您當前的位置:首頁 > 新聞資訊 > 行業新聞行業新聞
我國工控系統安全防護問題及對策分析
2016-04-13 14:57:57 新聞來源:草莓視頻在線下載:深圳市澤創偉業科技有限公司
我國正處在從工業大國向工業強國的關鍵轉型發展期,工業控制系統(簡稱"工控系統")的安全保障能力是我國打造工業強國的核心競爭力之一,必須提升到戰略高度予以重視。
工控系統面臨的安全形勢日益嚴峻
我國工控系統存在嚴重安全隱患。根據綠盟科技結合美國CVE(公共漏洞和暴露)、ICS-CERT(美國國土安全部工業控制系統和計算機應急響應小組)以及中國國家信息安全漏洞共享平臺所發布的數據,截至2014年6月,共有549個與工業控制系統相關的公開安全漏洞,其中128個涉及西門子產品,占28%;46個涉及施耐德電氣產品,占10%;37個涉及研華科技產品,占8%;31個涉及GE產品,占7%。上述廠商的產品在我國工控系統中有著極為廣泛的應用,甚至部分產品在某些行業處于市場壟斷地位,我國工控系統的安全脆弱性不容忽視。
我國工控系統安全防護的三大問題
一、逆向發展過程中標準難落地。為應對工控系統的安全風險,近年來我國參考國外標準體系,制定并頒布了多項行業安全管理和技術標準,對產業的發展起到了顯著的規范和引導作用。但國外標準體系是在大量應用實踐基礎上總結而來的,我國則是先有標準,再發展滿足市場需求且成本合理的解決方案,是一個逆向發展的過程,突出的挑戰在于標準如何能夠落地,這對于安全廠商的技術能力和用戶企業的應用水平都有較高要求,需要大量經驗豐富、精通工控和安全技術的研發和應用人才。
二、工業企業應用安全解決方案過程中輕視安全管理。面對工控系統的安全隱患,用戶企業延續信息安全防護的舊思路,認為工控系統安全屬于純技術問題,要求工控系統廠商提供整改方案,或者轉向第三方廠商購買安全解決方案。但安全防護不只是技術問題,更重要的是通過流程制度對安全脆弱性進行控制,并保證人員對流程制度的堅決執行。很多情況下,安全事故的發生和關鍵信息的泄露,人的因素至關重要。如何使安全管理融入到日常管理的流程,并強化落實流程的執行,加強人員的管理,是工業企業必須認真思考和解決的問題。
三、安全廠商開發解決方案過程中忽視安全治理體系。在能源、電力等關鍵部門迫切的工控系統安全整改需求推動之下,我國工控系統安全市場快速擴大,吸引了大量傳統IT信息安全廠商的進入。工控系統安全防護是一個綜合治理體系,既強調保障工控系統的高可用性和高可靠性,還要防范安全事件可能對工業基礎設施以及人員生命安全帶來的威脅。
對策建議
借鑒德國經驗,將工控系統安全保障能力建設上升為國家戰略。一是盡快啟動現有工控系統的系統性安全評估,落實成本經濟的安全解決方案。二是把工控系統安全保障能力建設納入到制造業轉型升級戰略體系當中,同步部署,重點推進,研究制定相關發展促進政策。三是持續推進知識產權保護,加強立法和執法。
以標準為基礎,以市場為導向,支持工控系統安全技術和解決方案的研發。一是積極跟蹤并參與國際工控系統安全標準規范和認證管理等方面的工作,加深對工控系統安全標準體系和管理方法的理解,加快工控系統安全國家標準的制定。二是以市場應用為導向,切合實際需求,支持產學研單位積極研發技術自主、成本經濟的工控系統安全解決方案。三是加快培養一批全面掌握工業控制技術和相關安全技術知識的專業人才。
培育工控系統安全生態體系。一是提高工控系統安全的治理水平。二是規范工控系統安全風險和脆弱性評估市場,盡快建立統一、獨立的國家評估體系。三是加快建立基于行業的工控系統安全漏洞,形成工控系統和信息安全廠商的協同機制,加強對工控事件的監測和通報,實現漏洞信息定期更新。
