当前,我国工业化和信息化的深度融合以及物联网的快速发展,工控系统获得了前所未有的飞速发展。与此同时,工控系统面临的安全威胁也越来越严峻。建立全面的信息安全保障体系,减少工控系统面临的内外部的威胁,为推动两化深度融合、工业转型升级提供支持,是当前信息安全领域面临的重大挑战。
现阶段我国工控系统的安全形势非常严峻。调查发现,约80%的企业从来不对工控系统进行升级和漏洞修补,有52%的工控系统与企业的管理系统、内网甚至互联网连接;此外,一些存在漏洞的国外工控产品依然在国内的某些重要装置上使用。更为严重的问题还在于,我们对于发现风险源头缺乏手段,对控制风险的技术与方法缺乏必要的研究。
工控系统信息安全成为新的关注点主要有两个方面的原因:一方面,过去的工业控制系统是使用专业的系统、专业的队伍、专业的设备,只有小范围人群了解和掌握。随着计算机技术的发展,很多专业的系统实现了通用化,现在的工控系统开始在通用技术的基础上做专业的系统设计,如操作系统、数据库软件、通讯协议等计算机通用产品和协议,这样一来,存在于计算机信息系统中的漏洞被带到了工控系统里。另一方面,长期以来工控系统并没有因为信息安全问题发生大的事故,人们普遍存在“病毒很少能对工业控制系统造成危害”的意识。但是,伊朗的“震网”事件,给了全世界一个警示,计算机病毒不仅可以感染到工控系统,而且可以对控制对象进行物质破坏。
关键基础设施信息安全事关国家安全,为有效应对网络攻击的新变化,提升我国关键基础设施安全防护能力,应从以下几方面着手:
抓紧建立关键基础设施信息安全法律体系。我国虽已建立重要信息系统等级保护制度,但还缺乏体系化的关键基础设施信息安全立法。建议充分借鉴国外关键基础设施网络安全保护相关法律,分析我国现有立法的不足和主要问题,抓紧建立我国关键基础设施信息安全法律体系,从法律层面明确关键基础设施的定义和范围、界定政府部门的职责、规范运营者和所有者的运营资质要求。
尽快建立关键基础设施风险信息共享机制。关键基础设施网络安全涉及部门多,影响范围广,共享网络威胁信息有助于更好地应对网络攻击。建议借鉴美国、欧盟等的先进经验,充分了解关键基础设施设备提供商、运营单位、政府部门、信息安全承包商、专家队伍、公众等各方对信息共享的需求,尽快建立有效的关键基础设施风险信息共享机制,明确信息共享的条件,确定信息共享步骤,建立信息共享公共服务平台。
抓紧制定关键基础设施网络安全风险分级规范。关键基础设施数量众多,其重要性和潜在的破坏力也不尽相同,有必要划分关键基础设施信息安全风险等级并对其进行分级管理。建议抓紧制定关键基础设施网络安全风险分级规范,根据关键基础设施的重要性、不可替代性、一旦出现问题之后的影响范围,以及网络攻击的可能性等因素,提出界定关键基础设施信息安全风险等级的量化标准,分级别制定管理要求。
加快推动关键基础设施相关产品的国产化替代。当前我国关键基础设施中信息技术产品高度依赖进口,存在极大信息安全隐患。建议加强高端通用芯片、操作系统等基础技术攻关,支持国内企业基于国产芯片研发信息技术装备、大型数据采集与监控系统(SCADA)等控制设备和系统,加快国产技术产品的应用推广,逐步实现对国外产品的替代。
督促关键基础设施运营单位加强管理。主要包括:断开与公共网络之间的所有不必要连接,对确实需要的连接,采取必要的防护措施,并定期进行风险评估;严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机;建立控制服务器等工业控制系统关键设备安全配置和审计制度,严格账户和口令管理,定期对账户、口令、端口、服务等进行检查等措施。
