工業(yè)控制系統(tǒng)——工業(yè)信息化中的“神經(jīng)中樞”

在工業(yè)信息化中，用“神經(jīng)中樞”來類比工業(yè)控制系統(tǒng)的作用，是十分恰當?shù)?。隨著計算機網(wǎng)絡技術(shù)的推廣，特別是工業(yè)互聯(lián)網(wǎng)的興起，一直以來被認為相對封閉、專業(yè)和安全的工業(yè)控制系統(tǒng)不斷開放，已不再是一個孤島，對其發(fā)起信息攻擊不僅可能，而且門檻越來越低。由于工業(yè)控制系統(tǒng)與執(zhí)行機構(gòu)是實時聯(lián)動的，對工業(yè)控制系統(tǒng)虛擬的信息攻擊，可以直接轉(zhuǎn)化為現(xiàn)實的物理行為，很快形成對整個工業(yè)系統(tǒng)乃至社會的巨大破壞力。

黑客、不法組織、甚至國家層面的網(wǎng)絡戰(zhàn)，都紛紛把工業(yè)控制系統(tǒng)作為信息攻擊目標。據(jù)統(tǒng)計，截至2010年10月，全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件，尤其是2001年后，針對工業(yè)控制系統(tǒng)的攻擊事件呈大幅度增長趨勢。1986年前蘇聯(lián)的天然氣管道爆炸和2010年的震驚全球的伊朗核電站“震網(wǎng)”病毒事件，就是國家層面攻擊的典型例子。

隨著我國工業(yè)與信息化融合的推進，工業(yè)控制系統(tǒng)規(guī)模已經(jīng)擴展到國家關(guān)鍵基礎(chǔ)設施行業(yè)（如交通、水電、油氣、國防等），成為其重要組成部分。工業(yè)控制系統(tǒng)一旦遭到信息攻擊或破壞，其影響不僅是控制系統(tǒng)性能下降、控制能力喪失，而且將造成人員傷亡、環(huán)境災難，甚至會危及公眾生活和國家安全，導致國家的戰(zhàn)略被動、受制于人。工業(yè)控制系統(tǒng)信息安全關(guān)乎經(jīng)濟發(fā)展、社會穩(wěn)定、國家安全、公眾利益，是工業(yè)與信息化融合中應該特別關(guān)注的問題。

我國工業(yè)控制系統(tǒng)信息安全技術(shù)研究基礎(chǔ)薄弱

工業(yè)控制系統(tǒng)出現(xiàn)的時間要早于互聯(lián)網(wǎng)，傳統(tǒng)的工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議，安全設計規(guī)范要求以抗物理攻擊為主，基本沒有或很少考慮互聯(lián)互通所產(chǎn)生的信息安全問題。隨著互聯(lián)網(wǎng)技術(shù)的出現(xiàn)與商業(yè)運用，低成本的基于IP協(xié)議的設備開始逐步取代以往的專用解決方案，為提高工業(yè)控制系統(tǒng)與各種業(yè)務系統(tǒng)的互聯(lián)和遠程訪問的能力，工業(yè)控制系統(tǒng)也開始采用信息系統(tǒng)解決方案，導致工業(yè)控制系統(tǒng)信息安全脆弱性和隱患增大。

從2002年起，美國就開始重視工業(yè)控制系統(tǒng)信息安全問題，由國土安全部和能源部牽頭，以石油化工、電力等能源行業(yè)為重點，在工業(yè)控制系統(tǒng)安全領(lǐng)域進行了大量的工作，已形成相對完整的工業(yè)控制系統(tǒng)信息安全管理體制和技術(shù)體系。美國相繼提出了《工業(yè)控制系統(tǒng)安全指南》、《聯(lián)邦信息系統(tǒng)和組織的安全控制推薦》、《系統(tǒng)保護輪廓——工業(yè)控制系統(tǒng)》、《智能電網(wǎng)安全指南》、《中等健壯環(huán)境下的SCADA系統(tǒng)現(xiàn)場設備保護概況》、《提高SCADA系統(tǒng)網(wǎng)絡安全21步》、《中小規(guī)模能源設施風險管理核查事項》、《控制系統(tǒng)安全一覽表：標準推薦》、《加強SCADA系統(tǒng)及工業(yè)控制系統(tǒng)的安全》等一系列國家指南；推出了《北美大電力系統(tǒng)可靠性規(guī)范》、《核設施網(wǎng)絡安全措施》、《美國化工設施反恐標準》、《SCADA通信的加密保護》、《管道SCADA安全》和《石油工業(yè)安全指南》等行業(yè)標準規(guī)范。

