国产91九色_日本68xxxx_欧美高清另类自拍视频在线看_欧美人禽_99久久婷婷国产综合精品青牛牛_亚洲射情

  編者：21世紀是信息化時代。對石油化工等制造業而言，以震網蠕蟲為代表的木馬、病毒等對工業自動化生產安全帶來了極大威脅，因此工業控制系統的安全成為信息化時代企業安全生產的重中之重。調查報告顯示，在工業信息安全產品應用領域中，石油化工占比最多，達34%，其中油氣占13%、石化占11%、化工占10%;而在工控系統專用防火墻產品應用領域中，石油化工占比更高達76%……　　

茂名石化公司煉油中心控制室

　　21世紀是信息化時代。對石油化工等制造業而言，以震網蠕蟲為代表的木馬、病毒等對工業自動化生產安全帶來了極大威脅，因此工業控制系統的安全成為信息化時代企業安全生產的重中之重。調查報告顯示，在工業信息安全產品應用領域中，石油化工占比最多，達34%，其中油氣占13%、石化占11%、化工占10%;而在工控系統專用防火墻產品應用領域中，石油化工占比更高達76%，其中油氣占25%、石化占37%、化工占14%。那么，目前我國石油和化工行業工業控制系統安全現狀如何?面臨的安全挑戰有哪些?我們又該如何應對?對此，記者進行了深入采訪。

　　工控系統安全不容忽視

　　國家網絡與信息安全技術研究所副所長許俊峰指出，保護工控系統之所以引起高度重視，是因為工控安全所面臨的風險有急劇擴大的趨勢。最初的工控系統，被設計為獨立封閉的系統，其安全風險主要是設備運行的穩定、操作合理性等問題。但是，隨著系統規模及相應系統的融合，商用管理軟件也被廣泛使用，這使得傳統互聯網中的攻擊手段可能被應用于工控系統。

　　中國科學院軟件研究所可信計算與信息保障實驗室副主任蘇璞睿也表示，工業控制系統的廣泛應用使其成為網絡攻擊的焦點。和傳統網絡相比，對工業控制系統的攻擊將對現實社會造成破壞，其破壞性更直接。未來，針對工業控制系統的攻擊將越來越頻繁，越來越普遍。震網雖然在國內尚未有發作記錄，但其潛在威脅不容忽視，它讓業內人士認識到工業控制系統面臨的安全威脅。

　　信息安全已經上升到國家戰略高度。有專家表示，目前掌握的信息都表明，震網蠕蟲的開發是一種國家行為。從其采用的技術手段而言，與其所用到的windows系統的漏洞或工控系統的漏洞是普通的個人或一般網絡黑客組織所不具備的。而對安全保障專家而言，震網也是目前網絡戰最成功、最典型的代表。其原理是通過蠕蟲在互聯網傳播，不需要借助特工，通過病毒自由傳播、搜集目標進行攻擊。雖然其研發成本很高，但攻擊成本很低且較易實現。

　　海天煒業總經理劉安正以公司自身的發展舉例說，在自動化系統運維過程中可以發現，信息安全問題已經愈來愈嚴重。有的企業影響了生產，造成了停車；有的企業雖然沒有影響停車，但生產安全穩定運行已經存在極大的隱患。據劉安正介紹，大型流程工業的工控系統很多中過病毒，此前已發生過某煉化壓縮機速度異常降低、某石化芳烴裝置中蠕蟲病毒、某煉化公司硫黃裝置因類似原因停車等多起事故。

　　因此，兩化融合下的信息安全隱患應予以重視。齊魯石化公司勝利煉油廠自動化信息所所長王永昌認為，隨著石化行業信息化的不斷深入、精細化管理的需求，特別是智能工廠的即將實施，都離不開及時了解現場信息，管控結合就成為必然趨勢，DCS控制系統與外界不再隔離。控制網絡和信息網絡之間廣泛采用OPC通信技術。此外，先進過程控制(APC)也需要OPC技術建立通訊。

　　然而，目前常用的OPC通訊隨機使用1024~65535中的任意端口，采用傳統IT防火墻進行防護配置時，被迫需要開放大量端口，形成嚴重的安全漏洞；同時，OPC的訪問權限過于寬松，任意網絡中的任意計算機都可以運行OPC中的服務；且OPC使用的Windows的DCOM和RPC服務極易受到攻擊。普通IT方后勤無法實現工業通訊協議的過濾，網絡中某個操作站/工程師站感染病毒，會馬上傳播到其他計算機，造成所有操作站同時故障，嚴重時可導致操作站失控甚至停車。

