工业控制系统网络安全难题怎么解决
扫描二维码
随时随地手机看文章
震网病毒、乌克兰电网大停电事件、韩国核电站资料泄露、勒索病毒爆发等事件暴露了工业控制系统安全隐患对社会的危害,近年来,工业控制系统安全事件发生数持续增加,让我国的相关企业机构越来越重视工业控制系统的网络安全,而勒索病毒的爆发更是给广大网络安全从业者以深刻的警醒。本文介绍了我国工业控制系统网络安全发展现状,并对其存在的紧迫性问题进行分析,并提出了一些建议。
数据显示,我国信息安全产业规模自2012年的157.26亿元上升至2016年的341.72 亿元,五年内年均复合增速达到21.41%。2017年我国工业信息安全市场规模为5.57亿元,市场增长率达到53.6%,工业信息安全产业发展进入“快车道”。
随着政策的加快推动,市场增速正呈现不断上升趋势,到2018年,预测我国信息安全行业市场规模有望达到8.66亿元,2018年行业增速预计将达到 55.4%。
然而,中国工控信息安全市场在近年才开始进入发展阶段,目前整个市场还处于市场预热的阶段。据估算,中国信息安全的市场总容量巨大,2013年数据统计为194亿元,其中工业信息安全市场容量在23.28亿元,而这其中工控系统信息安全容量仅为2亿元左右。这一市场中占比最大的是电力市场,石油化工占比第二,其他还包括冶金、烟草、煤矿等。工控信息安全市场的容量远未饱和。
国内的科研院所、工控系统厂商、信息安全厂商以及一些专注做工控安全的新兴企业都将一定的研发力量投入工控安全的研究及产品研发领域,并力争在工控安全领域获得先发优势。
国内从事工控系统网络安全行业的厂家有启明星辰;海天炜业;威努特;力控华康;珠海鸿瑞;绿盟;三零卫士;立思辰;中科网威;华大智宝;得安信息;安策科技;安盟电子;深信服;天融信;华为;中兴;联想等。其来源可分为以下几类:
(1)专业的工控网络安全公司:国内的海天炜业、威努特、天地和兴等。
(2)工业控制系统厂家:和利时、浙江中控等。
(3)传统信息安全公司的新增业务:绿盟、启明星辰、蓝盾等。
(4)科研院所及中石油、中石化等大型国企内部集成商:如赛迪、中电六所、石化盈科、中油瑞飞等。
由于安全防护功能可能会影响系统性能,增加成本;另一方面安全防护设备对于操作人员要求较高,企业普遍缺乏相关人才;此外,工控系统安全设备实施时需要协调多个部门,如信息、仪表等,因此,系统应用企业的工业控制系统信息安全工作积极性不高,让产品推广受到一定的阻力。
与发达国家相比,我国信息安全领域的产品标准以及跨领域的安全标准研究仍有待加强,国家网络与信息安全标准体系有待完善。信息产业包含成千上万的从业者、各种供应商,以及各类软件、硬件设备等,因此,从上游的电信运营商到下游的信息企业公司等,应建立统一的规范标准。
工信部某研究院从工业控制系统的技术线、管理线出发,制定形成了多项工业控制系统信息安全标准草案;初步建立了工业控制系统信息安全标准的标准验证仿真平台,形成了火力发电、轨道交通等网络安全仿真验证环境;提出了贯穿工业控制系统信息安全标准研制各阶段的标准验证流程;但目前已有工业控制系统信息安全仿真验证环境缺乏相关配套的标准测试工具,标准验证测试床尚不完备,形成的标准验证能力有限。
七成网络安全从业人员都是5年以上资深安全人士,而从业经验1年以下的仅为2.5%,网络安全人才短缺一直都是网络安全发展面临的最大的挑战。好在近两年来,用人单位提供给安全人员的薪酬有明显涨幅,约五分之一的网络安全人员年薪在30万以上,同比增长9.2%。但年薪在10万~30万的网络安全人员为主流。
一线城市安全人才需求大,人才分配不均,仅北、上、广三地对网络安全人才的需求就占全国总需求的三分之一。网络安全人才则主要集中在北京、深圳、上海、西安和成都。国内对网络安全人才的需求量高达70余万,社会对网络安全人才的需求量每年约1.5万人,高校每年培养的网络安全相关专业人数不到1万人。
