作者:尹丽波,国家工业信息安全发展研究中心
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
解码:工业信息安全试读:
前言
工业信息安全是实施制造强国和网络强国战略的重要保障,是支撑中国制造实现高质量发展的关键要素,对于切实维护工业生产安全、促进两化融合健康发展具有重要意义。当今世界,工业信息安全越来越受到各国特别是发达国家的高度重视,成为网络空间安全的一大焦点领域。近年来,伴随着现代制造业数字化、智能化、网络化的快速发展,我国工业信息安全领域的政策标准、工作机制、保障技术、组织架构等逐步完善,呈现出健康发展的良好势头。但是,我们也要清醒地认识到,由于工业信息安全的复杂性,我国工业信息安全形势十分严峻,面临着系统安全脆弱性凸显、网络安全威胁加速渗透、攻击手段复杂多变等一系列深刻挑战。
习近平总书记在党的十九大报告中全面系统地论述了坚持总体国家安全观的重要思想,在2019年4月20—21日召开的全国网络安全和信息化工作会议上更进一步指出,要“树立正确的网络安全观,加强信息基础设施网络安全防护”。工业信息安全作为国家安全体系的重要组成部分,党中央、国务院高度重视,做出一系列战略部署和政策指引,着力全方位构建工业信息安全保障体系。《中华人民共和国网络安全法》从关键信息基础设施保护的角度,明确了工业信息安全的基本要求。国务院先后颁布《关于深化制造业与互联网融合发展的指导意见》《关于深化“互联网+先进制造业”发展工业互联网的指导意见》等指导性文件,为我国工业信息安全的建设和发展提出了新课题,提供了新机遇,赋予了新动能。
工业信息安全是一个全新安全领域。为推动工业信息安全的实践探索和理论研究,为相关机构、从业人员开展工业信息安全工作提供学习参考和学术咨询,国家工业信息安全发展研究中心会同浙江大学、战略支援部队信息工程大学、东北大学、北京理工大学等高等院校,组织撰写了《解码:工业信息安全》一书。本书作为一本系统讲解工业信息安全的综合性普及读物,对工业信息安全的定义、发展现状、演进趋势、政策环境、应用形态和技术实践等各个方面进行了较为全面的介绍。全书共包含三个部分、十个章节,第一部分 概述篇详细介绍了工业信息安全的定义、重要性及发展演进趋势;第二部分 基础篇较为全面地向读者普及了工业信息安全涉及的各类基础知识,涵盖工业信息安全的对象主体、风险来源、防护措施等各个方面;第三部分 应用篇则选取工业控制系统信息安全、工业互联网安全、工业云和工业大数据安全等工业信息安全的主要组成部分和技术实践,对其逐一进行讲解与剖析。
实践在发展,理论在更新。随着工业领域新技术发展和工业信息安全形势变化,本书的内容将适时更新和完善。恳请广大读者提出宝贵意见。本书编写组2018年10月|第一部分|概述篇
第1章 工业信息安全概述
第2章 国内外工业信息安全发展现状
第3章 工业信息安全发展趋势与演进第1章 工业信息安全概述
工业信息安全是一个全新的工业安全领域,包含工业数字化、网络化、智能化运行过程中的各个要素、各个环节的安全。本书所称工业信息安全是指工业企业的设备设施、控制系统、信息系统受到保护,连续、可靠、正常运行,数据不因偶然或恶意原因遭受破坏、更改、泄露,以及工业生产所需的公用通信网和互联网服务不中断。工业控制系统信息安全(以下简称工控安全)、工业互联网安全、工业大数据安全、工业云安全等均是工业信息安全的重要组成部分。与传统网络安全相比,工业信息安全须适应工业环境下系统和设备实时性、高可靠性及工业协议众多等特征,防护难度更大。当前,新一代信息技术在加速信息化与工业化深度融合发展的同时,也带来了日趋严峻的工业信息安全问题,工业信息安全重要性日益凸显。一、工业信息安全的起源与发展
随着现代社会信息化的迅猛发展,工业化和信息化不断深入融合,工业控制系统(以下简称工控系统或ICS)作为工业领域的核心部分,成为钢铁石化、高端装备、电力系统、轨道交通、核设施等重点工业领域关键基础设施的“神经中枢”,其安全性受到越来越多的关注。从21世纪初开始,随着数字化、网络化、智能化在工业领域的普及和深化,业界对工控系统安全的认识和理解不断拓展和加深。在工业安全实践中,工业信息安全的概念逐步清晰和确立。在国际上,虽然中外在表述上有所不同,但对工业信息安全研究的范围、关注领域、制定的安全防护策略大体是一致的。近年来,在习近平总书记制造强国和网络强国思想的指引下,我国不断建立完善工业信息安全的总体布局,明确指导原则和工作重点,组建国家级工业信息安全技术支撑机构,全面提升工业信息安全保障水平。
工控安全是最早被关注的工业信息安全关键领域。2010年发生的伊朗核电站受“震网”(Stuxnet)蠕虫病毒攻击导致重大损失的事件震惊全球,把工控安全带入公众视野。工控系统作为信息系统与现实世界连接的纽带,被广泛应用于关系国计民生的诸多领域。工控安全风险所带来的,不仅是信息泄露、信息系统无法使用等“小”问题,也会对现实世界造成直接的、实质性的影响,如设备运行异常(交通瘫痪、城市运行停滞、生产制造不达标)、设备运行停滞(停水、停电、停气、停供暖、生产制造系统停滞)、设备损坏(零部件损坏甚至火灾爆炸)、环境污染乃至人员伤亡等。对于那些应用于国家层面及军工领域的工控系统,其信息安全风险更会对国家安全造成直接影响,工控系统的安全要得到世界范围的高度重视。美国国家标准技术研究院(NIST)于2011年6月公开发布了《工业控制系统安全指南》(SP 800-82),该指南文件概述了工控系统、典型系统拓扑结构及其重要性,阐述了其安全需求的基本原理;探讨了工控系统与传统IT信息系统的区别,阐述了威胁、脆弱性与安全事件的差异;简要介绍了旨在消减脆弱性的工控安全项目的开发与部署,并对在工控系统典型网络设计中如何整合安全性要素提出了建议。
