徐新國:工控安全亟待國家立法
http://m.sharifulalam.com 2013-03-27 09:32 來源:《中國經濟和信息化》
導讀:工業控制系統信息安全問題其實一直存在,如何解決這個問題?華北計算機系統工程研究所總工程師徐新國表示,在具體措施方面,首先,應該先從立法入手,改變安全問題受制于人的現狀。其次,就是需要各部委聯合,集整個國家之力來推動這件事。
規范國外產品進入中國市場,國家應該推行準入制。
隨著工業化和信息化的深度融合,公共基礎設施通過工業控制系統也分享了"兩化"融合所帶來的管理水平提升的成果,同時也把互聯網虛擬世界的破壞帶進了真實的物理空間。
當前中國工業控制領域的基本格局如何?中國的基礎工業設施面臨哪些威脅和挑戰?如何打破外國企業產品在工控系統關鍵產品的市場壟斷優勢?記者專訪了華北計算機系統工程研究所總工程師徐新國。他認為,只有從國家層面整合資源,推動國外產品進入國內市場的準入制度建設,創新發展國內工控系統防御思路,才能緩解目前工控安全領域的危機。
CEI:目前我國的工控安全現狀如何?面臨的問題是怎么形成的?
徐新國:工業控制系統信息安全問題其實一直存在,它的安全隱患主要來自兩方面。首先,傳統工控系統在設計之初,計算資源和存儲資源都非常有限,首要考慮的是實時性和功能性,在安全性方面往往缺乏完整的設計。
其次,隨著信息技術的快速發展,工控系統變得越來越開放,特別是近年來國家推進工業化和信息化的深度融合,也是信息技術與控制技術融合的一個過程。工控系統與其他信息化系統結合越來越緊密,大量采用通用的操作系統平臺、數據庫系統、通訊協議和標準等信息技術,信息技術本身就存在安全隱患,它的引入勢必放大控制系統的安全問題。
工控系統本身的重要性和應用環境的復雜性決定了它的安全問題并不僅僅是信息的泄露和安全,更重要的是它的安全性一旦遭到破壞可能引起與之相連的生產系統、生活系統也遭到破壞,造成重大安全事故、人員財產損失以及生態環境破壞。工控安全最重要的就是系統的本質安全問題。
CEI:關鍵基礎設施的工控安全主要體現在哪些領域?
徐新國:傳統信息安全關注的是虛擬網絡的安全,工控系統安全則與現實世界緊密聯系,整個國民經濟的各個領域都離不開工控系統,尤其是在電力(包括核電)、石油石化以及軌道交通等關鍵基礎設施中的工控系統。它不僅是企業層面的問題,還是涉及國家基礎經濟和戰略安全的重要問題,這些領域都是我們首要關注的領域。
CEI:國內目前有沒有可以解決本質安全問題的工控產品?
徐新國:事實上,中國工控產品的市場格局正是我們最擔憂的問題。中國關鍵基礎設施的控制系統現在有相當大的比例是國外公司供應的,比如西門子、施耐德和西屋電氣等。關鍵系統由國外企業的產品運行就存在一些不可控的風險,如果采用的系統和數據庫內核是別人的,別人只需要簡單的邏輯激發就可以使你的系統癱瘓。
目前國內的工控產品,特別是高端工控系統方面實力還很弱,確實無法完全替代國外產品。像城鐵系統的信號控制部分,目前工業和信息化部批準的9家有競標資格的企業所采用的核心技術都依賴于國外。
CEI:那你認為工控安全的問題應該如何解決?
