亚洲一二三四五区电影,最近中文字幕免费视频一,久久99精品久久久学生,午夜精品久久久久久久99av

產(chǎn)品推薦:氣相|液相|光譜|質(zhì)譜|電化學|元素分析|水分測定儀|樣品前處理|試驗機|培養(yǎng)箱


化工儀器網(wǎng)>技術中心>其他文章>正文

歡迎聯(lián)系我

有什么可以幫您? 在線咨詢

工業(yè)控制系統(tǒng)信息安全現(xiàn)狀與發(fā)展趨勢分析

來源:北京鴻鷗成運儀器設備有限公司   2017年03月06日 09:21  

工業(yè)控制系統(tǒng)信息安全現(xiàn)狀與發(fā)展趨勢分析

 

摘要:信息化與工業(yè)化深度融合是我國實施制造強國戰(zhàn)略行動綱領《中國制造2025》的戰(zhàn)略任務和重點之一,隨著兩化深度融合的快速推進,工業(yè)控制系統(tǒng)正面臨著的信息安全威脅。文章基于工業(yè)控制系統(tǒng)層次結構以及工業(yè)安全事件信息庫RISI統(tǒng)計的工業(yè)控制系統(tǒng)安全事件,對國內(nèi)外工業(yè)控制系統(tǒng)信息安全問題現(xiàn)狀做了詳細闡述和分析,總結了國內(nèi)外工業(yè)控制系統(tǒng)信息安全相關措施及未來的發(fā)展趨勢。

 

關鍵詞:工業(yè)控制系統(tǒng);信息安全;兩化融合;RISI

 

1 引言

 

工業(yè)控制系統(tǒng)(ICS)是包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)、分布控制系統(tǒng)(DCS)等多種類型控制系統(tǒng)的總稱[1]。隨著計算機網(wǎng)絡技術的發(fā)展,尤其是工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快速推進,現(xiàn)代工業(yè)控制系統(tǒng)已經(jīng)成為電力、石油化工、核工業(yè)、航天、鐵路、水處理等國家關鍵基礎設施領域的核心控制系統(tǒng)、中樞神經(jīng)。與此同時,隨著企業(yè)管理層對生產(chǎn)過程數(shù)據(jù)的日益關注,工業(yè)控制系統(tǒng)廣泛采用通用軟硬件和網(wǎng)絡設施,以及與企業(yè)管理信息系統(tǒng)的集成,傳統(tǒng)信息網(wǎng)絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅已經(jīng)逐步向工業(yè)控制系統(tǒng)擴散,工業(yè)控制系統(tǒng)固有漏洞和攻擊面日益增加,另外,工業(yè)控制系統(tǒng)漏洞發(fā)現(xiàn)、攻擊技術和攻擊人員能力正不斷增強,工業(yè)控制系統(tǒng)信息安全形勢越發(fā)嚴峻。本文在分析工業(yè)控制系統(tǒng)層次結構及安全因素的基礎上,結合典型工業(yè)控制系統(tǒng)安全事件,對該領域的現(xiàn)狀及未來發(fā)展趨勢做出了詳細闡述和分析。

 

2 工業(yè)控制系統(tǒng)層次結構

 

目前,典型的工業(yè)控制系統(tǒng)層次結構可分為三層:企業(yè)管理層、數(shù)據(jù)信息層和現(xiàn)場設備層,如圖1所示。企業(yè)管理層主要是辦公自動化系統(tǒng),一般使用通用以太網(wǎng),可以從數(shù)據(jù)信息層提取有關生產(chǎn)數(shù)據(jù)用于制定綜合管理決策。數(shù)據(jù)信息層主要是從現(xiàn)場層獲取數(shù)據(jù),完成各種控制、運行參數(shù)的監(jiān)測、報警和趨勢分析等功能?,F(xiàn)場設備層負責通過組態(tài)設汁,完成工業(yè)現(xiàn)場的數(shù)據(jù)采集、A/D轉(zhuǎn)換、數(shù)字濾波、溫度壓力補償、PID控制等各種功能[2]。

 

圖1 工業(yè)控制系統(tǒng)層次結構圖

 