英特尔公司安全研究团队发布的报告显示,美、英、法、德等8个国家的71%的企业表示,由于安全人才匮乏,每年都会因网络攻击而产生重大经济损失。权威数据显示,最近3年,我国高校学历教育培养的信息安全专业人才仅有3万余人,不足70万需求的5%。预计到2020年,需求量将达到140万人,而现在每年培养的人数,尚不足1.5万人。由于薪酬和福利等吸引人才的条件不足,传统安全企业的大量人才流入国外企业或者BAT等互联网公司,顶尖安全专家日益匮乏。
近年来,云安全、基于大数据理论的网络安全防护等新兴技术已经应用到传统信息安全领域,这些新技术可以对终端恶意文件进行有效识别,挖掘用户使用习惯,建立操作模型,实现自动生成防御策略,在安全方面实现了智能化,但这些技术在工业控制系统领域应用的较少。
目前,我国信息安全厂商的集中度较低,国内前五名厂商份额占比约26%,而全球前五大厂商份额占比约40%。信息安全领域细分领域众多,部分细分领域之间的技术关联性不强,而信息安全技术密集型的特点,造成企业很难在不同的细分领域同时发力。预计未来市场将更多通过并购的方式提高集中度。
信息安全行业分散格局的重要原因是信息安全贯穿整个信息流链条,涉及几乎所有信息设备与软件,单个信息安全企业无法掌握全部信息安全技术,只能根据自身技术优势和渠道特点进行差异化定位,选择部分细分领域参与竞争。
核心部件、核心设备依靠国外厂商提供配套资源,自己未掌握核心生产能力、核心技术的研发能力,导致信息安全核心元器件、核心设备乃至产业发展受制于人。国产基础软件尤其是核心产品如操作系统、浏览器等基本都依附西方技术标准,没有自己的编程语言和开发工具。我国工控产业综合竞争力不强,嵌入式软件、总线协议、工控软件等核心技术受制于国外,缺乏自主的通信安全、信息安全、安全可靠性测试等标准。
随着网络信息安全事件持续频发,国家加大了在网络信息安全产业方面的投入,并将此提升到了国家战略的层面。有效应对网络信息安全问题所带来的威胁,需要政府、企业和用户三方共同努力,构建正确的网络信息安全全局观,加强政企合作,持续加大安全投入,推动安全技术创新,多维度、多层级、全方位推进,形成拱卫之势。国家层面高度重视网络安全和信息化工作,中央网络安全和信息化领导小组、网信办、公安部、国家能源局等部门,在战略上、组织上、政策和法律上均加大力度加强网络安全工作。
国外产品对我们来说是“黑箱”,在不能了解防护对象的情况下进行安全防护工作十分困难,发展国产工控系统关键技术产品,加快国产化进程是国内工控信息安全相关机构与企业必须努力的方向。
工业控制系统的信息安全不仅可能造成信息丢失,还可能造成工业生产故障,引起环境问题和社会问题。防止工业控制系统安全事件的发生,已经成为政府和企业关注的热点,工业和信息化部下发的《关于加强工业控制系统信息安全管理的通知》,明确了加强工业控制系统信息安全管理的重要性和紧迫性、具体管理要求以及制度建设的迫切需要。应根据相关政策文件,研发工业控制系统安全防护智能化技术,开发符合标准的安全防护工具。
在国内关键领域信息系统产品投入使用之前,应采用第三方测评业务进行安全评测,同时,还要完善安全测评服务体系,不断提升信息安全服务质量。
工控系统中安全问题的发生除了传统的技术原因,更重要的是网络安全管理的规范化缺乏造成的。应该有针对性的提升我国信息安全标准化工作水平,带动信息技术产业及相关产业行业发展实现更大突破,支撑国家网络安全审查制度的顺利实施。
汇聚和培养工控安全领域高级工程技术人才。可从本科教育入手,增设网络安全专业,并且在自动化、通信、电子等专业增加工控网络安全课程。在研究生教育阶段,工控网络安全可以作为相关专业的一个研究方向。因工控网络安全涉及自动化、网络、信息安全等多学科,在专业建设及课程设置上需要做好顶层设计,自上而下的改进教育模式。
移动互联网、云计算、物联网等新兴技术促使互联网环境更加复杂,通过互联网所交互的数据包数量更加庞大,因此涌现出的新网络问题、安全问题、业务问题等都需要有相应的网络产品、安全产品支撑,显然我国在这方面的技术能力仍有待加强。
构建一个植根于工控系统的全生命周期解决方案。通过设备检测、监测审计、智能保护、安全数据库、威胁管理及安全服务等,形成一个丰富的产业链条。构建良好的行业生态,加速产业链上下游企业资本整合速度。