电科网安聚焦工业互联网产业链中的工业制造侧和工业平台侧的整体安全,实现工业企业的安全生产和工业平台安全赋能。工控系统是工业企业内部实现实时数据采集、工业基础设施自动化运行、过程控制与监控的重要系统。工控系统安全是工业互联网安全的基础,使用商用密码保护我国工控系统安全是大势所趋。
为保障我国工业控制系统安全,以实现工业控制行业与商用密码深度融合为目标,本文分析工业控制系统安全现状,提出工业控制系统密码应用发展4项建议。
工业控制系统安全现状与发展趋势分析
工业控制系统安全事件频出,网络攻击造成巨大经济损失
我国工业控制系统面临的安全威胁与风险不断加大
随着我国互联网普及和工业4.0、大数据、数字化工程等新技术、新业务的快速发展与应用,工业控制系统网络复杂度在不断提高,各生产单元内部系统与受控系统信息交换的需求不断增长,工业控制系统网络安全需求也在快速增长。近年来,工业控制系统高危安全漏洞层出不穷,暴露在互联网上的工业控制系统及设备有增无减,网络攻击难度逐渐降低,工业控制系统网络安全威胁与风险不断加大,对我国工业控制系统安全不断提出新的挑战。
我国工业控制系统面临的风险包括工业协议缺陷(如Modbus、OPC、IEC101/104等缺乏认证、授权、加密机制,使得工业控制协议易遭受第三者的窃听及欺骗性攻击)、工业设备缺陷(如设备安全性考虑不足,存在很多高危安全漏洞,有的甚至存在后门)、高危漏洞风险(据工业网络安全公司Claroty发布,2021年上半年工业控制系统产品的漏洞为637个,超过70%的为严重或高严重等级漏洞;而该公司2020年下半年披露的漏洞数量为449个)、组态软件缺陷(如KingView 6.53存在的缓冲区溢出漏洞)等。
我国工业控制系统的密码应用基础薄弱
使用商用密码保护工业控制系统安全是必然趋势
工业控制系统密码应用发展建议
构建工控系统密码应用体系,赋能工控系统安全运行
— 工业控制系统密码应用体系 —
逐步推进工业控制系统商用密码改造,逐步实现对网络安全等级保护三级以上工业控制系统的商用密码应用安全性评估。建设工业控制系统的密码应用体系,包括密码基础支撑设施建设、密码应用技术保障建设、密码管理保障建设和密码标准体系建设。建设密码应用技术保障,通过现场设备层密码应用、现场控制层密码应用、过程监控层密码应用、生产管理层密码应用和企业资源层密码应用,为工业控制系统的数据采集类业务、参数设置类业务、控制指令类业务等提供密码技术保障。建设密码管理保障,通过密码安全运维、应急容灾、安全保密等管理,实现密码安全管理。建设密码标准体系,通过建立工业控制系统密码技术、密码产品功能、密码协议、以及密码测评相关标准,实现互联互通。
将密码融入工控系统端侧,构建基于内生安全的工控系统
构建内生安全的工业控制系统,关键在于将密码融入工业控制系统的核心设备中。工业控制系统的核心控制设备如DCS、PLC、SIS、SCADA等,逐步将商用密码技术、安全可信技术融入控制器设计,基于商用密码算法实现访问控制、工业协议控制、数据加密保护、用户认证等安全功能。在工业控制系统的端侧,现场设备层中的仪表、传感器、执行器等,现场控制层的DCS控制系统、PLC控制系统、SIS控制系统等,过程监控层的SCADA系统等通过集成密码芯片、密码IP核、软件密码模块等实现密码算力支撑;对于不能改造的设备,在边界部署工业边缘超融合网关,实现设备接入认证、数据传输加密。在现场控制层和过程监控层之间部署工业加密网关,实现访问控制和传输加密。在过程控制层的操作站上部署智能密码钥匙,实现身份鉴别和主机安全管理。
打造基础密码支撑设施底座,促进工控系统密码应用有序建设
打造密码基础支撑设施底座,提供安全、合规、标准、适用的密码能力。密码基础支撑设施主要包括数字证书系统、密钥管理系统、数据库加密系统、密码监管系统等。密码基础支撑设施为工业控制系统提供数据加密能力,实现工业控制系统中证书及密钥的全生命周期管理,实现密码资源、密码设备、密码应用的全流程监管。
— 工控系统密码应用建设部署图(示例) —
培养工控安全密码复合型人才,推动人才队伍建设
网络空间的竞争,归根结底是人才竞争。培养工业自动化、网络安全、密码应用复合型人才,加强专业技能培训,建立人才选拔机制,是提升工控安全防护水平的核心关键。推动人才队伍建设,要加强国家、地方政策扶持,推广实用技能型人才教育,建立系统化人才培养机制;各高等院校和科研机构要加强学科建设和专业化培养,加强国际交流,建立联合型、实战型培养模式;加强工业企业和安全企业协同合作,发挥各自在行业、专业上的优势,借助竞赛平台合力培养复合型工控安全人才。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!