徐新國:多年來我們一直在工業控制領域進行相關技術和產品的研究,工控安全問題我們很早就開始關注。在具體措施方面,首先,我認為應該先從立法入手,改變安全問題受制于人的現狀。美國在這方面的做法值得參考,他頒布了國土安全總統令、聯邦信息安全管理法、國家基礎設施保護計劃等相關法規戰略以及配套的標準和指南,要求產品生產企業充分披露相關信息。而俄羅斯則推行了審查制,國外的產品要進入市場必須經過專門的測試、考評、認證和白盒審查。
在我們軟硬件系統主要依賴進口的現況下,對于規范國外產品進入中國市場,國家應該推行準入制。所謂準入制,就是廠商必須備案,并聲明產品沒有安全問題。一旦發現問題得接受審查,有追溯機制。在產品使用的過程中,我們還可以要求對國外產品進行白盒檢測。以前的黑盒測試,就是不管產品的具體設計,只要功能達到輸入輸出標準就行了。但是,現在我們要求廠商進一步披露信息,知道問題出在哪里,并且對出問題的環節問責、改進。當然,這需要進一步研究和設計出工控安全的基本準則,我們能提出明確的技術檢測指標和方法,才有資格和別人進行博弈。
其次,就是需要各部委聯合,集整個國家之力來推動這件事。總體而言,國內相關研究工作相對滯后,各方面的建設剛剛起步。與工控安全相關的企業目前有兩類,一類是傳統信息安全技術和產品提供商。他們普遍認為:工控系統安全是傳統IT安全的延伸,希望通過傳統信息安全防護技術應用于工控系統,來實現對工控系統的全面監控。但過度監控的理念,在資源有限的條件下,與工控系統要求的實時性和功能性是有沖突的,并且在復雜的應用環境下,傳統信息安全手段也無法解決工控系統的本質安全問題。
另一類是工控產品提供商,出于成本的考慮和技術的限制,在提高自身系統安全性和相關防護產品方面,廠商普遍缺乏主動性,很少對自身產品的安全漏洞進行主動檢測和公布。工控安全并不是單一學科、單一技術就能解決的問題,必須將信息安全技術、工業控制技術、功能安全技術等進行融合才能取得研究的突破。這就要求不同政府主管部門打破壁壘,開展深入合作,充分發揮大政府的優勢,從頂層設計出發,帶動相關行業、企業,進行思路上的深刻變革和高度的資源整合,才有可能實現工控安全研究的突破。
具體而言,可以組織相關技術和行業專家共同組成專家組,重點針對電力、石化、軌道交通等關鍵領域開展試點工作,開展行業工控系統安全問題的深入調研,進行漏洞分析和風險評估,制定行業安全標準,搭建測試、測評平臺。在試點經驗的基礎上,進行推廣應用,逐步形成我國工控信息安全防護的長效機制。
CEI:你剛才主要講了從國家立法層面和資源整合方面推動問題的解決,那從技術應用的角度來講是否有什么新的思路?
徐新國:目前,我們使用的操作系統,最大的安全問題就是超級用戶的問題。超級用戶是操作系統體系架構設計之初,按照人類的思維模式制定的,具有當時的歷史局限性。現在,具有無限權力的超級用戶往往被病毒和入侵行為所利用,一旦被控制,就可以向控制對象發出破壞性指令,并向系統發送虛假數據信息,欺騙操作人員,造成事故和損失。
2010年的"震網"事件,就是很典型的例子。有的工控系統采用雙工熱備的方式進行安全防護,就是兩套系統同時工作,一旦一套系統出現故障,就切換到另一套系統繼續工作。但對于惡意入侵行為,由于兩套系統的原理是一樣的,一套系統被攻破,另一套也就不具有安全性。
基于多年來在工控領域的技術積累和應用實踐,我們正在開展安全的實時數據庫、實時操作系統,以及工控系統防危機制的研究。和一般信息系統相比,工控系統有兩個特點:一是工業控制系統的運行狀態是有限的,二是在每個狀態下允許執行的指令也是有限的。這個和信息系統不一樣,信息系統有很多指令可以處于中間狀態,而工控系統由于它的應用特性導致他的狀態一定是可以窮舉的,并且可以用規則表達出來。
基于這個思路,我們根據不同工控系統的功能需求,提煉出設計原則,并進一步生成規則庫。將規則庫裝入一套防危系統中,并保持與控制系統的聯通,如果工控系統正常運行,防危系統則不進行干預。一旦發現控制系統狀態異常,則進行相應的處理。從工控安全的基本要求來講,這套防危系統不一定能滿足系統的高效要求,但由于是完全獨立于工控系統運行的,至少可以保證當系統運行異常的時候發出警示,避免系統在異常狀態下導致的崩潰。目前,這套防危系統已經在一個地方電力系統中運用了。
實際的工控系統往往是一個復雜的網絡,各設備之間存在著相互依賴關系,對一個設備的操作勢必會對其他設備造成影響,針對獨立設備的防危還不能完全達到整體防危的要求。目前我們正在深入研究具有主動、全局、實時等特性的工控系統防危機制。
編輯精選
