我国工控系统面临现实的威胁
这种有组织有预谋,出于政治目的或经济目的的攻击者严重威胁着国家的信息安全。目前,我国工业控制系统己广泛应用于电力、轨道交通、石油化工、高新电子、航空航天、核工业、医药、食品制造等工业领域,其中超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。一旦关键行业的工业控制系统被入侵,造成的损失将难以估量。假如国与国发生直接战争,那么工业控制系统被入侵的概率将无限增大。自来水、电力、燃气的等关乎民生的控制系统被破坏,混乱就无可避免。
公安部网络安全保卫局总工程师郭启全介绍,目前,我国关系国计民生的重点行业工业控制系统信息安全问题异常突出,具体表现为如下几个方面:
首先,现有系统门户洞开、未建立安全防线:传统工业控制系统封闭运行,产品设计安全意识薄弱,基本未考虑安全防护,也没有形成针对工业控制的安全产品和技术。随着工业控制系统越来越多地采用公开协议、接入互联网,通用信息系统安全问题蔓延到工业控制系统,而现有工业控制系统基本处于没有任何信息安全防护措施的局面。
其次,产品和服务主要国外厂商提供,产品普遍存在“带病上岗”现象:据工信部相关部门统计——22个行业900套工业控制系统主要由国外厂商提供产品,相关系统运维也由厂商直接接管,存在漏洞的国外工业控制产品大量应用于我国重点领域工业控制系统,在数据采集与监控系统(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)中分别占据了55.12%、53.78%及76.79%的份额,在大型可编程控制器(PLC)中则占据了94.34%的份额。
此外,缺少工业控制系统信息安全仿真验证环境:工业控制系统多为实时在线系统且影响重大,不易进行安全故障分析排查、产品检测和替换、解决方案验证等工作的开展。
政府努力改善我国工控信息安全环境
工信部电子一所副所长李新社认为,“自主可控,安全可靠”应该是国内工控信息安全发展的技术指导思想。李新社表示,党和政府对工业控制安全高度重视,2011年底发布的《关于加强工业控制系统信息安全管理的通知》,已经成为了推动国内工控安全的指导性文件。
