據(jù)權(quán)威工業(yè)安全事件信息庫(kù)RISI統(tǒng)計(jì),截止到2011年10 月,全球已發(fā)生200 余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件。2001年后,通用開發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用,使針對(duì)工業(yè)控制系統(tǒng)(ICS)的病毒、木馬等攻擊行為大幅度增長(zhǎng),結(jié)果導(dǎo)致整體控制系統(tǒng)的故障,甚至惡性安全事故,對(duì)人員、設(shè)備和環(huán)境造成嚴(yán)重的后果。比如伊朗核電站的震網(wǎng)病毒事件,給全球工業(yè)界控制系統(tǒng)的信息安全問(wèn)題敲響了警鐘。工控系統(tǒng)信息安全的需求變得更加迫切。
我國(guó)工控領(lǐng)域的安全可靠性問(wèn)題突出,工控系統(tǒng)的復(fù)雜化、IT化和通用化加劇了系統(tǒng)的安全隱患,潛在的更大威脅是我國(guó)工控產(chǎn)業(yè)綜合競(jìng)爭(zhēng)力不強(qiáng),嵌入式軟件、總線協(xié)議、工控軟件等核心技術(shù)受制于國(guó)外,缺乏自主的通信安全、信息安全、安全可靠性測(cè)試等標(biāo)準(zhǔn)。工信部發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》,要求加強(qiáng)與國(guó)計(jì)民生緊密相關(guān)的多個(gè)重點(diǎn)領(lǐng)域內(nèi)工業(yè)控制系統(tǒng)信息安全管理。事實(shí)告訴我們,只有做到居安思危、未雨綢繆,才能保證工業(yè)控制系統(tǒng)健康穩(wěn)定地運(yùn)行。(專題責(zé)任編輯金艷)
我國(guó)同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾,比如2010年齊魯石化、2011年大慶石化煉油廠,某裝置控制系統(tǒng)分別感染Conficker病毒,都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷。 2011年9月29日,工信部特編制下發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知(工信部協(xié)[2011]451號(hào))》文件。明確指出工業(yè)控制系統(tǒng)信息安全面臨著嚴(yán)峻的形勢(shì),要求切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理。
當(dāng)今持續(xù)演化的網(wǎng)絡(luò)威脅只有IT網(wǎng)絡(luò)安全方法和工程功能安全方法合力才足以抵御。下一次進(jìn)行HAZOP分析的時(shí)候,不要僅僅考慮過(guò)程危險(xiǎn),還要考慮IT危險(xiǎn)、后果和影響。能夠越早地摒棄安全和網(wǎng)絡(luò)安保功能之間的隔閡,就能夠更安全地實(shí)現(xiàn)經(jīng)濟(jì)目標(biāo)。
從病毒、蠕蟲到木馬和數(shù)據(jù)篡改,各種網(wǎng)絡(luò)威脅影響控制系統(tǒng),甚至擾亂了工廠作業(yè)。將保護(hù)過(guò)程控制系統(tǒng)看做一種健康的生活規(guī)律,需要建立規(guī)律的檢查和評(píng)估機(jī)制獲得控制系統(tǒng)性能信息,才能為系統(tǒng)建立起良好的安全策略。