我国高度重视工控安全。2011年9月,工业和信息化部发布《关于加强工业控制系统信息安全管理的通知》(工业和信息化部协〔2011〕451号),强调充分认识加强包括工业控制系统在内的工业信息安全管理的重要性、紧迫性,并明确了工控安全的管理要求,其中特别提到的重点领域是与国计民生紧密相关的领域,如核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等。该文件正式拉开了我国工控安全工作的序幕。此后,国务院发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号),明确提出要切实“保障工业控制系统安全”,并对重点领域工控安全的管理提出了指导意见,推动建立国家信息安全保障体系。
近年来,随着工业领域各类新技术、新产品、新模式、新业态不断涌现,以及两化融合的不断深入,以工控系统为基本内容的安全概念已经不能涵盖现实状况,工业信息安全的概念不断被提出。2016年,《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)发布,文件第一次明确使用“工业信息安全”一词,将“提高工业信息系统安全水平”作为七项重点任务之一,明确规定要“制定完善工业信息安全管理等政策法规,健全工业信息安全标准体系……提升工业信息安全监测、评估、验证和应急处置等能力”。自此,我国开始构建包括工控安全在内的工业信息安全总体防护体系。
党中央、国务院对我国工业信息安全防护体系建设作出一系列重要部署。随着新一代网络和信息技术持续向工业、制造业领域渗透,产业格局加速重塑,工业制造的协同性、智能性、服务性等多种新特征已经成为产业生产方式发展变革的新方向,这引发了世界范围内的广泛讨论和思考。许多国家和地区纷纷提出第三次工业革命、工业互联网等发展理念。我国也提出制造强国和网络强国战略,并加快部署落地。作为制造强国和网络强国战略的重要支撑,工业信息安全战略地位越发重要。为落实党中央和国务院文件精神,工业和信息化部作为国家工业信息安全的主管部门,加快制定有关指南、办法,基本建成工业信息安全保障体系,编制出台了《工业控制系统信息安全防护指南》《工业控制系统信息安全防护能力评估工作管理办法》《工业控制系统信息安全事件应急管理工作指南》《工业控制系统信息安全行动计划(2018—2020年)》等文件,进一步明确行业主管部门、相关企业责任和义务,从技术产品应用、日常管理、在线监测、测试、评估、报送与通报、应急、人才培养等方面,为提升工控系统安全防护水平提供了具体的指导意见。
当前,随着传统工业转型升级不断推进,互联网与先进制造业深入融合发展,工业互联网驶入发展快车道;与此同时,工业生产设备、网络、平台、数据等安全威胁及问题与日俱增,工业互联网安全的重要性也日益凸显,工业互联网安全已成为工业信息安全工作的前沿与重点。2017年11月,国务院正式印发《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,明确将安全作为工业互联网三大功能体系之一,要求把握好安全与发展的辩证关系,坚持工业互联网安全保障手段同步规划、同步建设、同步运行,提升工业互联网安全防护能力。工业互联网安全是工业信息安全在互联网和实体经济深度融合发展背景下的产物,是工业信息安全的重要组成部分。二、工业信息安全的相关概念与定义(一)工业信息安全内涵
当前,以移动互联网、云计算、大数据、物联网和人工智能为代表的新一代信息技术与制造技术加速融合,推动着制造业向数字化、网络化、智能化、服务化方向发展,成为推动经济转型升级、新旧发展动能接续转换的强劲引擎。新一代信息技术在加速信息化与工业化深度融合发展的同时,也带来了日趋严峻的信息安全问题。工业信息化、自动化、网络化、智能化等基础设施是工业的核心组成部分,是工业各行业、企业的神经中枢。工业信息安全的核心任务就是要确保这些工业神经中枢的安全。工业信息安全事关经济发展、社会稳定和国家安全,是网络安全的重要组成部分。
从内容来看,工业信息安全泛指在工业运行过程中的信息安全,涉及工业领域各个环节,包括工控安全、工业互联网安全、工业大数据安全、工业云安全、工业电子商务安全等内容。
从工业信息安全发展趋势来看,在传统工业时期,生产环境相对封闭,工业信息安全的重点在于工控安全。近年来,随着“互联网+”、智能制造等新兴业态的快速发展,互联网快速渗透到工业领域的各个环节,工业实体逐步趋向泛在互联,工业互联网安全逐渐成为工业信息安全的重点和核心。工业信息安全从面向企业端的工控安全逐步延伸至工业互联网安全、工业云安全、工业大数据安全等领域。
从保障对象上看,工业信息安全要保障工业系统和设备(如工控系统)、工业互联网平台(包括承载平台运行的工业云及应用服务)、工业网络基础设施(基础电信网络、解析网络和其他接入网络)、工业数据等的安全。因此,工业信息安全不仅涉及传统计算机网络和信息系统安全,还涉及工业软硬件设备、控制系统、工业协议等的安全。
与传统计算机网络安全相比,工业信息安全在保障对象、安全需求、网络和设备环境、通信协议等方面有其特殊性。例如,工业信息安全的目的是确保工业(产业)发展的安全,其保护对象是物理系统——各种各样的工业生产系统、工业软硬件设备等,其安全需求侧重于生产或运行过程的可靠性,生产环境软硬件种类与技术手段繁多,协议通用性低,难以统一,传统的互联网安全保障体系难以实现全覆盖,因此需要建立更为专业的工业信息安全保障体系(见表1-1、图1-1)。表1-1 工业信息安全与传统计算机网络安全对比续表图1-1 工业信息安全与计算机网络安全架构对比(二)工控安全的内涵