現(xiàn)代工業(yè)控制系統(tǒng)網(wǎng)絡中大量采用通用TCP/IP技術,ICS網(wǎng)絡和企業(yè)管理網(wǎng)的越來越緊密。另一方面,傳統(tǒng)工業(yè)控制系統(tǒng)采用的硬件、軟件和通信協(xié)議,設計上基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。從工業(yè)控制系統(tǒng)的層次結構看,公用網(wǎng)絡連接處均是安全威脅的切入點,傳統(tǒng)工業(yè)控制系統(tǒng)普遍缺乏有效的工業(yè)安全防御及數(shù)據(jù)通信保密措施。特別是隨著信息化的推動和工業(yè)化進程的加速,越來越多的計算機和網(wǎng)絡技術應用于工業(yè)控制系統(tǒng),在為工業(yè)生產(chǎn)帶來極大推動作用的同時也帶來了諸如木馬、病毒、網(wǎng)絡攻擊等安全問題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護功能都很弱或者甚至幾乎沒有隔離功能,因此在工控系統(tǒng)開放的同時,也減弱了控制系統(tǒng)與外界的隔離,工控系統(tǒng)的安全隱患問題日益嚴峻。

 

3 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀

 

3.1 現(xiàn)狀分析

 

根據(jù)工業(yè)安全事件信息庫RISI(Repository of Industrial Security Incidents)的統(tǒng)計,截止2011年,已發(fā)生200余起針對工業(yè)控制系統(tǒng)的重大攻擊事件,尤其在2000年之后,隨著通用協(xié)議、通用硬件、通用軟件在工業(yè)控制系統(tǒng)中的應用,對過程控制和數(shù)據(jù)采集監(jiān)控系統(tǒng)的攻擊增長了近10倍[3]。

 

針對工業(yè)控制系統(tǒng)的攻擊主要威脅其物理安全、功能安全和系統(tǒng)信息安全,以達到直接破壞控制器、通信設備,篡改工業(yè)參數(shù)指令或入侵系統(tǒng)破壞生產(chǎn)設備和生產(chǎn)工藝、獲取商業(yè)信息等目的。

 

對于工業(yè)控制系統(tǒng)破壞主要來自于對工控系統(tǒng)的非法入侵,目前此類事件已頻繁發(fā)生在電力、水利、交通、核能、制造業(yè)等領域,給相關企業(yè)造成重大的經(jīng)濟損失,甚至威脅國家的戰(zhàn)略安全。以下是各行業(yè)典型的工業(yè)控制系統(tǒng)(ICS)遭入侵事件。

 

2000年,加斯普羅姆(Gazprom)公司(俄羅斯國營天然氣工業(yè)股份公司)內(nèi)部人員的幫助下突破了該公司的安全防護網(wǎng)絡,通過木馬程序修改了底層控制指令,致使該公司的天然氣流量輸出一度控制在外部用戶手中,對企業(yè)和國家造成了巨大的經(jīng)濟損失。

 

2000年3月,澳大利亞昆士蘭新建的Maroochy污水處理廠出現(xiàn)故障,無線連接信號丟失,污水泵工作異常,控制系統(tǒng)被一位前工程師通過一臺手提電腦和一個無線發(fā)射器侵入,控制了150個污水泵站,前后三個多月,總計有100萬公升的污水未經(jīng)處理直接經(jīng)雨水渠排入自然水系,導致當?shù)丨h(huán)境受到嚴重破壞。

 

2003年,美國俄亥俄州的戴維斯-貝斯(Davis Besse)核電站進行維修時,由于施工商在進行常規(guī)維護時,自行搭接對外連接線路,以方便工程師在廠外進行維護工作,結果當私人電腦接入核電站網(wǎng)絡時,將電腦上攜帶的SQL Server蠕蟲病毒傳入核電站網(wǎng)絡,致使核電站的控制網(wǎng)絡全面癱瘓,系統(tǒng)停機將近5小時。

 

2005年,13家美國汽車廠(尤其是佳士拿汽車工廠)由于被蠕蟲感染而被迫關閉,50000名生產(chǎn)工人被迫停止工作,直接經(jīng)濟損失超過140萬美元[3]。

 

2006年8月,美國Browns Ferry核電站,因其控制網(wǎng)絡上的通信信息過載,導致控制水循環(huán)系統(tǒng)的驅(qū)動器失效,使反應堆處于“高功率,低流量”的危險狀態(tài),核電站工作人員不得不全部撤離,直接經(jīng)濟損失達數(shù)百萬美元。