　　王永昌表示，僅靠目前現有的安全防護措施，已經不能滿足石油化工行業信息安全的需求。他告訴中國化工報記者，2010年4月23日，齊魯石化SSOT裝置四臺操作站同時報警，連接不到服務器，同時發現服務器運行速度非常慢，無法正常關機重啟，斷電重啟后服務器及各操作站運行正常。此后幾天連續出現反復，并造成數據丟失。技術人員在對各服務器、操作站系統打補丁時發現了病毒。“采用傳統的黑名單方式進行病毒和攻擊阻斷，會產生滯后，勢必對生產造成影響，而且要持續對病毒庫進行更新，所以企業希望有一種更好的防護方式。”王永昌說。

　　工控信息安全技術須自主

　　許俊峰認為，就國內而言，由于工控產品被幾個國際寡頭控制，國內中高端設備主要依賴進口，這進一步激化了國內工業安全風險。在此背景之下，國內眾多的科研院所、企事業單位均開展了工控安全的研究工作。

　　工業和信息化部電子科學技術情報研究所副所長李新社指出，只有開發具有自主知識產權的工控信息安全防護核心產品，才能擺脫工控系統安全產品受制于人的局面。

　　同時，李新社表示，工業信息安全已經成為國家的戰略需求。震網病毒只是我們所知的案例之一，事實上，與工控系統相關聯的潛在威脅仍然有很多，所有的工業控制基礎設施都面臨著信息安全威脅。

　　李新社認為，工控系統安全不僅是國家關鍵設施穩定運行的保障，也是我國工業長期健康可持續發展的核心競爭力之一。“今天，新工業革命的浪潮正在到來。大家都在說工業4.0、工業互聯網、智慧工廠、互聯企業……這些新的概念提出的同時也預示著一個個重要的安全隱患的存在。當我們進一步利用數字化、信息化對工業基礎設施進行控制的時候，面臨的威脅就越來越大。”李新社表示，防火墻的產品首先面臨的是物理的防護，而更重要的是要考慮其心臟部分，即信息流在流動和控制期中間所面臨的安全威脅，這樣的威脅是看不見的。

　　據悉，習近平主席在最近的幾次講話中連續多次提到了網絡安全的問題，工信部也就此提出要研發技術先進、行業領先、安全可信、自主可控的產品。此前，工信部于2010年9月發布了《關于加強工控安全系統信息安全》的通知，明確了工控系統安全與領導組織機構、技術保障、規章制度等方面的要求。2012年，發改委信息安全專項也將工業防火墻列為重點支持領域，為海天煒業新一代工業防火墻的誕生提供了重要的經費、政策支持。

　　歐美發達國家一直將具有重要戰略意義的工業控制系統融入到國防規劃之中。自“9·11”以來，工控安全已經日益成為反恐和國土安全的研究核心。2010年5月，美國成立網絡戰司令部，將對傳統基礎設施的攻擊能力作為國家網絡戰的重要作戰能力之一。美國中央情報局(CIA)局長萊昂·帕內塔2011年2月10日稱，電網系統“代表了未來的戰場”。相比而言，國內對該領域的研究起步較晚。直至伊朗震網病毒的發現，中國才從政策層面和行業層面開展工控安全的排查。

　　工控系統未來走向何方

　　目前我國工控系統呈現出哪些發展趨勢?

　　對此，蘇璞睿從“攻擊者”和“防護者”的視角解讀了目前工業控制系統的發展趨勢。他認為，從“攻擊者”的視角看，工控系統發展主要有三大趨勢。

　　一是從定制化向通用平臺的轉變。早期工業控制系統針對特定應用需求研發，各系統之間的軟硬件產品通用性差;反觀現有控制系統，其集成化程度越來越高，越來越多地采用通用的軟硬件產品(芯片、操作系統等)。

　　二是純硬件向軟硬結合的轉變，這降低了攻擊工控系統的技術門檻。早期的工業控制系統主要依賴硬件實現，系統可擴展性差，現有控制系統在通用硬件計算平臺基礎上，大量采用軟件方式實現；網絡攻擊的實施在某種程度上也是在原有系統平臺上擴展實現新的功能，工業控制系統的可擴展性也決定了其攻擊實現的難易程度。

