工业控制系统信息安全问题引起关注

2013/08/21 09:32中国工业报

近年来,工业控制系统及产品越来越多的与企业管理网、互联网等公共网络连接,其系统本身的漏洞也在频繁曝光,“信息安全问题越来越突出”,工业和信息化部信息安全协调司副司长欧阳武日前在工业信息安全用户高峰论坛上表示担忧。

据悉,这一论坛召开的背景是为推广工业信息安全相关的知识、产品和技术,教育并完善工业控制系统信息安全市场。会议主题是“加强信息安全管理,促进工业行业发展”。论坛由工业和信息化部电子科学技术情报研究所和工控网联合举办。

安全防护能力薄弱

会上,欧阳武用“形势严峻”来形容中国当前的工业控制系统。他说,我国工业控制系统信息安全起步相对较晚,安全防护能力比较薄弱。加快工业控制系统信息安全的制度建设,制定工业控制系统信息安全标准,以及提升工业控制系统信息安全的保障能力,需要政府、企业、中介机构等部门和行业的共同努力。

近年来,我国每年发生在工业控制系统的安全事件数量越来越多,黑客入侵的手段越来越先进,影响也越来越大。

据相关数据统计,2011年国家信息安全漏洞共享平台就收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍。

2011年,就曾有媒体报道,我国高铁电网控制系统疑被放置“蠕虫”,致使京沪高铁曲阜至彭州东至枣庄间下行线接触网发生故障,后据抢修电网的高级工程师透露,此次事件很有可能是遭遇恶意软件的入侵。

欧阳武表示,工业和信息化部已于2011年9月印发了《关于加强工业控制系统信息安全管理的通知》,从网络连接、总网、配置、设备选择和升级、应急各个方面对重点领域工业信息控制系统的安全提出了要求。

2012年工业和信息化部又组织开展对全国重点领域网络与信息安全的检查工作,第一次将工业控制系统的安全纳入这次检查当中。他透露,调查与检查结果并不乐观,目前各企业对工业控制系统信息安全的认识还普遍存在认识不到位,重视不够的现象。

信息安全市场增长可期

在这次高峰论坛上,工控网和工业和信息化部一所联合发布了《2013年中国工业控制系统(ICS)信息安全市场研究报告》。

工业和信息化部电子科技情报所副所长李新社认为,我国工控信息安全主要面临以下挑战:

一是信息共享缺失,长期以来,很多原因造成了我国信息系统缺失比较严重,从工业控制安全角度来讲,对我国安全机制的建立影响非常大。

二是缺乏一个统一的信息发布平台,如果有信息过来,谁去发布、怎么发布、格式如何,何时发布,目前尚不明确。

他表示,从信息技术的角度来讲,我国跟欧美发达国家相比还存在着一些差距。如果信息技术的核心产品和知识产权不掌握在自己手里,未来我们必将受制于人。

工控网市场研究业务总监胡认为,在工业控制信息安全系统领域目前主要的安全和防范措施服务包括局域网隔离、电路增强、路线检测、路线防护、杀毒软件、专用防火墙及第三方安全审计、咨询和运营服务等。

他说,随着信息安全市场的发展,第三方的服务,如安全审计和运营服务将会迎来越来越大的发展空间,而安全防范措施中所占比例最大的防火墙等硬件则更多的是作为一个平台。

在谈及未来市场展望中,他分析中国工业控制系统信息安全相关市场规模2012年为11亿元左右,未来五年有望保持15%左右的增长。其中电网、油气、石化、化工行业信息安全应用比例最高,交通将会成为发展最快的领域之一。

