刚刚结束的第二届国家网络安全宣传周及与此相关的各地活动再次让网络安全进入到全国人民的视线,一些专门针对工控信息安全的活动也在此期间举行。
宣传周启动仪式上公布的《我国公众网络安全意识调查报告(2015)》显示,我国人民网络安全意识不容乐观。而与此类似,普通民众不太熟悉的工控信息安全形势亦不佳,甚至更加紧迫,因为它面临的不是个人的财产损失,而是可能涉及人身伤害或巨大社会、经济影响。
安全隐患绝非危言耸听
工控系统被广泛应用于冶金、电力、石油石化、核能等工业生产领域,以及航空、铁路、公路、地铁等公共服务领域,超过80%的涉及国计民生的关键基础设施依靠工控系统来实现自动化作业。假如黑客攻击了其中的某处网络控制系统,可能造成此处区域的电力瘫痪、整座城市交通信号灯紊乱、工厂停运甚至爆炸等严重后果,由此造成的社会恐慌和经济损失不可想象。这绝不是危言耸听,近年来,在世界各地已经有类似的现象发生。
2015年1月9日,恶意软件攻击了德国钢铁企业的熔炉控制系统,让钢铁熔炉无法正常关闭;2014年6月23日,芬兰信息安全厂商F-secure曝光了一种专门针对ICS/SCADA系统的恶意软件Havex,它有能力禁用水电大坝、让核电站过载,已经有黑客利用它攻击了欧美能源行业工控系统;2013年dragonfly蜻蜓组织制造了多起针对工控系统的网络安全事件,全球1018座发电站感染此类程序;2012年Flame恶意软件专门针对石油工业收集数据,在中东和北非地区大范围传播;2011年出现变种Duqu木马专门破坏工控系统;2010年的震网病毒在全球造成巨大影响,并对实体设施造成严重损坏,曾造成伊朗核电站推迟发电数月,感染了全球超过4.5万个网络……
随着工业与信息化融合深度推进,以太网正在逐渐取代传统总线。在工控系统中应用越来越广泛。与传统总线相比,工业以太网实时性好,承载的上层应用越来越多。与此同时,以往相对封闭的工控系统也逐渐采用通用的通信协议、硬软件系统,部分工控系统也能够以某些方式连接到互联网等公共网络,越来越多的工控系统暴露于互联网上,给工控系统带来前所未有的安全隐患。
“如今工控信息安全形势越来越严峻。自2010年后,全球网络漏洞及工控事件快速增长,其中出现问题最多的就是能源行业,其次是关键制造业,还有供水、交通、核工业等。在这些事件的背后,我们看到的是大国的身影,带有强烈的政治目的。”东土科技安全产品经理陈东华告诉记者,但与此同时,我国的工控信息系统国产化率却非常低,如大型PLC中国产品牌只占1%,DCS中国产品牌占的46%等,而且现有工控信息安全防护工作也做得并不完美。
据专家介绍,由于大部分工控系统在设计之初主要关注实时性和可用性,几乎没有考虑如何防御攻击,安全防护成为它的天然缺陷;而且国产化率低则意味着大部分工控产品的维护全靠国外力量,一旦出了问题就要受制于人;同时,我国缺少工控系统信息安全仿真验证环境,工业控制系统多为实时在线系统且影响重大,不易进行安全故障分析排查、产品检测和替换、解决方案验证等工作的开展;我国安全意识也有待提高,如新疆自治区经信委自2012年以来连续3年对乌鲁木齐市城市供水供气供热、公共交通和自治区部分国有重点工业企业的重要工控系统开展抽查中发现,管理能力薄弱,重视程度不够,多数单位没有编制信息安全应急预案,缺乏应急处置能力。
大市场蕴含其中
随着云计算大规模应用,移动互联网市场蓬勃发展,以及大数据时代的到来,网络安全越来越被提升至国家战略层面,工业控制系统安全也已成为国家安全竞争的重要内容。
近年来,我国军工、石油石化、核电水电等重点行业工业控制系统安全防护问题得到了高度重视。国家陆续出台了多项促进工控系统信息安全的政策和法规,包括2014年12月发布的《工业控制系统信息安全》国家标准以及此前发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》、《关于加强工业控制系统信息安全管理的通知》等。发改委还专门设立了工业控制系统信息安全专项课题,鼓励企业开展相关产品研究,并力争实现产业化发展。
“历史欠账”以及新兴需求正在使工控信息安全领域成为很多企业眼中的“香饽饽”。今年以来,就已经有多家企业进入这一领域。包括启明星辰、航天科工、绿盟科技等。
工控安全这一一度被人们所忽视的角落正在由于广阔的发展潜力变得金光闪闪。
“工控安全在近几年逐渐受到重视,启明星辰也从几年前开始从攻防角度进行了相关的产品与技术积累。但从市场角度而言,我们认为工控安全在近两年才开始进入发展阶段。目前整个市场还处于市场预热的阶段,我们预计这一市场近两年之内会有较大、较快的增长势头。”启明星辰副总裁徐刚表示。
陈东华与他的观点类似。据他介绍,中国信息安全的市场总容量很大,2013年数据统计为194亿元,其中工业信息安全市场容量在23.28亿元,而这其中工控系统信息安全容量仅为2亿元左右。这一市场中占比最大的是电力市场,石油化工占比第二,其他还包括冶金、烟草、煤矿等。
“工控系统信息安全市场虽然小但增长非常迅速,预计2016、2017年将迎来一个爆发性的增长。其中石油化工、制造业等工控领域还有非常大的增长空间。”他说。