美國國土安全部聯(lián)合國防、能源、交通、外交等14個國家直屬部委，2009年推出了《國家關(guān)鍵基礎(chǔ)設施保護計劃》最新的修訂版，提出了一個針對國家關(guān)鍵基礎(chǔ)設施的風險管理框架；2010年，國土安全部和能源部聯(lián)合發(fā)布的《能源領(lǐng)域關(guān)鍵基礎(chǔ)設施保護計劃》，制定了能源領(lǐng)域工業(yè)控制系統(tǒng)安全保障路線圖，提出在10年內(nèi)完成對工業(yè)控制系統(tǒng)設計、安裝、操作和維護等環(huán)節(jié)的信息安全防護工作。在技術(shù)研究方面，美國國土安全部制定了專門的工業(yè)控制系統(tǒng)安全計劃，形成了由國家職能部門協(xié)調(diào)管理、國家級專業(yè)隊伍、實驗室和科研機構(gòu)提供技術(shù)支撐、用戶及廠商共同參與的技術(shù)研究體系，并依托模擬仿真平臺，綜合現(xiàn)場檢查測評與實驗室測評建立了工業(yè)控制系統(tǒng)信息安全測評體系。2005年，美國能源部建設并完成了關(guān)鍵基礎(chǔ)設施測試靶場，制定了國家SCADA測試床計劃。美國國土安全部下屬的工業(yè)控制系統(tǒng)應急響應小組(ICS-CERT)同聯(lián)邦計算機安全事件應急響應小組(US-CERT)協(xié)作，以工業(yè)控制系統(tǒng)安全為關(guān)注點，開展了大量的安全測評技術(shù)工作。

俄羅斯、英國、德國、法國、日本、韓國等國家均將關(guān)鍵基礎(chǔ)設施中的工業(yè)控制系統(tǒng)作為網(wǎng)絡安全戰(zhàn)略重點，但這些國家尚未形成比較成熟的指南、準則和法規(guī)，且在相關(guān)技術(shù)支撐方面還比較匱乏。伊朗核電站事件對歐盟的工業(yè)控制系統(tǒng)信息安全敲響了警鐘，2011年底，歐盟專門出版了一份名為《保護工業(yè)控制系統(tǒng)》的?？瑢I(yè)控制系統(tǒng)信息安全進行了全面、系統(tǒng)的介紹。

2011年10月，我國工信部發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，標志我國在工業(yè)控制系統(tǒng)信息安全領(lǐng)域掀開了新的篇章，但是我國工業(yè)控制系統(tǒng)信息安全技術(shù)研究基礎(chǔ)目前還十分薄弱，工業(yè)控制系統(tǒng)信息安全技術(shù)研究尚未起步。

工業(yè)控制系統(tǒng)信息安全的技術(shù)特色和挑戰(zhàn)

工業(yè)控制系統(tǒng)信息安全的目標是：保證工業(yè)控制系統(tǒng)長時間、無間斷的穩(wěn)定、可靠運行。工業(yè)控制系統(tǒng)信息安全技術(shù)自身具有顯著的技術(shù)特點，傳統(tǒng)的信息安全技術(shù)不能直接應用于工業(yè)控制系統(tǒng)。工業(yè)控制系統(tǒng)信息安全的技術(shù)特色主要體現(xiàn)在：

（1）需求上強調(diào)可用性、系統(tǒng)上強調(diào)實時性

傳統(tǒng)的信息安全要求實現(xiàn)保密性、完整性和可用性三大目標，工業(yè)控制系統(tǒng)信息安全則需要在協(xié)調(diào)實現(xiàn)這三大目標的基礎(chǔ)上，突出系統(tǒng)的可用性。工業(yè)控制系統(tǒng)面臨的威脅可分為兩種：系統(tǒng)威脅（工業(yè)控制系統(tǒng)作為一個信息系統(tǒng)所面臨的威脅）和過程威脅（工業(yè)控制作為一個過程所面臨的威脅）。系統(tǒng)威脅的防御可借鑒傳統(tǒng)的信息安全成熟解決方案，但過程威脅的防御則要強調(diào)系統(tǒng)可用性的保證，即在工業(yè)控制系統(tǒng)遭受攻擊時，對控制過程的影響不干擾控制任務的執(zhí)行。

工業(yè)控制系統(tǒng)信息安全防御系統(tǒng)既要保證系統(tǒng)安全和過程安全，也要保證對工業(yè)控制系統(tǒng)運行的可靠性和穩(wěn)定性不產(chǎn)生影響，在設計與實現(xiàn)上，信息安全防御系統(tǒng)需強調(diào)實時性，在安全防御機制以及體系構(gòu)建上需探索新的技術(shù)途徑。

（2）環(huán)境需要嚴格界定、行為需要嚴格規(guī)范

與傳統(tǒng)的網(wǎng)絡系統(tǒng)相比，工業(yè)控制系統(tǒng)的工作環(huán)境相對獨立，系統(tǒng)的工作流程相對清晰，其信息安全保障是一個針對特定環(huán)境和特定控制流程的防御過程。為提高信息安全防御系統(tǒng)的效能，安全監(jiān)控應建立在對工業(yè)控制系統(tǒng)的環(huán)境界定、環(huán)境規(guī)范和行為規(guī)范等的基礎(chǔ)上。