随着国家对工业控制系统安全的重视,胡预测,中国的工业网络有望在2015年超过20亿元人民币的市场规模,并将以每年超过30%的复合增长率增长。

责任编辑:Winnie

买车卖车 养车维修 疑难故障 学大招

扫码加群 BOSS团同行好友等你交流

|收藏本文
相关阅读

工信部印发《工业控制系统网络安全防护指南》

近日,工信部印发《工业控制系统网络安全防护指南》(以下简称《防护指南》),围绕安全管理、技术防护、安全运营、责任落实四方面,提出33项指导性安全防护基线要求。 工业控制系统作为工业生产运行的基础核心,其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。《防护指南》定位于面向工业企业做好网络安全防护的指导性文件,坚持统筹发展和安全,围绕安全管理、技术防护、安全运营、责任落实四方面,提出三十三项指导性安全防护基线要求,推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。 在安全管理方面主要从四方面着手。一是资产管理。全面梳理可编程逻辑控制器(PLC)、分布式控制系统(DCS)、数据采集与监视控制系统(SCADA)等典型工业控制系统以及相关设备、软件、数据等资产,明确资产管理责任部门和责任人,建立工业控制系统资产清单,并根据资产状态变化及时更新。定期开展工业控制系统资产核查,内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。根据承载业务的重要性、规模,以及发生网络安全事件的危害程度等因素,建立重要工业控制系统清单并定期更新,实施重点保护。重要工业控制系统相关的关键工业主机、网络设备、控制设备等,应实施冗余备份。 二是配置管理。强化账户及口令管理,避免使用默认口令或弱口令,定期更新口令。遵循最小授权原则,合理设置账户权限,禁用不必要的系统默认账户和管理员账户,及时清理过期账户。建立工业控制系统安全配置清单、安全防护设备策略配置清单。定期开展配置清单审计,及时根据安全防护需求变化调整配置,重大配置变更实施前进行严格安全测试,测试通过后方可实施变更。 三是供应链安全。工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中,应明确各方需履行的安全相关责任和义务,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。工业控制系统使用纳入网络关键设备目录的PLC等设备时,应使用具备资格的机构安全认证合格或者安全检测符合要求的设备。 四是宣传教育。定期开展工业控制系统网络安全相关法律法规、政策标准宣传教育,增强企业人员网络安全意识。针对工业控制系统和网络相关运维人员,定期开展工控安全专业技能培训及考核。 在技术防护方面主要从五方面着手。一是主机与终端安全。在工程师站、操作员站、工业数据库服务器等主机上部署防病毒软件,定期进行病毒库升级和查杀,防止勒索软件等恶意软件传播。对具备存储功能的介质,在其接入工业主机前,应进行病毒、木马等恶意代码查杀。主机可采用应用软件白名单技术,只允许部署运行经企业授权和安全评估的应用软件,并有计划的实施操作系统、数据库等系统软件和重要应用软件升级。拆除或封闭工业主机上不必要的通用串行总线(USB)、光驱、无线等外部设备接口,关闭不必要的网络服务端口。若确需使用外部设备,应进行严格访问控制。对工业主机、工业智能终端设备(控制设备、智能仪表等)、网络设备(工业交换机、工业路由器等)的访问实施用户身份鉴别,关键主机或终端的访问采用双因子认证。 二是架构与边界安全。根据承载业务特点、业务规模、影响工业生产的重要程度等因素,对工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理,部署工业防火墙、网闸等设备实现域间横向隔离。当工业控制网络与企业管理网或互联网连通时,实施网间纵向防护,并对网间行为开展安全审计。设备接入工业控制网络时应进行身份认证。应用第五代移动通信技术(5G)、无线局域网技术(Wi-Fi)等无线通信技术组网时,制定严格的网络访问控制策略,对无线接入设备采用身份认证机制,对无线访问接入点定期审计,关闭无线接入公开信息(SSID)广播,避免设备违规接入。严格远程访问控制,禁止工业控制系统面向互联网开通不必要的超文本传输协议(HTTP)、文件传输协议(FTP)、Internet远程登录协议(Telnet)、远程桌面协议(RDP)等高风险通用网络服务,对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权。在远程维护时,使用互联网安全协议(IPsec)、安全套接字协议(SSL)等协议构建安全网络通道(如虚拟专用网络(VPN)),并严格限制访问范围和授权时间,开展日志留存和审计。在工业控制系统中使用加密协议和算法时应符合相关法律法规要求,鼓励优先采用商用密码,实现加密网络通信、设备身份认证和数据安全传输。 三是上云安全。工业云平台为企业自建时,利用用户身份鉴别、访问控制、安全通信、入侵防范等技术做好安全防护,有效阻止非法操作、网络攻击等行为。工业设备上云时,对上云设备实施严格标识管理,设备在接入工业云平台时采用双向身份认证,禁止未标识设备接入工业云平台。业务系统上云时,应确保不同业务系统运行环境的安全隔离。 四是应用安全。访问制造执行系统(MES)、组态软件和工业数据库等应用服务时,应进行用户身份认证。访问关键应用服务时,采用双因子认证,并严格限制访问范围和授权时间。工业企业自主研发的工业控制系统相关软件,应通过企业自行或委托第三方机构开展的安全性测试,测试合格后方可上线使用。 五是系统数据安全。定期梳理工业控制系统运行产生的数据,结合业务实际,开展数据分类分级,识别重要数据和核心数据并形成目录。围绕数据收集、存储、使用、加工、传输、提供、公开等环节,使用密码技术、访问控制、容灾备份等技术对数据实施安全保护。法律、行政法规有境内存储要求的重要数据和核心数据,应在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。 在安全运营方面主要从五方面着手。一是监测预警。在工业控制网络部署监测审计相关设备或平台,在不影响系统稳定运行的前提下,及时发现和预警系统漏洞、恶意软件、网络攻击、网络侵入等安全风险。在工业控制网络与企业管理网或互联网的边界,可采用工业控制系统蜜罐等威胁诱捕技术,捕获网络攻击行为,提升主动防御能力。 二是运营中心。有条件的企业可建立工业控制系统网络安全运营中心,利用安全编排自动化与响应(SOAR)等技术,实现安全设备的统一管理和策略配置,全面监测网络安全威胁,提升风险隐患集中排查和事件快速响应能力。 三是应急处置。制定工控安全事件应急预案,明确报告和处置流程,根据实际情况适时进行评估和修订,定期开展应急演练。当发生工控安全事件时,应立即启动应急预案,采取紧急处置措施,及时稳妥处理安全事件。重要设备、平台、系统访问和操作日志留存时间不少于六个月,并定期对日志备份,便于开展事后溯源取证。对重要系统应用和数据定期开展备份及恢复测试,确保紧急时工业控制系统在可接受的时间范围内恢复正常运行。 四是安全评估。新建或升级工业控制系统上线前、工业控制网络与企业管理网或互联网连接前,应开展安全风险评估。对于重要工业控制系统,企业应自行或委托第三方专业机构每年至少开展一次工控安全防护能力相关评估。 五是漏洞管理。密切关注工业和信息化部网络安全威胁和漏洞信息共享平台等重大工控安全漏洞及其补丁程序发布,及时采取升级措施,短期内无法升级的,应开展针对性安全加固。对重要工业控制系统定期开展漏洞排查,发现重大安全漏洞时,对补丁程序或加固措施测试验证后,方可实施补丁升级或加固。 在责任落实主要从两方面着手。一是工业企业承担本企业工控安全主体责任,建立工控安全管理制度,明确责任人和责任部门,按照“谁运营谁负责、谁主管谁负责”的原则落实工控安全保护责任。二是强化企业资源保障力度,确保安全防护措施与工业控制系统同步规划、同步建设、同步使用。[详细]2024-02-01 17:27

