为了提高生产率和生产的灵活性,工业自动化控制系统正逐渐从封闭、孤立的系统转化为开放互联,工业自动化生产开始在所有网络层次上横向与垂直集成;将工业自动化控制网络与IT网络相连,以及为实现远程维护与Internet连接;越来越多地采用开放标准以及基于PC的系统。无疑工业自动化生产领域在享受开放、互联技术带来的技术进步、生产率提高与竞争实力大大增强的利益的同时,也面临着越来越严峻的信息安全挑战。如果说2010年9月,“震网”病毒攻击伊朗核电站工控系统,给全球工业界控制系统的信息安全问题敲响了警钟,那么2011年11月,在拉斯维加斯举行的黑客大会上,对于如何进攻中国重要基础行业正在使用的工控系统的演示无疑进一步表明了我国工控系统信息安全所面临的紧迫形势。
对于工业控制系统来说,其信息传输具有特殊性,工业控制系统的信息安全不仅可能造成信息的丢失,还可能造成工业过程生产故障的发生,从而造成人员损害及设备损坏,其直接的经济损失是巨大的,甚至有可能引起环境问题与社会问题。2011年10月,工信部印发《关于加强工业控制系统信息安全管理的通知》,明确提出:“重点加强核设施、钢铁、有色、化工、石油石化、电力、天然气、先进控制、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统信息安全管理,落实安全管理要求。2014年2月正式设置的中央网络安全和信息化领导小组也将工业领域信息安全问题列为工作重点。
正是在这样的背景下,“工业控制系统信息安全产业联盟平台”应运而生,2014年3月15日,工业控制系统信息安全产业联盟平台成立筹备会暨第一次工作会议在京召开。
“工业控制系统信息安全产业联盟平台”由从事工业控制系统信息安全相关研究、测评、标准制定、产品研发以及行业用户等20多家单位共同发起,以“搭建政府、用户、企业、科研院所、大专院校之间的交流平台,发挥纽带与桥梁作用,共同推进我国工业控制系统信息安全产业发展,保障关键基础设施安全稳定运行,支撑中国工业健康可持续发展”为宗旨,致力于为我国工业控制系统信息安全在体系建设、等级保护、风险评估、标准制定、产品开发和评测等方面迅速有效地取得积极成效而搭建一个交流平台。
发起单位代表以及第一届理事会成员逾50人出席此次会议,就当前我国工业控制系统信息安全产业形势、发展趋势以及联盟平台工作重点展开热烈讨论。
工业是国家关键基础设施的重要成部分,工业控制系统的安全关系到家的战略安全。当前,工业控制信息、三网融合、物联网、云计算在内的种新型信息技术的发展与应用,给工控制系统信息安全保障工作提出了新务、新挑战,工业控制系统的安全问不容忽视。就是在这样的背景下,我们成立了“工业控制系统信息安全产业联盟平台”,旨在搭建政府、用户、企业、科研院所、大专院校之间的交流平台,发挥纽带与桥梁作用,共同推进我国工业控制系统信息安全产业发展,保障关键基础设施安全稳定运行,支撑中国工业健康可持续发展。
作为联平台盟成员之一,和利时愿意与在座的同行、专家在研究方面积极合作,包括标准的研究、测试方法的研究、产品开发的研究等等;和利时所从事的行业非常广泛,包括轨道交通、电力、石化、化工等等,我们愿意在控制系统基础之上,增加一些功能安全和信息安全的产品为联盟平台内的同行的信息安全产品,提供应用机会。
工信部电子科学技术情报研究所作为相关的政府主管部门提供了决策支撑的服务机构,完成了大量的工业控制信息安全情报的研究工作,开展了全国工业系统的基本调查工作,基本掌握了我国工业控制系统的情况,尤其是工业控制系统的安全情况,开展了工业控制系统和中国信息系统的信息安全风险通报评估工作。在未来,我们会积极地配合产业联盟平台的工作,积极协助各个成员单位以及各个企业完成相关的科研和情报研究工作,为我们国家制定相关的工业控制系统的政策以及相关的策略做出我们自己该做的努力。
对联盟平台的未来发展提出以下几点想法:
(1)要搞清楚安全的内容和区别。安全的含义有很多种,包括信息安全、功能安全、物理安全等,所以在联盟平台今后的工作中,希望不要将这些安全的概念混淆。
(2)要摸清楚国内信息安全的现状,这一点非常重要。
(3)要建立自己的风险评估机制,分层次分轻重缓急来搞,不能盲目的一把抓。因为信息安全涉及面非常广泛,各个行业都有。我们是不是可以将系统和主系统分一下层次,风险可以分轻重缓急,将风险的发生频次和危害程度分清楚。什么样的风险可以接受,什么样的风险不可以接受。
(4)引导行业去研究应有的技术手段或将来应该有的技术方法,联盟平台可以提前做一些这方面的研究。对于一些我们无法解决却可能存在的风险,希望联盟平台可以实事求是地告诉大家,我们再共同讨论。
(5)建立标准体系和管理的协调机制共同参与,而且目标要一致。部门之间、行业之间应该建立协调机制,我们的联盟平台恰恰可以作为一个平台,做很多事情,而且要保证目标的一致性。那么我们的目标是什么呢?我认为应该是以推动企业用户健康、良性的发展为目标。
(6)建立认证体系。信息安全不同于物理安全和功能安全,信息安全必须掌握在自己的手中,而不能依靠国外的技术。这就要求我们必须建立自己的认证体系。同时要将边界条件界定好。因为工业产品是有边界的,特别是工业系统,盲目地搞一个继电器、PLC,这并不能说明系统就安全了。
(7)工业控制系统信息安全产业的发展,需要从中央到地方领导的高度重视,需要行业的重视,而这些就需要我们联盟平台的成员共同去努力,以用户接受的方法来推进产业的进步。