加強信息安全策略體系建設和流程管理。一是要求工業企業加快制定安全管理制度,明確職責、權限,提高對工控系統安全的認識水平和重視程度。二是加強安全教育和管理培訓,督促企業落實安全管理制度,定期組織工控系統安全檢查。(來源:中國經濟時報 作者:工業和信息化部賽迪智庫 安琳)
工控系統面臨的安全形勢日益嚴峻
我國工控系統存在嚴重安全隱患。根據綠盟科技結合美國CVE(公共漏洞和暴露)、ICS-CERT(美國國土安全部工業控制系統和計算機應急響應小組)以及中國國家信息安全漏洞共享平臺所發布的數據,截至2014年6月,共有549個與工業控制系統相關的公開安全漏洞,其中128個涉及西門子產品,占28%;46個涉及施耐德電氣產品,占10%;37個涉及研華科技產品,占8%;31個涉及GE產品,占7%。上述廠商的產品在我國工控系統中有著極為廣泛的應用,甚至部分產品在某些行業處于市場壟斷地位,我國工控系統的安全脆弱性不容忽視。
我國工控系統安全防護的三大問題
一、逆向發展過程中標準難落地。為應對工控系統的安全風險,近年來我國參考國外標準體系,制定并頒布了多項行業安全管理和技術標準,對產業的發展起到了顯著的規范和引導作用。但國外標準體系是在大量應用實踐基礎上總結而來的,我國則是先有標準,再發展滿足市場需求且成本合理的解決方案,是一個逆向發展的過程,突出的挑戰在于標準如何能夠落地,這對于安全廠商的技術能力和用戶企業的應用水平都有較高要求,需要大量經驗豐富、精通工控和安全技術的研發和應用人才。
二、工業企業應用安全解決方案過程中輕視安全管理。面對工控系統的安全隱患,用戶企業延續信息安全防護的舊思路,認為工控系統安全屬于純技術問題,要求工控系統廠商提供整改方案,或者轉向第三方廠商購買安全解決方案。但安全防護不只是技術問題,更重要的是通過流程制度對安全脆弱性進行控制,并保證人員對流程制度的堅決執行。很多情況下,安全事故的發生和關鍵信息的泄露,人的因素至關重要。如何使安全管理融入到日常管理的流程,并強化落實流程的執行,加強人員的管理,是工業企業必須認真思考和解決的問題。
三、安全廠商開發解決方案過程中忽視安全治理體系。在能源、電力等關鍵部門迫切的工控系統安全整改需求推動之下,我國工控系統安全市場快速擴大,吸引了大量傳統IT信息安全廠商的進入。工控系統安全防護是一個綜合治理體系,既強調保障工控系統的高可用性和高可靠性,還要防范安全事件可能對工業基礎設施以及人員生命安全帶來的威脅。
對策建議
借鑒德國經驗,將工控系統安全保障能力建設上升為國家戰略。一是盡快啟動現有工控系統的系統性安全評估,落實成本經濟的安全解決方案。二是把工控系統安全保障能力建設納入到制造業轉型升級戰略體系當中,同步部署,重點推進,研究制定相關發展促進政策。三是持續推進知識產權保護,加強立法和執法。
以標準為基礎,以市場為導向,支持工控系統安全技術和解決方案的研發。一是積極跟蹤并參與國際工控系統安全標準規范和認證管理等方面的工作,加深對工控系統安全標準體系和管理方法的理解,加快工控系統安全國家標準的制定。二是以市場應用為導向,切合實際需求,支持產學研單位積極研發技術自主、成本經濟的工控系統安全解決方案。三是加快培養一批全面掌握工業控制技術和相關安全技術知識的專業人才。
培育工控系統安全生態體系。一是提高工控系統安全的治理水平。二是規范工控系統安全風險和脆弱性評估市場,盡快建立統一、獨立的國家評估體系。三是加快建立基于行業的工控系統安全漏洞,形成工控系統和信息安全廠商的協同機制,加強對工控事件的監測和通報,實現漏洞信息定期更新。
加強信息安全策略體系建設和流程管理。一是要求工業企業加快制定安全管理制度,明確職責、權限,提高對工控系統安全的認識水平和重視程度。二是加強安全教育和管理培訓,督促企業落實安全管理制度,定期組織工控系統安全檢查。(來源:中國經濟時報 作者:工業和信息化部賽迪智庫 安琳)