工控系统是一个总称,涵盖多种类型的控制系统,包括监控和数据采集(SCADA)系统、分布式控制系统(DCS)和其他控制系统,如工业部门和关键基础设施经常使用的可编程逻辑控制器(PLC)。工控系统通常用于电力、水和污水处理、石油和天然气、化工、交通、制药、造纸、食品和饮料、离散制造行业(如汽车、航天航空和耐用品)等。这些控制系统往往是高度相互联系、相互依存的,是关键信息基础设施正常运行的基础。
工控安全是指保障SCADA、DCS、PLC等工控系统的信息安全而采取的一系列活动的集合,是工业信息安全的重要组成部分。(三)工业互联网安全的内涵
1.对工业互联网安全的认识
当前,互联网创新发展与新工业革命正处于历史性交汇期,互联网由消费领域向生产领域快速延伸,工业经济由数字化向网络化、智能化深度拓展。工业互联网是满足工业智能化发展需求,具有低时延、高可靠、广覆盖特点的关键网络基础设施,是新一代信息通信技术与先进制造业深度融合形成的新兴业态与应用模式。
工业互联网包括网络、平台、安全三大体系。其中,网络体系是基础,平台体系是核心,安全体系是保障。具体而言,工业互联网安全包括在工业互联网环境下网络、平台、系统、终端、数据、应用等的安全,涉及工控系统安全、工业互联网平台安全、工业设备安全、企业信息管理系统安全、企业控制网络及管理网络安全、传输网络安全、工业数据安全、工业App安全等方面。
在工业互联网总体框架下,安全既是一套独立功能体系,又渗透融合在网络和平台建设使用的全过程。首先,工业互联网的网络和平台等的设计、建设、运营、管理离不开安全,安全又是终端设备、系统和应用等接入工业互联网的重要前提。其次,安全脱离不了网络、平台、终端、应用而独立存在。最后,在工业互联网环境下产生、运行、管理的工业数据需要全生命周期的安全保护。
2.工业互联网安全的组成
工业互联网实现了人、机器、产品和服务的泛在互联,其安全主要涵盖设备安全、控制安全、网络安全、平台安全、数据安全。
设备安全和控制安全是指接入工业互联网平台的工业生产设备、主机设备、通信设备等的安全,以及其生产过程中的协议安全、控制装置安全、控制软件安全等。在工业互联网开放、互联的环境下,设备漏洞易被利用,病毒、木马加速渗透等工控安全问题更为突出。
网络安全分为内网安全和外网安全。内网安全是指工厂内部生产控制网、数据采集网、企业管理网等的安全,除面临内网自身安全挑战外,还存在新的接入风险。外网安全是指工厂外部网络安全,涉及工厂与用户、协作企业等实现互联的公共网络安全。安全问题主要聚焦于传统互联网安全。
平台安全是指工业云基础设施(Iaa S)、操作系统(工业Paa S)、应用服务(工业App)的安全,是伴随工业互联网发展产生的一类新的安全问题。由于平台用户类型复杂,应用和微服务数量大、种类多,平台面临攻击路径多、攻击手段多样、防护难度大等安全挑战。
数据安全是指在工业互联网运行过程中收集和产生的各类数据资源的安全。工业互联网数据体量大、种类多,采集范围、流动方向、传递路径、存储位置复杂,且不同领域对数据保护和利用存在较大差异,因此数据安全存在责任主体边界模糊、事件追踪溯源困难、分级分类保护难度大等安全问题。
3.工业互联网安全与工业信息安全、工控安全的关系
随着《中华人民共和国网络安全法》的全面实施,以及制造强国、网络强国等战略部署的纵深推进,互联网与工业等领域融合创新带来的安全问题日益严峻,网络安全管理理念和架构不断创新完善,对工业领域的信息安全保障提出了更高的要求,工业信息安全工作的范畴和深度都在不断拓展。在传统工业时期,生产环境相对封闭,工业信息安全的重点是工控安全。随着工业生产制造与云计算、大数据、物联网、人工智能等新一代信息技术的深度融合,工业实体逐步趋向泛在互联,工业互联网安全与工控安全的交集进一步增大,工业互联网安全逐渐成为当前工业信息安全工作的重点和核心(见图1-2)。(1)工业互联网安全与工业信息安全的关系
工业信息安全的内涵和外延随着信息化和工业化融合深入不断演进和扩展。工业互联网安全就是在两化深度融合阶段,面向工业4.0时代,推进“互联网+先进制造业”引发的新安全要求,是工业信息安全的新内容。它包含和继承了过去时期工业领域工控安全、企业信息安全的一些内容;同时,为适应大量企业上云及海量在线工业App,针对网络实时连接、大数据收集、云端智能化等工业互联网发展特征的需要,叠加和迭代产生出许多新的安全内容。图1-2 工业互联网安全、工业信息安全和工控安全的关系及其发展演进(2)工业互联网安全与工控安全的关系
随着国家“互联网+先进制造业”战略的实施,以及工业互联网的快速发展和推广应用,工控系统接入工业互联网成为必然趋势,可以预见,未来将会有越来越多的工控系统和设备作为终端接入工业互联网。一方面,工控系统利用工业互联网平台提供的软件和数据资源开展先进制造,并通过平台向外提供生产能力服务;另一方面,工控系统之间依托工业互联网实现广泛互联和协同,突破时间、地域、空间等限制,实现业务流程优化和生产模式创新,促进生产资源在更大范围和更多领域实现高效配置。应该说,是数以万计的工控系统构成了工业互联网的终端体系,它们既是工业互联网平台和网络的使用者,又是工业互联网资源和服务的提供者。因此,工控安全关系工业互联网总体运行稳定和服务质量。从内容上看,工控安全和工业互联网安全有重叠部分,接入工业互联网的工控系统和设备的安全同时属于工业互联网安全和工控安全范畴。除此之外,工业互联网安全还包括平台安全、网络安全、数据安全等内容,未接入工业互联网的工控系统和设备的安全则仅属于工控安全范畴。三、工业信息安全的主要特点
