工控安全市场之我见——工业要发展,更要安全. 2018-01-31
2017年是工控安全不平凡的一年,“WannaCry”勒索病毒席卷全球范围,我国教育、政府、电力、石油、通信、交通运输、医疗等众多行业领域受到事件影响;工信部、公安部、网信办、能源局对涉及国家基础设施的企业工控安全检查常态化,工控系统网络安全问题普遍突出;6月1日开始实施的网络安全法要求对包括工控系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”实行网络安全等级保护; 等保2.0进入报批流程;12月,工信部发布《工业控制系统信息安全行动计划(2018-2020年)》强调全国性的一网一库三平台的建设。
“工控行业 安全需求凸显 ”
石油行业
三桶油将工控安全作为未来五年重点关注方向,总部都在牵头做工控安全建设规范,每年都在组织力量对下属企业进行安全检查。随着智能制造的推进,生产网普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段,极大地提升了生产效率。与此同时,严峻的网络信息安全风险也如影随形。采油采气、石油管道、炼化、油储、加油工控网络边界隔离、内部监测需求明显,千万级项目逐渐露头。
电力行业
遵循36号文《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》内容进行安全建设,《电力监控系统安全防护总体方案》对省级以上调度中心、地级调度中心、各类型发电厂、变电站、配电监控的监控系统的安全防护。近几年,能源局每年都会有对电厂和电网检查。各级电网还会对电厂进行安全检查。工信部依据《工控系统信息安全防护指南》对电力企业进行检查。公安部通过执法检查对电力企业进行安全检查。在安全检查和调度工控安全年方向的推动下,电厂、电调、电科院需求明确,有大量项目涌出。
轨道交通行业
目前全国范围内地铁建设进程很快,信息安全越来越被广泛认可,最重要的两个自动化系统都有明确的信息安全需求。“城市轨道交通综合监控系统工程技术规范”V2.0版本中已经明确增加信息安全要求:综合监控系统信息安全应满足国家工业控制系统信息安全相关标准要求,并按照三级信息安全等级保护进行设计、工程实施和验收;应实现防攻击、防病毒、防漏洞、防非法操作等,并实时监察系统信息异常,及时进行处置。
在信号系统招标书里大多有这句话,投标人应当按照《信息安全等级保护管理办法》(公通字[2007]43号)、《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)和《信息系统安全保护等级保护实施指南》(GB/T 25058-2010)实施等级保护工作。应符合国家安全部门对信号信息系统等级(暂定3级)保护要求,能够防范病毒入侵、黑客攻击、对数据有审计功能等技术要求的能力。信号系统应接受并通过信息保护等级相适应的测试,并在正式运营前通过等级保护测评。
烟草行业
行业工控安全标准即将发布,行业工控安全标杆项目已经验收。企业十有七八提出明确的工控安全需求,卷烟厂、复烤厂、商烟物流、醋纤厂对工控安全需求明确。
地下综合管廊行业
自2015年和2016年开展两批试点项目以来,已确定2015年10个试点城市名单包括:包头、沈阳、哈尔滨、苏州、厦门、十堰、长沙、海口、六盘水、白银。2016年15个试点城市名单包括:郑州、广州、石家庄、四平、青岛、威海、杭州、保山、南宁、银川、平潭、景德镇、成都、合肥、海东。除试点城市之外,其他各省市(如:四川遂宁)也自主开展了城市地下综合管廊的建设,全国累计建设里程已达2000多公里。
地下综合管廊作为保障城市运行的重要基础设施和“生命线”,随着“互联网+” 作为国家战略推进,管廊运营商正规划城市级管廊综合运维平台,同时管廊监控系统与市政消防、公安系统联动需求要求管廊监控系统接入互联网与市政系统进行互联。如果管廊工业控制网络与互联网络连接不进行任何逻辑隔离和检测防护,外部威胁源一旦进入工控网络,则可以一通到底的连接到工业网络的现场控制层网络,直接影响管廊的正常运维,甚至造成整个城市管理混乱。
另一方面管廊工业控制网络内部设备如各类操作站、终端等,大部分采用Windows系统,为保证工业软件的稳定运行一般无法进行系统升级甚至不能安装杀毒软件,存在着大量漏洞,在自身安全性不高的情况下运行,综合而言管廊工业控制系统的安全风险不言而喻。
先进制造行业
在中国制造2025、互联网+的国家战略背景下,制造行业产业升级已成大势所趋。十三五规划也明确提出产业结构调整、工业互联、智能制造示范试点等的具体任务。为完成十三五规划的具体各部委、各行业主管单位等均在积极推动智能制造示范项目。
在我国制造行业迅猛发展的同时,也暴露出了一些信息安全问题,大多设备采用国外品牌,面临着国外厂商运维中重要数据泄露的风险。工控网络与管理网或与DNC服务器连接时,在提高效率的同时也面临着被感染病毒、恶性攻击的风险。整体安全管理策略缺失,如机床及“操作员站”的漏洞、编程工作站、人员的操作流程等方面。目前,各军工企业生产单位均有工控安全需求,生产网与涉密网相连势在必行。保密政策明晰后,市场前景良好。
工业不但要发展,也要网络安全。纵观整个2017年,工业互联网在国内的推进无论从国家政策层面还是企业实际落地层面都得到了积极的重视,而对工业互联网的信息安全保障也是一样的,伴随着国家“互联网+制造业”、“三去一补一降”等政策的不断推进落实,工业互联网的推进速度必将不断加快,工业控制系统安全的发展重点也将逐步转向工业物联网安全、工业云安全等工业互联网的安全范畴。
上海网腾信息科技有限公司 网络及安全解决方案提供商