工控系統(tǒng)信息安全成為新的關(guān)注點(diǎn)

2013-10-16 10:35:37 EP電力信息化網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

當(dāng)前，我國(guó)工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工控系統(tǒng)獲得了前所未有的飛速發(fā)展。與此同時(shí)，工控系統(tǒng)面臨的安全威脅也越來(lái)越嚴(yán)峻。建立全面的信息安全保障體系，減少工控系統(tǒng)面臨的內(nèi)外部的威脅，為推動(dòng)兩化深度融合、工業(yè)轉(zhuǎn)型升級(jí)提供支持，是當(dāng)前信息安全領(lǐng)域面臨的重大挑戰(zhàn)。

現(xiàn)階段我國(guó)工控系統(tǒng)的安全形勢(shì)非常嚴(yán)峻。調(diào)查發(fā)現(xiàn)，約80%的企業(yè)從來(lái)不對(duì)工控系統(tǒng)進(jìn)行升級(jí)和漏洞修補(bǔ)，有52%的工控系統(tǒng)與企業(yè)的管理系統(tǒng)、內(nèi)網(wǎng)甚至互聯(lián)網(wǎng)連接;此外，一些存在漏洞的國(guó)外工控產(chǎn)品依然在國(guó)內(nèi)的某些重要裝置上使用。更為嚴(yán)重的問(wèn)題還在于，我們對(duì)于發(fā)現(xiàn)風(fēng)險(xiǎn)源頭缺乏手段，對(duì)控制風(fēng)險(xiǎn)的技術(shù)與方法缺乏必要的研究。

工控系統(tǒng)信息安全成為新的關(guān)注點(diǎn)主要有兩個(gè)方面的原因：一方面，過(guò)去的工業(yè)控制系統(tǒng)是使用專業(yè)的系統(tǒng)、專業(yè)的隊(duì)伍、專業(yè)的設(shè)備，只有小范圍人群了解和掌握。隨著計(jì)算機(jī)技術(shù)的發(fā)展，很多專業(yè)的系統(tǒng)實(shí)現(xiàn)了通用化，現(xiàn)在的工控系統(tǒng)開(kāi)始在通用技術(shù)的基礎(chǔ)上做專業(yè)的系統(tǒng)設(shè)計(jì)，如操作系統(tǒng)、數(shù)據(jù)庫(kù)軟件、通訊協(xié)議等計(jì)算機(jī)通用產(chǎn)品和協(xié)議，這樣一來(lái)，存在于計(jì)算機(jī)信息系統(tǒng)中的漏洞被帶到了工控系統(tǒng)里。另一方面，長(zhǎng)期以來(lái)工控系統(tǒng)并沒(méi)有因?yàn)樾畔踩珕?wèn)題發(fā)生大的事故，人們普遍存在“病毒很少能對(duì)工業(yè)控制系統(tǒng)造成危害”的意識(shí)。但是，伊朗的“震網(wǎng)”事件，給了全世界一個(gè)警示，計(jì)算機(jī)病毒不僅可以感染到工控系統(tǒng)，而且可以對(duì)控制對(duì)象進(jìn)行物質(zhì)破壞。

關(guān)鍵基礎(chǔ)設(shè)施信息安全事關(guān)國(guó)家安全，為有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊的新變化，提升我國(guó)關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)能力，應(yīng)從以下幾方面著手：

抓緊建立關(guān)鍵基礎(chǔ)設(shè)施信息安全法律體系。我國(guó)雖已建立重要信息系統(tǒng)等級(jí)保護(hù)制度，但還缺乏體系化的關(guān)鍵基礎(chǔ)設(shè)施信息安全立法。建議充分借鑒國(guó)外關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)相關(guān)法律，分析我國(guó)現(xiàn)有立法的不足和主要問(wèn)題，抓緊建立我國(guó)關(guān)鍵基礎(chǔ)設(shè)施信息安全法律體系,從法律層面明確關(guān)鍵基礎(chǔ)設(shè)施的定義和范圍、界定政府部門的職責(zé)、規(guī)范運(yùn)營(yíng)者和所有者的運(yùn)營(yíng)資質(zhì)要求。

盡快建立關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)信息共享機(jī)制。關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全涉及部門多，影響范圍廣，共享網(wǎng)絡(luò)威脅信息有助于更好地應(yīng)對(duì)網(wǎng)絡(luò)攻擊。建議借鑒美國(guó)、歐盟等的先進(jìn)經(jīng)驗(yàn)，充分了解關(guān)鍵基礎(chǔ)設(shè)施設(shè)備提供商、運(yùn)營(yíng)單位、政府部門、信息安全承包商、專家隊(duì)伍、公眾等各方對(duì)信息共享的需求，盡快建立有效的關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)信息共享機(jī)制，明確信息共享的條件，確定信息共享步驟，建立信息共享公共服務(wù)平臺(tái)。

抓緊制定關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分級(jí)規(guī)范。關(guān)鍵基礎(chǔ)設(shè)施數(shù)量眾多，其重要性和潛在的破壞力也不盡相同，有必要?jiǎng)澐株P(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險(xiǎn)等級(jí)并對(duì)其進(jìn)行分級(jí)管理。建議抓緊制定關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分級(jí)規(guī)范，根據(jù)關(guān)鍵基礎(chǔ)設(shè)施的重要性、不可替代性、一旦出現(xiàn)問(wèn)題之后的影響范圍，以及網(wǎng)絡(luò)攻擊的可能性等因素，提出界定關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險(xiǎn)等級(jí)的量化標(biāo)準(zhǔn)，分級(jí)別制定管理要求。

加快推動(dòng)關(guān)鍵基礎(chǔ)設(shè)施相關(guān)產(chǎn)品的國(guó)產(chǎn)化替代。當(dāng)前我國(guó)關(guān)鍵基礎(chǔ)設(shè)施中信息技術(shù)產(chǎn)品高度依賴進(jìn)口，存在極大信息安全隱患。建議加強(qiáng)高端通用芯片、操作系統(tǒng)等基礎(chǔ)技術(shù)攻關(guān)，支持國(guó)內(nèi)企業(yè)基于國(guó)產(chǎn)芯片研發(fā)信息技術(shù)裝備、大型數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)等控制設(shè)備和系統(tǒng)，加快國(guó)產(chǎn)技術(shù)產(chǎn)品的應(yīng)用推廣，逐步實(shí)現(xiàn)對(duì)國(guó)外產(chǎn)品的替代。
督促關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)單位加強(qiáng)管理。主要包括：斷開(kāi)與公共網(wǎng)絡(luò)之間的所有不必要連接，對(duì)確實(shí)需要的連接，采取必要的防護(hù)措施，并定期進(jìn)行風(fēng)險(xiǎn)評(píng)估;嚴(yán)格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)以及便攜式計(jì)算機(jī);建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置和審計(jì)制度，嚴(yán)格賬戶和口令管理，定期對(duì)賬戶、口令、端口、服務(wù)等進(jìn)行檢查等措施。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