（3）任務保障是防御重點、在線監(jiān)控是基本要求

工業(yè)控制系統(tǒng)信息安全的最終目標是：即使是在遭受惡意攻擊的情況下，也要保障控制任務的連續(xù)、可靠、成功執(zhí)行。面向任務保障的“前沿防御(Defensein-Breadth)”是工業(yè)控制系統(tǒng)信息安全防御設計的理念，即在任務執(zhí)行的網(wǎng)絡空間與時間范圍內(nèi)，通過保證任務關(guān)鍵信息能力、相關(guān)重要信息組件和關(guān)鍵操作行為，來確保工業(yè)控制任務的安全可靠完成。

工業(yè)控制系統(tǒng)所面對的是內(nèi)網(wǎng)環(huán)境，在其安全威脅模型中需假設任何一個終端、用戶和網(wǎng)絡都是不安全和不可信的，需要通過對所有組成節(jié)點和參與者的細致管理，實現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡的可管理、可控制和可信任。工業(yè)控制系統(tǒng)信息安全防御體系的建設應該更多的關(guān)注安全監(jiān)控技術(shù)的發(fā)展，建立觀察、判斷、決定和行動的循環(huán)（即OODA循環(huán)），從而形成監(jiān)控過程的信息優(yōu)勢，實現(xiàn)對安全事件的事前和事中的在線監(jiān)控。

（4）軟件安全是核心技術(shù)、平臺測試是基本保障

軟件的安全缺陷或漏洞是工業(yè)控制系統(tǒng)產(chǎn)生信息攻擊的焦點，針對工業(yè)控制平臺、系統(tǒng)和軟件的安全缺陷發(fā)現(xiàn)技術(shù)研究應該予以加強。測試是技術(shù)研究、系統(tǒng)開發(fā)與體系運行的反饋環(huán)節(jié)，測試水平關(guān)系到技術(shù)研究的水平和系統(tǒng)設計的品質(zhì)，工業(yè)控制平臺、系統(tǒng)的測試與評估技術(shù)發(fā)展應引起充分的重視。

工業(yè)控制系統(tǒng)信息安全技術(shù)挑戰(zhàn)主要體現(xiàn)在：

（1）建立在該領(lǐng)域的話語權(quán)和主導權(quán)

工業(yè)控制系統(tǒng)信息安全是制約工業(yè)信息化發(fā)展的重大“瓶頸”問題，對我國工業(yè)信息化具有全局性影響。我國應該堅持以我為主，盡快開展自主、可控技術(shù)研究，形成我們的自主技術(shù)優(yōu)勢和體系特色，建立工業(yè)控制系統(tǒng)信息安全方面的話語權(quán)和主導權(quán)。

（2）拿來主義的技術(shù)發(fā)展道路走不通

從技術(shù)上講，工業(yè)控制系統(tǒng)信息安全技術(shù)具有緊迫性和創(chuàng)新性等特點，是一種在工業(yè)信息化推進過程中應該先行的主權(quán)高科技。我國工業(yè)信息化建設中，核心芯片、操作系統(tǒng)、數(shù)據(jù)庫、關(guān)鍵網(wǎng)絡設備甚至重要信息系統(tǒng)等都可以進口，但高端工業(yè)控制系統(tǒng)信息安全技術(shù)“買不到、租不成、借不來”，工業(yè)控制系統(tǒng)信息安全技術(shù)發(fā)展可以跟蹤、借鑒國外成熟的思路與模式，但不能亦步亦趨或者走拿來主義道路。

（3）亡羊補牢的技術(shù)發(fā)展模式不可取

工業(yè)控制系統(tǒng)對運行的高連續(xù)性、高可靠性要求，決定了工業(yè)控制系統(tǒng)信息安全技術(shù)的發(fā)展必須加強系統(tǒng)規(guī)劃和頂層設計，努力提高技術(shù)的可靠性與穩(wěn)定性，亡羊補牢的技術(shù)發(fā)展模式不可取。

加快我國工業(yè)控制系統(tǒng)信息安全工作發(fā)展步伐

我們可以欣喜地看到，2014年2月，以習近平總書記為組長的中央網(wǎng)絡安全與信息化領(lǐng)導小組正式成立，把我國網(wǎng)絡安全與信息化整體推進到一個新的發(fā)展階段，也為工業(yè)控制系統(tǒng)信息安全營造了一個快速發(fā)展的大環(huán)境。自2011年工信部下發(fā)《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》以來，我國在工業(yè)控制系統(tǒng)信息安全方面開展了許多富有成效的工作：