三一重工全资子公司上海华兴数字科技有限公司科技成果项目通过鉴定

春风送暖,万物复苏,3月13日,中国工程机械工业协会在昆山组织召开了由上海华兴数字科技有限公司研发的[详细]2023-03-14 09:30

三一重能获UL Solutions权威认证并成立合作实验室

6月8日,全球安全科学专家UL Solutions为三一重能股份有限公司(以下简称“三一重能”)签发[详细]2023-06-12 17:46

工业互联网安全标准体系(2021年)正式发布

近日,在工业和信息化部网络安全管理局指导下,工业互联网产业联盟、工业信息安全产业发展联盟、工业和信息[详细]2021-12-23 15:08

三一重装荣获国内 国外双重信息安全认证

近日,三一重装信息安全工作经过4个月严格的综合考评,通过了CNAS(国内)与ANAB(国际)双重信息安全认证。CNAS与ANAB是国内与国际上通用的企业信息安全工作水平与能力认证。在CNAS和ANAB认证证书上同时注明:“兹证明,三一重型装备有限公司已按照GB/T 22080-2008 idt ISO/IEC 27001:2005 标准要求建立并实施了信息安全管理体系。该体系适用于‘煤炭采掘与运输成套设备的研发、制造和销售,信息系统的应用和运维’。有效期四年。”三一重装成为继三一重工后,第二家取得ISO27001信息安全认证的单位,能够获此项殊荣标志着公司信息安全工作已全面进入到一个崭新的阶段。(郭建军)[详细]2011-11-29 09:12

+加载更多新闻
热点专题 更多>>
河北鹏远:坚定道路自信

河北鹏远:坚定道路自信

在工程机械行业的广阔天地里,刘悦以其对事业的无限热爱和坚定信念,带领河...详情
海伦哲高空作业车体验

海伦哲高空作业车体验

在时光的长河中,总有一些瞬间,如同星辰般璀璨,照...详情
卡特彼勒用服务提升价值

卡特彼勒用服务提升价值

【第一工程机械网 原创】彼得·德鲁...详情
徐工首席服务专家:程帅

徐工首席服务专家:程帅

【第一工程机械 原创】太行层峦叠嶂,气势磅礴,汾...详情
专访协会租赁分会秘书长

专访协会租赁分会秘书长

2024年已经过半,面对市场的不确定和竞争的白热...详情
投稿邮箱:news@d1cm.com
服务热线:400-6789-326

CopyRight © 2000- d1cm.com, All Rights Reserved 第一工程机械网 版权所有

京ICP备10026412号-15 京ICP证060286号  京公网安备11010502049281号 网络视听许可证0113658号 广播电视制作许可证

客服电话:400-6789-326 新机业务按 1,二手业务按 2,商务合作按 3

关于我们 | 本网动态 | 会员服务 | 广告服务及报价 | 商务合作 | 招聘英才 | 法律声明 | 网站地图 | 联系我们