 

2007年,攻擊者入侵加拿大的一個水利SCADA控制系統(tǒng),通過安裝惡意軟件破壞了用于控制薩克拉門托河河水調(diào)度的控制計算機系統(tǒng)。

 

2008年,攻擊者入侵波蘭羅茲(LodZ)市的城市鐵路系統(tǒng),用一個電視遙控器改變了軌道扳道器的運行,導致四節(jié)車廂脫軌。

 

2010年6月,德國安全專家發(fā)現(xiàn)可攻擊工業(yè)控制系統(tǒng)的Suxnet病毒,截止9月底,該病毒感染了超過45000個網(wǎng)絡,其中伊朗為嚴重,直接造成其核電站推遲發(fā)電。

 

我國同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾,比如2010年齊魯石化、2011年大慶石化煉油廠,某裝置控制系統(tǒng)分別感染Conficker病毒,都造成控制系統(tǒng)服務器與控制器通訊不同程度的中斷[5]。

 

通過相關工控事件案例分析可以發(fā)現(xiàn),導致工業(yè)控制系統(tǒng)安全問題日益加劇的原因有以下幾點。

 

(1)工業(yè)控制系統(tǒng)自身有漏洞、防護措施薄弱

 

工業(yè)控制系統(tǒng)的設計開發(fā)并未將系統(tǒng)防護、數(shù)據(jù)保密等安全指標納入其中,另外,工業(yè)控制系統(tǒng)使用的現(xiàn)場控制設備中大量使用了標準的信息網(wǎng)絡技術或產(chǎn)品。這些技術和產(chǎn)品并沒有針對工控系統(tǒng)的應用環(huán)境進行優(yōu)化和專門設計,導致為工控系統(tǒng)引入了大量的漏洞。經(jīng)統(tǒng)計,相關廠商設備漏洞中,羅克韋爾自動化公司相關設備高危漏洞4個,西門子公司相關設備高危漏洞7個,橫河公司相關設備高危漏洞6個。Windows XP操作系統(tǒng)截至SP3補丁更新時高危漏洞239個,在2014年4月8日停止服務支持后,發(fā)現(xiàn)的高危漏洞為119個,共計358個[5]。

 

很多企業(yè)中,由于工業(yè)控制系統(tǒng)類型多樣化,安全管理意識和職責不明確,導致網(wǎng)絡間的數(shù)據(jù)傳輸和授權管理未實施明確的安全策略。另一方面企業(yè)管理層連接互聯(lián)網(wǎng),從而導致互聯(lián)網(wǎng)用戶可以利用企業(yè)管理網(wǎng)絡系統(tǒng)的漏洞,對工業(yè)控制系統(tǒng)運行帶來造成重大安全隱患。經(jīng)統(tǒng)計,工控系統(tǒng)遭入侵的方式多樣,其入侵途徑以透過企業(yè)廣域網(wǎng)及商用網(wǎng)絡方式為主,除此之外還包括通過工控系統(tǒng)與因特網(wǎng)的直接連接等方式。

 

(2)終端安全管理問題突出

 

工業(yè)控制終端具有遠程維護或診斷功能,但不具有嚴格的安全措施,可能導致系統(tǒng)的非授權訪問。同時移動終端自身的安全問題(如病毒、木馬等惡意程序),也可能感染整個系統(tǒng)。

 

(3)入侵、攻擊手段的隱蔽

 

大多對工業(yè)控制系統(tǒng)的入侵和攻擊手段極為隱蔽、木馬和蠕蟲病毒的潛伏周期較長,待發(fā)現(xiàn)時已對企業(yè)國家造成嚴重損失。據(jù)金山網(wǎng)絡安全事業(yè)部的統(tǒng)計報告顯示,一般的防御機制需要2個月的時間才能確認針對工業(yè)控制系統(tǒng)的攻擊行為,對于更為隱蔽的Stunet及Duqu病毒,則需要長達半年之久。

 

3.2 應對情況

 