（1）國家信息安全漏洞共享平臺開始重點關(guān)注工業(yè)控制系統(tǒng)信息安全漏洞，工業(yè)控制系統(tǒng)的信息安全也被納入到我國信息安全等級保護制度中；

（2）2014年4月，由24家自動化主流企業(yè)及相關(guān)科研院所、單位，共同發(fā)起組建的“工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟”正式成立；

（3）鋼鐵、化工、石油石化、電力、天然氣、鐵路、城市軌道交通、民航等行業(yè)都非常重視這一問題，組織了專門的技術(shù)力量開展研究；

（4）相關(guān)的IT公司紛紛關(guān)注自主知識產(chǎn)權(quán)的工業(yè)控制系統(tǒng)信息安全產(chǎn)品開發(fā)和市場化工作。

（5）……

這些工作將在體系建設、等級保護、風險評估、標準制定、產(chǎn)品開發(fā)和評測等方面，極大地推進我國工業(yè)控制系統(tǒng)信息安全的實質(zhì)發(fā)展，促進工業(yè)控制系統(tǒng)信息安全產(chǎn)品的國產(chǎn)化及產(chǎn)業(yè)發(fā)展，對保障關(guān)鍵基礎(chǔ)設施安全穩(wěn)定運行、支撐我國工業(yè)健康可持續(xù)發(fā)展具有重要意義。

工業(yè)是一個國家競爭力的核心，捍衛(wèi)工業(yè)控制系統(tǒng)信息安全是國家安全的戰(zhàn)略必爭。工業(yè)控制系統(tǒng)信息安全體系建設是一項復雜的系統(tǒng)工程，我們應該發(fā)揮社會主義制度“集中力量辦大事”的優(yōu)勢，采用“提高認識、體系規(guī)劃，突出重點、強調(diào)自主，面向能力、創(chuàng)新研究，軍民融合、以民為主”原則，通過頂層設計、加強統(tǒng)籌規(guī)劃、攻克核心技術(shù)、系統(tǒng)協(xié)調(diào)實施。為把握工業(yè)控制系統(tǒng)信息安全技術(shù)發(fā)展的機遇，我國應該從國家層面，盡快組織攻克并開發(fā)自主、可控的工業(yè)控制系統(tǒng)信息安全高端技術(shù)。這項工作如果抓晚了，我們則會處于戰(zhàn)略被動，而且這種局面一旦形成，要想重新贏得主動，投入將會更大，也難于再起。

（1）盡快啟動“國家工業(yè)控制系統(tǒng)信息安全科技行動計劃”，開展頂層設計、整體規(guī)劃，建立統(tǒng)一、協(xié)調(diào)的國家信息安全指揮管理、技術(shù)防御和監(jiān)督管理科技協(xié)調(diào)機制，形成平戰(zhàn)結(jié)合、軍民融合的工業(yè)控制系統(tǒng)信息安全技術(shù)支撐體系。

（2）整合現(xiàn)有科技資源，制定“國家工業(yè)控制系統(tǒng)信息安全科技行動計劃”實施方案，圍繞我國工業(yè)控制系統(tǒng)信息安全保障整體能力的提高，開展信息安全防護體系、軟件安全、環(huán)境與行為規(guī)范、安全監(jiān)測與評估、安全柔性工程等核心關(guān)鍵技術(shù)研發(fā)、支撐平臺建設和相關(guān)標準制定。

（3）加強工業(yè)控制系統(tǒng)信息安全的影響、技術(shù)對策與技術(shù)手段研究，結(jié)合我國工業(yè)控制系統(tǒng)的特點，開展工業(yè)控制系統(tǒng)信息安全戰(zhàn)略、法規(guī)與標準研究，形成包含技術(shù)、管理、法規(guī)等各層次的系統(tǒng)解決方案與措施。

（4）系統(tǒng)開展工業(yè)控制系統(tǒng)風險測評與攻防對抗技術(shù)研究，建立國家測試靶場與模擬仿真平臺，形成攻防演練機制，制定相應的技術(shù)標準與規(guī)范。

（5）加強以基地、聯(lián)盟、平臺、人才等為內(nèi)容的工業(yè)控制系統(tǒng)信息安全技術(shù)創(chuàng)新體系建設，研究制定推動工業(yè)控制系統(tǒng)信息安全發(fā)展的產(chǎn)業(yè)技術(shù)政策。

（6）結(jié)合不同行業(yè)信息化建設、工程實施與運行，開展“面向行業(yè)的工業(yè)控制系統(tǒng)信息安全保障重大工””項目，以項目為牽引，開展自主、可控核心關(guān)鍵技術(shù)的工程示范與應用，將工業(yè)控制系統(tǒng)信息安全管控前移與集中，加強行業(yè)工業(yè)控制系統(tǒng)信息安全內(nèi)控能力建設。