999国内精品永久免费视频,色偷偷9999www,亚洲国产成人爱av在线播放,6080亚洲人久久精品,欧美超高清xxxhd

  編者：21世紀是信息化時代。對石油化工等制造業(yè)而言，以震網(wǎng)蠕蟲為代表的木馬、病毒等對工業(yè)自動化生產(chǎn)安全帶來了極大威脅，因此工業(yè)控制系統(tǒng)的安全成為信息化時代企業(yè)安全生產(chǎn)的重中之重。調(diào)查報告顯示，在工業(yè)信息安全產(chǎn)品應用領域中，石油化工占比最多，達34%，其中油氣占13%、石化占11%、化工占10%;而在工控系統(tǒng)專用防火墻產(chǎn)品應用領域中，石油化工占比更高達76%……　　

茂名石化公司煉油中心控制室

　　21世紀是信息化時代。對石油化工等制造業(yè)而言，以震網(wǎng)蠕蟲為代表的木馬、病毒等對工業(yè)自動化生產(chǎn)安全帶來了極大威脅，因此工業(yè)控制系統(tǒng)的安全成為信息化時代企業(yè)安全生產(chǎn)的重中之重。調(diào)查報告顯示，在工業(yè)信息安全產(chǎn)品應用領域中，石油化工占比最多，達34%，其中油氣占13%、石化占11%、化工占10%;而在工控系統(tǒng)專用防火墻產(chǎn)品應用領域中，石油化工占比更高達76%，其中油氣占25%、石化占37%、化工占14%。那么，目前我國石油和化工行業(yè)工業(yè)控制系統(tǒng)安全現(xiàn)狀如何?面臨的安全挑戰(zhàn)有哪些?我們又該如何應對?對此，記者進行了深入采訪。

　　工控系統(tǒng)安全不容忽視

　　國家網(wǎng)絡與信息安全技術研究所副所長許俊峰指出，保護工控系統(tǒng)之所以引起高度重視，是因為工控安全所面臨的風險有急劇擴大的趨勢。最初的工控系統(tǒng)，被設計為獨立封閉的系統(tǒng)，其安全風險主要是設備運行的穩(wěn)定、操作合理性等問題。但是，隨著系統(tǒng)規(guī)模及相應系統(tǒng)的融合，商用管理軟件也被廣泛使用，這使得傳統(tǒng)互聯(lián)網(wǎng)中的攻擊手段可能被應用于工控系統(tǒng)。

　　中國科學院軟件研究所可信計算與信息保障實驗室副主任蘇璞睿也表示，工業(yè)控制系統(tǒng)的廣泛應用使其成為網(wǎng)絡攻擊的焦點。和傳統(tǒng)網(wǎng)絡相比，對工業(yè)控制系統(tǒng)的攻擊將對現(xiàn)實社會造成破壞，其破壞性更直接。未來，針對工業(yè)控制系統(tǒng)的攻擊將越來越頻繁，越來越普遍。震網(wǎng)雖然在國內(nèi)尚未有發(fā)作記錄，但其潛在威脅不容忽視，它讓業(yè)內(nèi)人士認識到工業(yè)控制系統(tǒng)面臨的安全威脅。

　　信息安全已經(jīng)上升到國家戰(zhàn)略高度。有專家表示，目前掌握的信息都表明，震網(wǎng)蠕蟲的開發(fā)是一種國家行為。從其采用的技術手段而言，與其所用到的windows系統(tǒng)的漏洞或工控系統(tǒng)的漏洞是普通的個人或一般網(wǎng)絡黑客組織所不具備的。而對安全保障專家而言，震網(wǎng)也是目前網(wǎng)絡戰(zhàn)最成功、最典型的代表。其原理是通過蠕蟲在互聯(lián)網(wǎng)傳播，不需要借助特工，通過病毒自由傳播、搜集目標進行攻擊。雖然其研發(fā)成本很高，但攻擊成本很低且較易實現(xiàn)。

　　海天煒業(yè)總經(jīng)理劉安正以公司自身的發(fā)展舉例說，在自動化系統(tǒng)運維過程中可以發(fā)現(xiàn)，信息安全問題已經(jīng)愈來愈嚴重。有的企業(yè)影響了生產(chǎn)，造成了停車；有的企業(yè)雖然沒有影響停車，但生產(chǎn)安全穩(wěn)定運行已經(jīng)存在極大的隱患。據(jù)劉安正介紹，大型流程工業(yè)的工控系統(tǒng)很多中過病毒，此前已發(fā)生過某煉化壓縮機速度異常降低、某石化芳烴裝置中蠕蟲病毒、某煉化公司硫黃裝置因類似原因停車等多起事故。

　　因此，兩化融合下的信息安全隱患應予以重視。齊魯石化公司勝利煉油廠自動化信息所所長王永昌認為，隨著石化行業(yè)信息化的不斷深入、精細化管理的需求，特別是智能工廠的即將實施，都離不開及時了解現(xiàn)場信息，管控結合就成為必然趨勢，DCS控制系統(tǒng)與外界不再隔離。控制網(wǎng)絡和信息網(wǎng)絡之間廣泛采用OPC通信技術。此外，先進過程控制(APC)也需要OPC技術建立通訊。