自Stuxnet病毒爆發(fā)以來,工業(yè)控制系統(tǒng)的安全就成為各國所關注的焦點。工控系統(tǒng)信息安全成為新的關注點主要有兩個方面的原因:一方面,過去的工業(yè)控制系統(tǒng)是使用專業(yè)的系統(tǒng)、專業(yè)的隊伍、專業(yè)的設備,只有小范圍人群了解和掌握。隨著計算機技術的發(fā)展,很多專業(yè)的系統(tǒng)實現(xiàn)了通用化,現(xiàn)在的工控系統(tǒng)開始在通用技術的基礎上做專業(yè)的系統(tǒng)設計,如操作系統(tǒng)、數(shù)據(jù)庫軟件、通訊協(xié)議等計算機通用產(chǎn)品和協(xié)議,這樣一來,存在于計算機信息系統(tǒng)中的漏洞被帶到了工控系統(tǒng)里。另一方面,長期以來工控系統(tǒng)并沒有因為信息安全問題發(fā)生大的事故,人們普遍存在“病毒很少能對工業(yè)控制系統(tǒng)造成危害”的意識。但是,伊朗的“震網(wǎng)”事件,給了*一個警示,計算機病毒不僅可以感染到工控系統(tǒng),而且可以對控制對象進行物質(zhì)破壞。

 

針對越發(fā)嚴重的工業(yè)系統(tǒng)入侵等安全事件,世界各國都在積極研究相應的應對措施。歐美先后制定了IEC62443《工業(yè)過程測量、控制和自動化網(wǎng)絡與系統(tǒng)信息安全》、SP800-82《工業(yè)控制系統(tǒng)(ICS)安全指南》等標準。

 

美國成立了工業(yè)控制系統(tǒng)網(wǎng)絡應急小組(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT),專注于協(xié)助美國計算機應急相應小組US-CERT處理工業(yè)控制系統(tǒng)安全方面的事宜,其職能包括:對已發(fā)生的工控安全事件進行處理分析,以便將來避免發(fā)生類似的安全事件;引導系統(tǒng)脆弱性分析和惡意軟件分析;提供對事件相應和取證分析的現(xiàn)場支持等。同時美國國土安全局建立了工業(yè)控制系統(tǒng)聯(lián)合工作小組(Industrial Control Systems Joint Working Group,ICSJWG),主要是促進國家工業(yè)控制系統(tǒng)的信息共享,降低系統(tǒng)風險。

 

目前,我國工控系統(tǒng)的安全形勢非常嚴峻。調(diào)查發(fā)現(xiàn),約80%的企業(yè)從來不對工控系統(tǒng)進行升級和漏洞修補,有52%的工控系統(tǒng)與企業(yè)的管理系統(tǒng)、內(nèi)網(wǎng)甚至互聯(lián)網(wǎng)連接;此外,一些存在漏洞的國外工控產(chǎn)品依然在國內(nèi)的某些重要裝置上使用。更為嚴重的問題還在于,我們對于發(fā)現(xiàn)風險源頭缺乏手段,對控制風險的技術與方法缺乏必要的研究。對此,我國先后發(fā)布了《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》([2011]451號)、《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見(國發(fā)[2012]23號)》 等文件,促進工業(yè)控制系統(tǒng)信息安全體系的建設,但大部分對口標準都在編制過程中。

 

4 工業(yè)控制系統(tǒng)信息安全發(fā)展趨勢

 

工業(yè)控制系統(tǒng)漏洞攻擊正向著簡單控制器受攻擊增大、利用網(wǎng)絡協(xié)議進行攻擊、專業(yè)攻擊人員進行攻擊、利用病毒進行攻擊、工業(yè)控制系統(tǒng)漏洞挖掘與發(fā)布同時增長的趨勢發(fā)展。當前,美國和歐盟都從國家戰(zhàn)略的層面在開展各方面的工作,積極研究工業(yè)控制系統(tǒng)信息安全的應對策略。我國也在政策層面和研究層面積極開展工作,但我國工業(yè)控制系統(tǒng)信息安全工作起步晚,總體上技術研究尚屬起步階段,管理制度不健全,相關標準規(guī)范不完善,技術防護措施不到位,安全防護能力和應急處理能力不高,這些問題都威脅著工業(yè)生產(chǎn)安全和社會正常運作。因此,整合各方面優(yōu)勢資源,促進工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)的形成,是未來工業(yè)控制系統(tǒng)網(wǎng)絡信息安全發(fā)展的基本趨勢。