　　三是單一設備控制向網絡互聯的轉變。早期的工業控制系統主要在單一、獨立的設備中實現，現在的工業控制系統則將大量設備互聯，工業控制系統甚至與互聯網相連，系統越來越復雜;同時網絡互聯使系統暴露更多的漏洞，為攻擊的實現提供了更多潛在的技術渠道，也為攻擊造成大規模破壞提供了條件。

　　而從“防護者”的視角看，工控系統的發展同樣有三大趨勢。

　　一是高穩定性要求帶來的系統技術陳舊。蘇璞睿表示，工業控制系統對系統的穩定性有很高的要求，一般情況下，一套系統建設完成之后，系統內的設備、平臺不會輕易地做更新換代，造成當下很多的共控制系統仍在采用Dos、Windows XP等操作系統平臺;而對于已發現的安全漏洞若無法充分地驗證，評估補丁程序對控制系統穩定性的影響，企業也會更傾向于選擇不打補丁。“不會像個人電腦一樣，下載補丁后立刻打上。”他說，“在這種條件下，如何保障信息系統安全穩定運行，是個很有難度的事情。”

　　二是高實時性要求帶來的防護系統性能挑戰。“互聯網中我們也很強調性能，但跟工業控制系統相比就是小巫見大巫了。”蘇璞睿表示，工業控制系統對系統的實時響應要求是普通互聯網無法比擬的，因此也對各類防護系統提出了更高的性能要求。這造成一系列復雜的、智能化的分析、檢測算法都無法滿足工業控制系統的安全防護要求，限制了防護方法的應用。

　　三是高可靠性要求帶來的檢測高準確性目標。工業控制系統同時具有高可靠性要求，這樣也要求防護系統的分析檢測結果要具有明確的確定性，從而造成當前基于模糊匹配、聚類分析等智能算法的入侵檢測、計算機免疫等各類模糊檢測方法無法應用。

　　如何應對工控信息安全挑戰

　　面對工控安全新趨勢及挑戰，石油和化工企業如何應對?為此，蘇璞睿也給出了三條建議。

　　首先，建立以可信計算為核心的安全防護技術體系。蘇璞睿指出，可信計算是解決工業控制系統安全問題的重要思路之一，在解決工業控制系統安全方面具有獨特的優勢。

　　一是相對穩定的環境更有利于可信計算技術的應用。工控系統中設備、系統、應用、業務均較為穩定、單一，沒有頻繁的更新;同時也可根據業務環境，執行更嚴格的安全策略，適合可信計算的應用模式。

　　二是非黑即白的防御策略具有更好的檢測確定性。可信計算根據安全策略，允許運行執行代碼才能運行，具有明確的結果確定性。

　　三是核心算法簡單保證了良好的防護性能。與各類復雜的智能算法相比，可信計算技術算法簡單、運行效率高，可更好地滿足工業控制系統的實時性要求，實現可信、可控、可管的目標。

　　同時，蘇璞睿表示，安全沒有一個放之四海皆行的解決方案。不同行業面臨不同的安全威脅，因此，要針對不同的威脅制定不同的解決方案。如國家重要基礎設施面對的主要是國家級、有組織的對抗破壞，其造成的危害直接影響到國家安全;普通商業型企業面對的主要是一些競爭對手或經濟犯罪的干擾破壞，其造成的危害主要是影響到企業的發展和商業利益。此外，不同的行業也具有不同的業務背景。工業控制系統具有較為獨立的業務模擬、專有協議、專有數據格式等特殊性，需要針對不同行業建立有針對性的防護策略，研發有針對性的防護技術手段，提高工業控制系統安全防護能力。“最具有針對性的安全解決方案才是最有效的。”他說。

　　其次，加強國家基礎設施中系統和產品的安全性檢測。蘇璞睿指出，國家基礎設施和普通企業生產系統相比，具有更高的安全需求，但我國在現階段仍不可避免地需要采用國際各類產品。同時，現有的安全檢測技術手段主要面向傳統計算機網絡，而工業控制系統中大量采用嵌入式系統或其他專用計算平臺，檢測技術手段較為薄弱。

　　最后，建立專用測試驗證環境，加強聯合技術攻關。蘇璞睿解釋說，工業控制系統具有其自身的獨特性，建立專用測試驗證環境是開展深入研究工作的前提和基礎。這是理論方法體系研究的需要，也是技術產品測試驗證的需要，同時也是系統集成與評估的需要。同時他表示，工業控制系統安全與傳統計算機網絡安全有一定的共性，也有一定的特殊性，應加強兩方面團隊的聯合，推動研究的深入。