隨著工業(yè)以太網(wǎng)的快速發(fā)展，工控系統(tǒng)網(wǎng)絡(luò)信息安全問(wèn)題日漸顯露。以太網(wǎng)可能會(huì)遇到包括病毒感染、非法操作等網(wǎng)絡(luò)安全隱患;而軟件的漏洞、錯(cuò)誤配置或者網(wǎng)絡(luò)管理的失誤也會(huì)造成工控網(wǎng)絡(luò)異常;另外，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接時(shí)缺乏安全邊界控制，也是常見(jiàn)的安全隱患。2010年的震網(wǎng)病毒就是例證，最近的“棱鏡門”事件又再次為信息網(wǎng)絡(luò)安全敲響了警鐘，對(duì)此，我們應(yīng)當(dāng)如何應(yīng)對(duì)，這些安全隱患究其根底原因何在?另外，工信部451號(hào)文件(即《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》)已出臺(tái)近兩年，為何工控網(wǎng)絡(luò)信息安全依舊得不到應(yīng)有的重視?最重要的是，隨著智能電網(wǎng)的接入環(huán)境變得更加復(fù)雜，電網(wǎng)調(diào)度系統(tǒng)以及電力通信網(wǎng)絡(luò)的信息安全又當(dāng)如何保障?帶著這些疑問(wèn)，記者采訪了北京中科網(wǎng)威信息技術(shù)有限公司(下稱中科網(wǎng)威)的總裁助理殷國(guó)強(qiáng)。

        工控信息網(wǎng)絡(luò)缺乏安全設(shè)計(jì) “打補(bǔ)丁”治標(biāo)不治本

        作為國(guó)內(nèi)最早從事工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全信息安全研究的安全廠商。由中科網(wǎng)威研制推出的工業(yè)防火墻、網(wǎng)絡(luò)資產(chǎn)安全風(fēng)險(xiǎn)異常監(jiān)測(cè)平臺(tái)的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品以及“網(wǎng)威工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全時(shí)空防御模型”解決方案已被廣泛應(yīng)用于電力、軍工、工控等領(lǐng)域。對(duì)于工控信息網(wǎng)絡(luò)安全存在的諸多安全隱患，殷國(guó)強(qiáng)表示，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全是一個(gè)新的課題。根據(jù)我們的研究，目前我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題頻發(fā)原因主要有兩方面，一方面是管理，另一方面是技術(shù)。”

       在殷國(guó)強(qiáng)看來(lái)，管理上，目前工控網(wǎng)絡(luò)信息安全主要有五個(gè)方面的問(wèn)題。一是組織不健全。現(xiàn)有的工業(yè)自動(dòng)化管理體系和信息安全管理體系尚未完成有機(jī)結(jié)合，難以有效應(yīng)對(duì)工業(yè)控制網(wǎng)絡(luò)安全挑戰(zhàn);二是工業(yè)信息安全管理制度缺失。沒(méi)有可以參照的安全標(biāo)準(zhǔn)規(guī)范，缺乏經(jīng)過(guò)實(shí)踐檢驗(yàn)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度流程，從而難以有效實(shí)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全規(guī)范管理;三是相關(guān)人員缺乏安全培訓(xùn)。面對(duì)全新的課題，從管理人員到一線操作人員普遍缺乏對(duì)工業(yè)信息安全的認(rèn)識(shí)，更談不上有效的針對(duì)性培訓(xùn)，一旦出現(xiàn)問(wèn)題，往往無(wú)力應(yīng)對(duì);四是監(jiān)管執(zhí)行不力。由于組織不健全、安全管理標(biāo)準(zhǔn)和制度缺失，加上技術(shù)方面原因，直接導(dǎo)致監(jiān)管措施難以落實(shí)，從而使高層管理人員對(duì)安全風(fēng)險(xiǎn)難以把控;五是技術(shù)措施不到位。在缺乏標(biāo)準(zhǔn)規(guī)范的情況下，無(wú)法安排有效的技術(shù)措施，也無(wú)法確保技術(shù)措施真正發(fā)揮作用。

       同時(shí)在技術(shù)上也存在一系列問(wèn)題，首先是缺乏對(duì)攻擊手段的研究和工業(yè)信息安全防護(hù)及檢測(cè)手段，對(duì)攻擊手段的一無(wú)所知直接造成了防護(hù)的無(wú)從下手。其次，缺乏對(duì)技術(shù)設(shè)備的控制，我國(guó)的工業(yè)控制系統(tǒng)中的關(guān)鍵設(shè)備95%以上都是進(jìn)口的，對(duì)于其內(nèi)部結(jié)構(gòu)、組成、隱藏功能都缺乏了解，也沒(méi)有有效的技術(shù)和法律控制措施，很難保證沒(méi)有暗藏的后門、病毒、木馬、邏輯炸彈等破壞手段。最重要的是，缺乏信息安全設(shè)計(jì)，沒(méi)有安全模塊設(shè)計(jì)就談不上安全保障。據(jù)殷國(guó)強(qiáng)透露，目前，所謂的安全防護(hù)大都是通過(guò)“打補(bǔ)丁”的方式進(jìn)行，這種方式可以暫時(shí)取得防護(hù)效果，但是從長(zhǎng)遠(yuǎn)來(lái)看，治標(biāo)不治本，或許還會(huì)帶來(lái)更大的風(fēng)險(xiǎn)。