 

工業(yè)控制系統(tǒng)信息安全技術的發(fā)展,將隨著工業(yè)自動化系統(tǒng)的發(fā)展而不斷演化。目前自動化系統(tǒng)發(fā)展的趨勢就是數(shù)字化、智能化、網(wǎng)絡化和人機交互人性化。同時將更多的IT技術應用到傳統(tǒng)的邏輯控制和數(shù)字控制中。工業(yè)控制系統(tǒng)信息安全技術未來也將進一步借助傳統(tǒng)IT技術,使其更加智能化、網(wǎng)絡化,成為控制系統(tǒng)*的一部分。與傳統(tǒng)IP互聯(lián)網(wǎng)的信息安全產(chǎn)品研發(fā)路線類似,工業(yè)控制系統(tǒng)信息安全產(chǎn)品將在信息安全與工業(yè)生產(chǎn)控制之間找到契合點,形成工業(yè)控制系統(tǒng)特色鮮明的安全輸入、安全控制、安全輸出類產(chǎn)品體系。值得指出的是,隨著工業(yè)控制系統(tǒng)信息安全認識和相關技術的不斷深化,必將產(chǎn)生一系列與工業(yè)控制系統(tǒng)功能安全、現(xiàn)場應用環(huán)境緊密,特色鮮明的工業(yè)控制系統(tǒng)安全防護工具、設備及系統(tǒng)。

 

5 總結與展望

 

從總體上看,我國工業(yè)控制系統(tǒng)信息安全防護體系建設滯后于系統(tǒng)本身的建設,還處于初級階段,需要根據(jù)工業(yè)控制系統(tǒng)信息安全保障體系建設需求,基于國家信息安全標準體系框架,建立工業(yè)控制系統(tǒng)信息安全標準體系總體框架。自2013年開始,康拓工控先后對城市軌道、鐵路以及城市供水等工業(yè)控制系統(tǒng)進行了大量的系統(tǒng)安全性分析,逐步梳理現(xiàn)有信息安全標準在上述工業(yè)控制系統(tǒng)建設中的應用關系,以實現(xiàn)工業(yè)控制系統(tǒng)“可發(fā)現(xiàn)、可防范、可替代”的目標,提升工控安全核心競爭力,為我國兩化的深度融合、實施制造強國戰(zhàn)略提供可靠的信息安全保障。

 

作者簡介

呂建民(1980-),男,河南濮陽人,工程師,碩士,現(xiàn)就職于北京康拓科技有限公司,主要從事工業(yè)控制系統(tǒng)研究工作。

免責聲明

  • 凡本網(wǎng)注明“來源:化工儀器網(wǎng)”的所有作品,均為浙江興旺寶明通網(wǎng)絡有限公司-化工儀器網(wǎng)合法擁有版權或有權使用的作品,未經(jīng)本網(wǎng)授權不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權使用作品的,應在授權范圍內(nèi)使用,并注明“來源:化工儀器網(wǎng)”。違反上述聲明者,本網(wǎng)將追究其相關法律責任。
  • 本網(wǎng)轉(zhuǎn)載并注明自其他來源(非化工儀器網(wǎng))的作品,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負責,不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網(wǎng)站或個人從本網(wǎng)轉(zhuǎn)載時,必須保留本網(wǎng)注明的作品第一來源,并自負版權等法律責任。
  • 如涉及作品內(nèi)容、版權等問題,請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系,否則視為放棄相關權利。
企業(yè)未開通此功能
詳詢客服 : 0571-87858618
砀山县| 钟山县| 会泽县| 凤城市| 六盘水市| 屯门区| 海伦市| 凯里市| 凉城县| 南雄市| 双桥区| 北碚区| 西宁市| 温泉县| 阿鲁科尔沁旗| 柞水县| 永城市| 云浮市| 勃利县| 格尔木市| 大洼县| 桃园市| 平乡县| 全椒县| 遵化市| 武夷山市| 赣州市| 定西市| 嘉黎县| 徐汇区| 汉中市| 无棣县| 绥中县| 贵州省| 东乡县| 威信县| 漳浦县| 漳平市| 高尔夫| 元谋县| 崇州市|