。基于PKS自主可信技術,,面向國防軍工,、電力、冶金,、石化,、化工、水利,、離散制造,、數(shù)字城市等重點行業(yè),實現(xiàn)了自主創(chuàng)新本質(zhì)安全,、安全可信過程安全,、失效可用功能安全、專用定制產(chǎn)業(yè)安全的發(fā)展目標,,解決產(chǎn)業(yè)發(fā)展痛點,。

10.jpg

電子六所自主研發(fā)的安全系列化PLC涵蓋大型、中型和小型設備,。所有PLC從硬件的芯片級,、元器件級到操作系統(tǒng),再到整個工業(yè)軟件,,都實現(xiàn)了全過程化的解決方案,。并且在傳統(tǒng)的控制系統(tǒng)里內(nèi)置了國產(chǎn)密碼,、可信計算等信息安全防護機制,在國防軍工和重點基礎設施領域都有相應的應用,。

“電子六所開發(fā)的一系列工控系統(tǒng)防護產(chǎn)品體系包括安全檢測類,、安全防護類和安全審計類。所有產(chǎn)品都是基于工控系統(tǒng)協(xié)議的深度分析,,適用于工控系統(tǒng)協(xié)議類的安全產(chǎn)品,,我們的工控安全防護產(chǎn)品已經(jīng)各行業(yè)廣泛運用?!?吳云峰介紹道,。

11.jpg

工控安防產(chǎn)品系列在城市軌道交通行業(yè)的應用案例

在工控系統(tǒng)實驗驗證平臺上,電子六所研發(fā)了基于面向關鍵基礎設施仿真的仿真平臺,、面向新技術測試的測試平臺,、面向多方攻防演練的演練平臺,以及面向網(wǎng)絡安全培訓教學的教學平臺,。這些平臺有三個特點:貼近于真實的環(huán)境構建,、業(yè)務流程全面細致、豐富清晰的態(tài)勢展示,。

在關基防護服務方面,,可以提供安全評估、安全培訓,、安全咨詢,、滲透測試、測試認證,,以及網(wǎng)絡安保服務,。據(jù)吳云峰介紹,2016至2020年,,電子六所總計完成16省近400套工控系統(tǒng)安全測評及咨詢服務工作,,主要服務工業(yè)企業(yè)近百家,服務行業(yè)包括電力,、核電,、軌道交通、石油石化等,,涉及產(chǎn)品覆蓋國內(nèi)外主流的產(chǎn)品及系統(tǒng),。此外,電子六所還在國家多項重大活動期間提供網(wǎng)絡安保服務,。

以自主的實力,,持續(xù)為安全賦能,這條路只需堅定地走下去!

 


此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權禁止轉(zhuǎn)載,。