        政策與利益脫節(jié) 企業(yè)領(lǐng)導(dǎo)不帶頭造成下游無(wú)力

        近年來(lái)，工控系統(tǒng)網(wǎng)絡(luò)存在的諸多安全隱患也引起了國(guó)家相關(guān)部門的重視。2011年，工信部下發(fā)了451號(hào)文件《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，其中明確規(guī)定加強(qiáng)重點(diǎn)領(lǐng)域工業(yè)控制信息系統(tǒng)安全管理，文件要求須斷開(kāi)工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接;工控系統(tǒng)組網(wǎng)時(shí)要同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施;另外，應(yīng)加強(qiáng)對(duì)技術(shù)服務(wù)的信息安全管理，在安全得不到保證的情況下禁止采取遠(yuǎn)程在線服務(wù)。

       但據(jù)記者了解，目前，上述要求落實(shí)情況很不樂(lè)觀，很多企業(yè)尚未達(dá)到要求，很多解決方案還一直停留在理論階段，無(wú)法大范圍推廣實(shí)施。對(duì)此，殷國(guó)強(qiáng)說(shuō)：“理論研究是可以理解的，而且必須有足夠的理論研究才能在實(shí)踐中加以運(yùn)用，否則，遇到問(wèn)題手足無(wú)措也會(huì)造成極大的浪費(fèi)甚至得不償失。但是，我們不能只停留在理論層面上，只一味高喊要重視工控網(wǎng)絡(luò)信息安全行動(dòng)上卻無(wú)動(dòng)于衷，這樣止步不前終究不會(huì)有進(jìn)步。而且理論實(shí)踐本就是辯證統(tǒng)一的關(guān)系，理論指導(dǎo)實(shí)踐，實(shí)踐驗(yàn)證理論，只有兩者相結(jié)合才會(huì)有最好的結(jié)果。”

       據(jù)了解，中科網(wǎng)威工業(yè)級(jí)防火墻在2012年通過(guò)了電力行業(yè)測(cè)評(píng)，成為中國(guó)首家通過(guò)電力協(xié)議訪問(wèn)控制專業(yè)測(cè)評(píng)的工業(yè)級(jí)防火墻生產(chǎn)廠商。在殷國(guó)強(qiáng)看來(lái)，取得這樣的成果，主要在于領(lǐng)導(dǎo)重視，董事長(zhǎng)兼總裁劉兵親自掛帥主抓工業(yè)安全產(chǎn)品的研發(fā)和推廣，這在目前是國(guó)內(nèi)同等規(guī)模企業(yè)中唯一的一家。領(lǐng)導(dǎo)的重視帶來(lái)資源的集中，中科網(wǎng)威在工業(yè)控制系統(tǒng)安全方面的理論研究、產(chǎn)品開(kāi)發(fā)、產(chǎn)品測(cè)試和對(duì)外合作都集中了全公司的技術(shù)力量，從而取得了長(zhǎng)足的進(jìn)步。據(jù)了解，現(xiàn)在很多企業(yè)的現(xiàn)狀是，只有主管工控的工程師重視信息安防，公司領(lǐng)導(dǎo)不重視，加上國(guó)家的相關(guān)政策大多只是一些指導(dǎo)意見(jiàn)，跟企業(yè)沒(méi)有直接的利益掛鉤，造成了目前工控網(wǎng)絡(luò)信息安防下游無(wú)力的局面。事實(shí)上，不僅工控領(lǐng)域，我國(guó)的智能電網(wǎng)調(diào)度系統(tǒng)和電力通信網(wǎng)絡(luò)也遭遇了同樣的困境。

        電網(wǎng)調(diào)度系統(tǒng)大而龐雜 信息安全須及早防護(hù)

       電網(wǎng)調(diào)度系統(tǒng)大而龐雜，隨著我國(guó)同步電網(wǎng)規(guī)模的擴(kuò)大，智能化設(shè)備、新技術(shù)逐步廣泛應(yīng)用到電力系統(tǒng)網(wǎng)絡(luò)中，使智能電網(wǎng)的接入環(huán)境變得更加復(fù)雜，電網(wǎng)的安全性及電力通信網(wǎng)絡(luò)信息安全面臨新的挑戰(zhàn)。據(jù)殷國(guó)強(qiáng)介紹，中科網(wǎng)威在電網(wǎng)的信息安全防護(hù)產(chǎn)品方面做出了極大努力。“首先，我們加強(qiáng)了對(duì)電網(wǎng)攻擊技術(shù)手段的研究;其次，在研究的基礎(chǔ)上開(kāi)發(fā)了適合電力調(diào)度網(wǎng)的電力專用防火墻、風(fēng)險(xiǎn)監(jiān)測(cè)平臺(tái)等系列產(chǎn)品;最后，我們還聯(lián)合其他科研機(jī)構(gòu)比如電科院等在一些電力企業(yè)進(jìn)行試點(diǎn)，改進(jìn)產(chǎn)品技術(shù)，使之更加可靠、有效。”殷國(guó)強(qiáng)說(shuō)。

       據(jù)記者了解，日前，中科網(wǎng)威參與國(guó)家電網(wǎng)安防設(shè)備招標(biāo)并成功中標(biāo)。而其電力專用防火墻及解決方案，在西北電網(wǎng)、東北電網(wǎng)和南網(wǎng)也均已投入使用。對(duì)于公司的未來(lái)發(fā)展，殷國(guó)強(qiáng)表示，公司將會(huì)一如既往的把工業(yè)控制系統(tǒng)信息安全作為戰(zhàn)略目標(biāo)和發(fā)展方向，其中，電力行業(yè)信息安全防護(hù)是重中之重。