工业信息安全属于工业和信息化融合领域的安全问题,具备如下特征。
1.安全目标特殊
工业领域的控制系统和信息系统大多具有实时、动态、长周期、物理融合交互等特性,决定了其信息安全动态风险管理必须满足系统全生命周期的管理和控制需求。与传统IT系统不同,工控系统是具有较长生命周期的生产运行系统,系统组件一般能够运行15~20年,对其可靠性和可用性要求很高。工业信息化系统涉及角色主体多,网络拓扑结构复杂,部署运维实施难度较高,软件的更新和数据库的升级必须经过严格的测试。因此,工业信息安全不仅要保障IT领域重点关注的数据安全、内容安全,更重要的是要保障工业生产的物理安全、信息系统运行安全及人员财产安全。
2.风险来源多
一是工业领域部署、接入了海量工业设备、系统和软件,且普遍存在安全漏洞,在线运行后补丁修复困难。二是工业领域使用的工控系统协议多达千余种,大多缺少安全机制,不适应工业互联网环境下的泛在互联。三是工业领域用户角色众多、关联紧密,跨领域、跨系统的信息交互、协同操作频繁,存在新的安全风险。
3.隐患发现难
一是工业领域设备、系统底数不清,国产化率低,难以全面掌握安全风险。二是工业领域网络结构复杂,存在企业控制网、管理网、公共互联网“三张网”,难以精准定位风险点。三是工业行业特征明显、专业性强、业务流程复杂、设备系统差异性大,发现隐患需要行业知识积累。
4.传统防护手段不适用
一是工控系统及信息化系统对承载业务的连续性、实时性要求高,有限的通信和计算资源难以满足现有安全防护措施需求。二是工业数据流动方向和路径复杂,数据种类和保护需求多样,数据防护难度大。三是业务、网络边界模糊,鉴权认证、安全隔离等防护措施难以实施。
5.安全后果严重
一是工业信息安全涉及大量重点工业行业生产设备和系统,这些生产设备和系统一旦遭到攻击,可造成物理设备损坏、生产停滞,带来经济损失,甚至可能引起人员伤亡。二是工业数据涉及工业生产、设计、工艺、经营管理等敏感信息,保护不当将损害企业核心利益、影响行业发展,重要工业数据出境还将导致国家利益受损。四、工业信息安全的重要意义
工业信息安全是网络强国战略的重要组成部分,是保障总体国家安全的重要内容,是实施制造强国战略和推进“互联网+”行动计划的基础条件。习近平总书记在中央网络安全和信息化领导小组第一次会议上强调,“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。”2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上再次强调,“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”习近平总书记从战略高度充分阐述了安全与发展的辩证关系,为做好工业信息安全工作指明了方向。
习近平总书记强调,没有网络安全就没有国家安全,就没有经济、社会稳定运行,广大人民群众利益也难以得到保障。要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任。要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为,切断网络犯罪利益链条,持续形成高压态势,维护人民群众合法权益。要深入开展网络安全知识技能宣传普及,提高广大人民群众网络安全意识和防护技能。(一)工业信息安全是实现制造强国战略的重要支撑
工业信息安全的保障能力和水平是制造强国战略顺利实施的基础条件,是新一轮制造业科技革命和产业变革的根本支撑,要以加快新一代信息技术与制造业深度融合为主线,以推进智能制造为主攻方向,推动我国从制造业大国向制造业强国转变;要加强智能制造工控系统网络安全保障能力建设,健全综合保障体系,并加强安全产品、技术、标准的研发,实施一批安全工程。这标志着安全能力建设已成为制造强国建设的重要内容。
保障工控系统的安全可靠是实现工业智能化发展的关键环节,自主可控的设备产品、技术和服务是保障重点行业工控安全的根本。当前,我国重要关键设备和基础软件绝大多数采用国外产品,安全基础不牢,核心技术产品受制于人,安全风险不容忽视。只有牢牢抓住工业信息安全的主动权、控制权,推动实现重要工业控制设备、系统和平台的安全可控,才能缔造真正意义上的制造业强国。(二)工业信息安全是建设网络强国的必然要求
我国已经发展成为网络大国,正在为实现网络强国的战略目标而不懈努力。工业企业是国民经济的主体,事关经济的健康发展和社会的稳定,是立国之本、兴国之器、强国之基。工业领域的信息安全是工业经济发展的安全屏障,是网络安全的重要组成部分,也是建设网络强国题中应有之义。
当前,我国工业与信息化的关联度越来越高,工业信息化水平大幅提升,工业信息安全成为网络强国建设不可回避的重要内容和新的课题。近年来,国内外工业信息安全形势十分严峻,来自外部的网络攻击越发严重,震网(Stuxnet)、Duqu、火焰、Shamoon和Havex等信息安全威胁频现,其攻击范围越加广泛,影响程度越加严重。城市基础设施越来越依赖网络和计算机控制系统,其遭受网络攻击的风险也在加剧。城市基础设施一旦遭受攻击,必然会对人民日常生活造成直接影响,甚至会引起社会恐慌,尤其是在电力、能源、供水等领域,极易引发灾难性后果。因此,大力提升工业信息安全能力,改善工业信息安全环境,是支撑网络强国建设稳步推进的必然要求。(三)工业信息安全是助力两化深度融合发展的基础保障
工业化和信息化的融合发展是新时期我国促进工业由大变强,支持国民经济顺利转型升级、提质增效的关键举措,是保障互联网与制造业融合创新的重要途径,是我国工业化与信息化发展面临的重要发展机遇。在推动两化深度融合发展过程中,工业信息安全具有重要意义,提升工业信息安全保障能力显得尤为重要。
工控系统是我国工业的核心组成部分,是钢铁石化、高端装备、电力系统、轨道交通、核设施等重点工业领域的核心中枢。工控安全事关经济发展、社会稳定和国家安全。随着工业4.0、两化深度融合、“互联网+”和“智能制造”等战略的提出,工业化和信息化的融合发展不断深入,工控系统面临的各类安全问题和风险越发凸显。因此,在推进两化深度融合发展中,必须将工业信息安全摆上战略位置,提高思想重视程度,推进落实各项工作,为两化深度融合提供安全保障。第2章 国内外工业信息安全发展现状
当前,工业信息安全是国际社会,尤其是工业发达国家,高度关注的安全领域。各国根据自身网络安全的现实需求与管控能力的差异,对工业信息安全的表述不一,切入点也各有侧重,但工业信息安全工作关注的重点、领域及手段措施基本是一致的。总的来说,美、德、日等工业化发达国家在工业信息安全保障体系、保障能力、安全技术方面处于领先地位。同时,我国充分利用后发优势,围绕中国智能制造战略规划等战略,全方位布局工业信息安全保障体系建设,初步形成了赶超的态势,在工业信息安全顶层设计、技术研发和队伍建设上都取得了积极进展。一、国外工业信息安全发展现状概览
近年来,美国等发达国家极为重视工业信息安全问题,以战略法规为指导,以标准规范为依据,以机构建设为抓手,以安全技术为保障,以信息共享和应急演练为突破口,逐步完善工控安全体系。美国等发达国家在工业信息安全领域开展的举措如下。
第一,推进和完善工业信息安全相关战略、法律、政策及标准体系。美、欧等将工业信息安全作为国家信息安全的重要组成部分,先后制定一系列相关的战略、法律和政策。2003年美国发布《保护网络空间的国家战略》及《关键基础设施标识、优先级和保护》,明确了工业信息安全相关的部门分工、法律责任和重点领域。2013年美国发布了《关于提高关键基础设施网络安全的行政命令》,进一步明确了联邦政府和私营部门在网络安全信息共享、分析方面的权利、责任和义务。欧盟于2007年和2013年先后发布了《欧洲关键基础设施保护战略》和《工控系统网络安全白皮书》,指导欧盟各国加强工控安全的部门协作、能力建设和应急响应。围绕落实关键基础设施网络安全政策,美国制定了工控安全标准参考框架,引导企业建立安全防护策略和实施规范。围绕企业加强工控安全管理、健全安全策略、强化产品安全等,美国NIST发布了《工控系统信息安全指南》(SP800—82),IEC/ISA共同制定了《工业过程测量与控制安全:网络与系统信息安全》系列标准(IEC 62443),促使企业提升安全防护意识和管理水平,保证产品的安全可控。德、英等国针对工控安全管理、评估等制定了一系列安全标准。
第二,强化工业信息安全测试、验证、评估等共性技术能力。美、日、欧等组建了多个国家级研究机构,通过实施工控测试靶场、测试床等多项重大工程,提升风险发现、分析、防范等工业信息安全保障能力。美国依托爱达荷国家实验室(INL)、橡树岭国家实验室(ORNL)等6家国家实验室,建立了多个工控系统测试床,实施了关键基础设施测试靶场(CITR)专项计划,开展了漏洞挖掘、安全防护、风险分析等一系列研究,有力支撑了工业信息安全信息共享、应急响应、风险评估等相关保障工作。日本经济产业省(METI)于2012年与横河、日立等8个工控系统厂商组建了控制系统安全中心(CSSC),建立了污水处理、化工、电力等9个工控安全测试床,并针对工控安全的攻击和防护技术开展深入研究。
第三,建立工业信息安全信息通报与共享机制。美、日等国通过制定法律政策、健全组织机构、完善运行机制,推动涉及重点行业领域的网络安全风险漏洞、安全事件、解决方案的通报和共享。2009年,美国国土安全部正式组建了工业控制系统网络安全应急响应小组(ICS-CERT),专门负责响应、分析和处理工控安全事件及漏洞,其通过一个可公开访问的和2个需要授权访问的信息共享平台向主管部门、行业、运营单位等共享工控安全事件和风险威胁信息。日本经济产业省(METI)委托下属信息技术促进局(IPA)收集和验证国内的工业信息安全风险信息,授权日本网络安全应急响应小组(JPCERT/CC)收集和验证国外的风险信息并进行消减实践,推动风险信息、解决方案在政府部门、合作用户、系统集成商之间的共享。
第四,针对关键基础设施网络攻击开展应急演练。围绕提升关键基础设施网络攻击应急响应能力,美、欧等发达国家和地区举办了多次工控安全应急演练。先后通过3次“网络风暴”演习,美国明确了联邦政府部门、安全机构、私营企业及盟国的角色和责任边界,初步建立了关键基础设施安全事件应急响应机制。欧盟组织超过200家机构及400多名专业人士开展“网络欧洲2014”演习,以增强欧盟国家间协作为重点,有效检验和提升了参演方在危机处理中的评估、报警、协调、合作、战术分析、建议和信息交换能力。二、我国工业信息安全领域最新进展
党中央、国务院高度重视网络安全。习近平总书记提出了没有网络安全就没有国家安全的科学论断,将网络安全作为总体国家安全的重要组成部分。在党的十九大报告中,习近平总书记强调:“坚持总体国家安全观。统筹发展和安全,增强忧患意识,做到居安思危,是我们党治国理政的一个重大原则。”工业信息安全作为网络安全的重要组成部分,是保障国家总体安全的重要内容,为实施制造强国战略和推进“互联网+”行动计划提供支撑。近年来,我国工业信息安全工作取得显著进展,积极开展了指南文件宣贯、工控安全检查、防护能力评估等一系列工作,政策体系、管理体系、技术支撑体系初步构建,国家级技术队伍建设初具规模,工业信息安全产业呈现良好发展势头,工业信息安全保障水平有了明显提高。(一)工业信息安全法规政策标准逐步健全
近年来,我国从法律法规、战略规划、标准规范等多个层面对工业信息安全做出了一系列工作部署,提出了一系列工作要求。
2017年6月起正式实施的《中华人民共和国网络安全法》要求对包括工控系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”实施重点保护。2016年12月国家互联网信息办公室发布的《国家网络空间安全战略》提出,要“采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏”。《国务院关于深化制造业与互联网融合发展的指导意见》将“提高工业信息系统安全水平”作为主要任务之一。2017年11月国务院发布的《关于深化“互联网+先进制造业”发展工业互联网的指导意见》围绕制造强国和网络强国建设的安全保障需求,以“强化安全保障”为指导思想,以“安全可靠”为基本原则,提出“建立工业互联网安全保障体系、提升安全保障能力”的发展目标,部署“强化安全保障”的主要任务,为工业互联网安全保障工作制定了时间表和路线图。
作为国务院工业和信息化工作的主管部门,工业和信息化部从总体国家安全观出发,高度重视工业信息安全,对加强工控安全防护工作提出了一系列指引。2011年9月,工业和信息化部印发了《关于加强工控系统信息安全管理的通知》(工业和信息化部协〔2011〕451号),有效提升了相关主管部门和工业企业的工控安全意识。为应对新时期下的工控安全新形势,2016—2017年,工业和信息化部陆续发布《工业控制系统信息安全防护指南》《工控系统信息安全事件应急管理工作指南》《工业控制系统信息安全防护能力评估工作管理办法》《工业控制系统信息安全行动计划(2018—2020年)》等政策文件,明确工控安全防护、应急及能力评估等工作的要求,推动形成工业信息安全管理工作闭环,初步建立覆盖全生命周期的工业信息安全政策体系。
工业信息安全标准体系的建设对促进工业产业健康发展有着极其重要的规范和指导作用。全国信息安全标准化技术委员会(TC260)在国家标准委的领导下,对全国信息安全标准进行统一归口管理。除此之外,全国电力系统管理及信息交换标准化技术委员会(TC82)、全国工业过程测量和控制标准化技术委员会(TC124)、全国电力监管标准化技术委员会(TC296)等标准化机构也在积极推动工业信息安全相关国家标准的研制工作。截至目前,我国已发布工业信息安全相关国家标准10余项,在研国家标准近20项,已初步建立了工业信息安全系统级标准体系。(二)工业信息安全检查评估工作有序开展
为进一步贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》等文件的要求,加强对工控安全工作的指导和督促检查,提升企业管理和技术防护水平,工业和信息化部形成常态化的检查评估工作机制,组织专业技术队伍,连续三年组织开展工控安全检查,初步建立“以查促建、以查促改、以查促防”的常态化工作机制。2017年工业和信息化部将检查范围扩大至全国5000余家企业的3万多个工控系统,扩展检查深度,以“突出重点、兼顾一般”为工作原则,按照企业安全自查、检查队伍技术抽查等方式开展。通过工控安全检查,工业和信息化部有力地推动了《工业控制系统信息安全防护指南》实施,进一步摸清了贯彻落实情况,基本掌握了我国工控安全现状,通过有效排查和梳理工控安全风险点,指导工业企业有针对性地部署安全防护措施等工作。国家工业信息安全发展研究中心(以下简称国家工信安全中心)、中国电子技术标准化研究院、工业和信息化部电子第五研究所和中国软件评测中心组织技术人员赴生产现场检查。
与此同时,从2017年4月起,工业和信息化部组织技术机构面向电力、化工、装备制造、石油、有色、烟草等关系国计民生、国家安全的重点行业,遴选具有代表性的典型企业,开展了工控安全防护能力评估工作,指导帮助工业企业深入理解《工业控制系统信息安全防护指南》要求,了解评估要点,明确防护工作切入点,指导企业开展针对性防护整改工作,从技术、管理、运行等方面全面提升工业信息安全防护水平。(三)工业信息安全保障能力建设全面提升
一是组建国家队伍,提供专业人才支撑。2017年,按照《国务院关于深化制造业与互联网融合发展的指导意见》文件要求,工业和信息化部依托工业和信息化部电子第一所研究所重组建设了国家工信安全中心,作为支撑我国工业领域信息安全的研究与推进机构,开展工业信息安全及相关领域的战略研究、技术研发、监测预警、检查评估、应急处置和产业推进等工作,提升工业信息安全保障支撑能力,维护工业信息安全。
二是开创风险信息共享、行业联防联控的工作新局面。开展工业信息安全信息报送与通报试点工作,建立信息采集、汇总、分析、通报机制,初步形成覆盖9个省(自治区、直辖市)工业和信息化主管部门及36个企业、科研院所、行业协会的信息共享网络,圆满完成“一带一路”国际合作高峰论坛、金砖峰会、党的十九大等国家重大活动期间安全保障任务。
三是加强监测预警,搭建技术支撑平台。工业和信息化部依托国家工信安全中心等技术机构,建设了重要工控系统在线安全监测平台、国家工控系统安全信息共享平台。搭建智能制造仿真测试平台及可编程逻辑控制器(PLC)、分布式控制系统(DCS)及工控系统通信总线等安全仿真测试平台;组建了国家工控系统与产品安全质量监督检验中心,全面提升了漏洞发现及验证、风险监测与研判、安全防护解决方案验证等安全保障能力,为开展工业信息安全监测预警、信息通报、质检评估等工作提供有力技术支撑。
四是深化应急管理,提升应急响应能力。2017年5月,工业和信息化部印发《工控系统信息安全事件应急管理工作指南》,结合工控安全事件应急工作实际,以防范重大工控安全事件为重点,厘清工业和信息化部、地方工业和信息化主管部门、技术支撑队伍和企业的职责,为加强工控安全事件应急管理和组织协调,提升工控安全事件应急处置能力提供了工作指引。2017年9月,工业和信息化部组织开展工控安全事件应急演练及培训,以特定工控安全事件为背景,针对工业企业快速响应、政府机构应急联动、技术支撑队伍现场应急处置等工作开展演练,达到检验《工控系统信息安全事件应急管理工作指南》、理顺流程、锻炼队伍的效果,同时,通过应急培训活动,有力地指导了地方工业和信息化主管部门统筹加强应急预案体系、组织体系、技术手段、应急演练、资源保障等方面工作。
五是推进信息通报,建立联防联控网络。为及时掌握工业信息安全风险、威胁信息,2017年5月,工业和信息化部印发了《关于开展工业信息安全信息报送与通报工作的通知》(工信软函〔2017〕517号),并组织开展工业信息安全信息报送与通报试点工作,推动行业联防联控,初步建立覆盖9个省(自治区、直辖市)工业和信息化主管部门及36个企业、科研院所、行业协会的工控安全风险信息报送网络。半年汇集工控安全风险信息2000多条,向国家有关部委、中央企业、各省(自治区、直辖市)通报重要风险预警100余份,有效提高了相关部门、企业主动应对和处置安全风险的能力。(四)工业信息安全宣传教育培训不断深入
为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》文件要求,推动《工业控制系统信息安全防护指南》落地实施,提升地方工业和信息化主管部门及企业工控安全防护水平,在工业和信息化部指导下,2017年全国工业信息安全宣贯培训、技能竞赛、论坛会议等宣传教育活动深入开展。
一是首次开展全国范围内的工控系统信息安全培训工作。2017年3—6月,工业和信息化部信息化和软件服务业司委托国家工信安全中心,面向华东、华南、华北、西南、西北、东北六大片区分别组织开展了2017年工控系统信息安全培训工作,来自全国31个省自治区、直辖市、240余个地市工业和信息化主管部门及350余家工控系统用户企业的1200余名领导同志和从业人员参加了培训。此次培训通过详细解读《工业控制系统信息安全防护指南》,普及了工控系统信息安全相关知识,讲解了工控安全防护技术,进一步强化了地方工业和信息化主管部门及企业工业信息安全意识,提升了工控系统信息安全相关技能,使得工业信息安全的理念更加深入人心。
二是工业信息安全技能竞赛、论坛会议等活动如火如荼开展。为提升社会工业信息安全意识、加大工业信息安全专业人才选拔与培养力度,2017年12月,在工业信和息化部指导下,由国家工信安全中心与浙江省经济和信息化委员会联合举办的首届工业信息安全技能大赛在浙江杭州拉开序幕,大赛模拟真实工业控制网络系统,聚焦行业安全问题,来自全国24个省(自治区、直辖市)科研院所、著名高校和知名企业的49支战队的近200名选手,针对行业实际应用设备进行漏洞挖掘,并开展工业信息安全攻防实战。本次大赛是落实《网络安全法》的重要举措,在普及工业信息安全常识、培养工业信息安全人才、推动行业整体安全意识提升、促进安全防护技能提高等方面开展了积极探索。此外,国家网络安全宣传周、世界智能制造大会等活动纷纷设置与工业信息安全相关的分论坛,通过工业信息安全宣传教育与意识普及,强化提升全社会工业信息安全意识。(五)工业信息安全产业发展呈现良好势头
近年来,我国工业信息安全市场呈现出良好的发展势头,具体表现如下。
一是我国工业信息安全企业从“布局市场”逐渐转向“深耕市场”。近年来,我国工业信息安全产业领域资本战略布局方向呈现更加清晰、更有针对性的特点和趋势。在近年来的资本布局的基础上,半数工业信息安全主流厂商,已经完成资本并购和资本洽谈。资本的引进加速了工业信息安全厂商的发展,同时也对工控系统信息安全市场发展起到重要的促进作用。工业信息安全产业渠道布局、业务模式更加多样化,这已成为目前我国工业信息安全市场良性发展的一个突出特点,为我国工业信息安全市场的健康发展注入了生机和活力。例如,工控设备厂商/集成商、MES厂商、设计院与用户逐渐成为紧密联系的合作对象,而在此之前,我国工业信息安全产业研发、生产和用户相互分离,工业信息安全企业对工控设备厂商/集成商的依赖性较高,限制了工业信息安全企业的产品研发和市场拓展。
二是智能化趋势有力推动和牵引工业信息安全产业发展。工业信息安全需要专门的安全产品、技术和服务,以往由于工业信息安全市场规模较小,工控系统供应商(如ABB、霍尼韦尔、罗克韦尔、西门子、施耐德、和利时、中控、横河电机等)很少研发独立的工业信息安全产品,一般通过控制系统集成安全功能或通过安全模块实现通信区域隔离,再配以第三方的信息安全软件来实现安全保障。随着智能制造的逐步实施,控制系统内部的信息安全防护也越来越被关注。智能制造为工业信息安全企业和工控系统供应商研发和创新独立的工业信息安全产品提出了市场需求,开拓了产业发展的新机遇。
三是产业联盟为工业信息安全产业跨界资源整合发挥桥梁纽带作用。为促进产业发展,形成工业信息安全“产、学、研、用”的良好生态体系,2017年6月8日,在工业和信息化部的指导下,国家工信安全中心牵头成立了国家工业信息安全产业发展联盟,联盟首批会员单位多达187家,聚集了工业领域的领军企业、工控系统和信息安全领域的“佼佼者”,以及科研实力雄厚的研究院所和高等院校,实现了工业信息安全领域的强强联合,合力构建科学的工业信息安全产业生态体系。三、世界各国工业信息安全政策概观
2015年1月13日,美国总统奥巴马拜访了美国国土安全部国家网络安全与通信集成中心(NCCIC),提出了一项针对网络安全信息共享的立法提案以加强网络安全的信息共享,对抗网络犯罪。另外,美国能源部将在未来几年内,向网络安全教育团队提供2500万美元的政府补贴。2015年1月20日,奥巴马发表2015年国情咨文,专门提到了保护网络安全。
2015年4月24日,美国国防部发布《第二版网络战略报告》(第一版于2011年发布),指导美国网络力量的发展,加强网络防御建设与网络威慑力量。
2015年5月25日,日本在首相官邸举行网络安全战略本部会议,制定了新的《网络安全战略》,提出了“信息自由流通”“对使用者的开放性”等五项原则。
2015年6月8日,美国国家标准与技术研究院发布《第二版工业控制系统安全指南》。该指南包括如何调整传统IT安全控制系统以适应工控系统独特的性能、可靠性和安全性要求,同时对威胁与漏洞、风险管理、实施方案、安全体系架构等部分进行了更新。自2006年美国国家标准与技术研究院首次发布《工业控制系统安全指南》以来,该指南下载量超过了300万次。
2016年2月3日,美国参议院推出《能源政策现代化法案》,以防范能源行业网络攻击。该法案包括授权预算外的网络安全研究项目,以及引导联邦机构与加拿大、墨西哥等国家联手打击网络攻击等内容,以期实现帮助美国能源行业抵御恐怖分子网络攻击的目的。
2016年2月9日,美国白宫发布《网络空间安全国家行动计划》(CNAP),以加强美国的网络安全整体水平。针对关键基础设施的网络安全,该计划提出,在之前发布的总统令——《改善关键基础设施网络安全(2013年)》《推进网络安全信息共享(2015年)》的基础上,继续加强各方的紧密合作,保障关键基础设施的正常运行,进而保证国家及经济运行安全。
2016年3月25日,美国海军陆战队宣布成立一个新的部门,开展网络空间防御行动。
2016年3月,美国政府出资 15万美元,与美国最大的漏洞提交平台Hackone合作开发了一个众测项目——攻陷五角大楼计划,希望白帽子能够挖掘出目前国防系统中现有的网络安全漏洞,并对其进行修复。在这次众测中,通过1400名美国“白帽子”的不懈努力,美国政府发现100多个安全漏洞。
2016年4月19日,习近平总书记在北京主持召开网络安全和信息化工作座谈会并发表重要讲话,强调在践行新发展理念上先行一步,让互联网更好造福国家和人民。在阐述正确处理安全和发展的关系时,习近平总书记明确提出:“金融、能源、电力、通信、交通等领域的关键基础设施是经济社会运行的神经中枢,是网络安全的重中之重。”总书记还提出,要“树立正确的网络安全观”;要“加快构建关键信息基础设施安全保障体系”;要“全天候全方位感知网络安全态势”;要“增强网络安全防御能力和威慑能力”。
2016年4月19日,工业和信息化部发布《关于开展两化深度融合创新推进2016专项行动的通知》,重点提出要“提升工业信息安全技术支撑和保障能力”,“研究制定《工业企业工业控制系统信息安全防护指南》”。
2016年4月19日,美国ICS-CERT发布了《工业控制系统应用程序白名单技术应用指南》。官方声明明确了该指南将作为之前ICS-CERT发布的《保护工业控制系统的7个步骤》的附件,为工控系统使用应用程序白名单技术提供概念层次上的指导。
2016年4月20日,澳大利亚政府公开了《网络安全战略计划》,列出了在网络安全方面的投资清单,计划拿出2.3亿澳元用于国家重要基础设施的攻击防护,包括成立网络威胁中心、网络安全增长中心、重要城市基础建设情报分享中心。
2016年5月12日,美国国土安全部与Sunesis咨询有限责任公司合作,大力收集国家关键基础设施网络威胁相关数据,以期形成相应的数据整合策略,进而深入开展关键基础设施保护和态势感知的跨部门联合行动。
2016年6月,经中央网络安全和信息化领导小组批准,首次全国范围的关键信息基础设施网络安全检查工作启动。此次检查由中央网信办牵头组织,各省(自治区、直辖市)网络安全和信息化领导小组与中央和国家机关将统一领导本地区、本部门的网络安全检查工作,各省(自治区、直辖市)网信办统筹组织本地区检查工作,检查时间至2016年12月底。
2016年6月20日,针对乌克兰电网的网络攻击凸显了电网面临的风险。美国举行了一场大规模的网络攻击演习,模拟国家电网等美国关键基础设施遭受他国网络攻击,从而寻求解决方案。此次演习代号为“网络守卫16”,是美国近年来规模最大的年度演习。
2016年7月5日,欧盟委员会(European Commission)提出了欧盟第一个网络安全准则——《网络和信息安全指令》,并在2016年7月6日进行了投票表决。该指令列出了一些关键领域,如能源、交通和银行等,涉及这些领域的公司必须确保其能够抵抗网络攻击,并且这些公司被要求向政府当局和网络服务提供商报告严重的网络安全事件。
2016年7月26日,美国联邦能源管理委员会(FERC)发布指令,要求改善电力主干系统的网络安全问题,并要求北美电力可靠性委员会(NERC)编制一套新的供应链风险管理标准,着重控制信息系统的风险及相关的电力主干系统的风险。根据此指令,FERC要求NERC制定一份前瞻性的、有针对性的“关键基础设施保护可靠性标准”,要求各相关单位制定并落实一套供应链管理的新计划,用于工控系统的硬件、软件及与主干电力系统操作相关的服务。
2016年7月28日,以色列能源部称,希望建立一个能够模拟基础设施网络攻击并做出回应的网络实验室,并已公开发布了信息邀请函。该实验室将作为工业运行技术的测试模拟环境,用来测试各种保护系统的有效性。
2017年9月13日,美国ICS-CERT发布关于提高工控系统网络安全深度防护的策略建议报告。其内容主要包括工控系统通信技术概况、通信技术深度防御策略、安全攻击解析与攻击途径、工控系统防护建议和总结五个部分。
试读结束[说明:试读内容隐藏了图片]