　　然而，目前常用的OPC通訊隨機使用1024~65535中的任意端口，采用傳統(tǒng)IT防火墻進行防護配置時，被迫需要開放大量端口，形成嚴重的安全漏洞；同時，OPC的訪問權限過于寬松，任意網(wǎng)絡中的任意計算機都可以運行OPC中的服務；且OPC使用的Windows的DCOM和RPC服務極易受到攻擊。普通IT方后勤無法實現(xiàn)工業(yè)通訊協(xié)議的過濾，網(wǎng)絡中某個操作站/工程師站感染病毒，會馬上傳播到其他計算機，造成所有操作站同時故障，嚴重時可導致操作站失控甚至停車。

　　王永昌表示，僅靠目前現(xiàn)有的安全防護措施，已經(jīng)不能滿足石油化工行業(yè)信息安全的需求。他告訴中國化工報記者，2010年4月23日，齊魯石化SSOT裝置四臺操作站同時報警，連接不到服務器，同時發(fā)現(xiàn)服務器運行速度非常慢，無法正常關機重啟，斷電重啟后服務器及各操作站運行正常。此后幾天連續(xù)出現(xiàn)反復，并造成數(shù)據(jù)丟失。技術人員在對各服務器、操作站系統(tǒng)打補丁時發(fā)現(xiàn)了病毒。“采用傳統(tǒng)的黑名單方式進行病毒和攻擊阻斷，會產(chǎn)生滯后，勢必對生產(chǎn)造成影響，而且要持續(xù)對病毒庫進行更新，所以企業(yè)希望有一種更好的防護方式。”王永昌說。

　　工控信息安全技術須自主

　　許俊峰認為，就國內(nèi)而言，由于工控產(chǎn)品被幾個國際寡頭控制，國內(nèi)中高端設備主要依賴進口，這進一步激化了國內(nèi)工業(yè)安全風險。在此背景之下，國內(nèi)眾多的科研院所、企事業(yè)單位均開展了工控安全的研究工作。

　　工業(yè)和信息化部電子科學技術情報研究所副所長李新社指出，只有開發(fā)具有自主知識產(chǎn)權的工控信息安全防護核心產(chǎn)品，才能擺脫工控系統(tǒng)安全產(chǎn)品受制于人的局面。

　　同時，李新社表示，工業(yè)信息安全已經(jīng)成為國家的戰(zhàn)略需求。震網(wǎng)病毒只是我們所知的案例之一，事實上，與工控系統(tǒng)相關聯(lián)的潛在威脅仍然有很多，所有的工業(yè)控制基礎設施都面臨著信息安全威脅。

　　李新社認為，工控系統(tǒng)安全不僅是國家關鍵設施穩(wěn)定運行的保障，也是我國工業(yè)長期健康可持續(xù)發(fā)展的核心競爭力之一。“今天，新工業(yè)革命的浪潮正在到來。大家都在說工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)、智慧工廠、互聯(lián)企業(yè)……這些新的概念提出的同時也預示著一個個重要的安全隱患的存在。當我們進一步利用數(shù)字化、信息化對工業(yè)基礎設施進行控制的時候，面臨的威脅就越來越大。”李新社表示，防火墻的產(chǎn)品首先面臨的是物理的防護，而更重要的是要考慮其心臟部分，即信息流在流動和控制期中間所面臨的安全威脅，這樣的威脅是看不見的。

　　據(jù)悉，習近平主席在最近的幾次講話中連續(xù)多次提到了網(wǎng)絡安全的問題，工信部也就此提出要研發(fā)技術先進、行業(yè)領先、安全可信、自主可控的產(chǎn)品。此前，工信部于2010年9月發(fā)布了《關于加強工控安全系統(tǒng)信息安全》的通知，明確了工控系統(tǒng)安全與領導組織機構、技術保障、規(guī)章制度等方面的要求。2012年，發(fā)改委信息安全專項也將工業(yè)防火墻列為重點支持領域，為海天煒業(yè)新一代工業(yè)防火墻的誕生提供了重要的經(jīng)費、政策支持。

　　歐美發(fā)達國家一直將具有重要戰(zhàn)略意義的工業(yè)控制系統(tǒng)融入到國防規(guī)劃之中。自“9·11”以來，工控安全已經(jīng)日益成為反恐和國土安全的研究核心。2010年5月，美國成立網(wǎng)絡戰(zhàn)司令部，將對傳統(tǒng)基礎設施的攻擊能力作為國家網(wǎng)絡戰(zhàn)的重要作戰(zhàn)能力之一。美國中央情報局(CIA)局長萊昂·帕內(nèi)塔2011年2月10日稱，電網(wǎng)系統(tǒng)“代表了未來的戰(zhàn)場”。相比而言，國內(nèi)對該領域的研究起步較晚。直至伊朗震網(wǎng)病毒的發(fā)現(xiàn)，中國才從政策層面和行業(yè)層面開展工控安全的排查。

　　工控系統(tǒng)未來走向何方

　　目前我國工控系統(tǒng)呈現(xiàn)出哪些發(fā)展趨勢?

　　對此，蘇璞睿從“攻擊者”和“防護者”的視角解讀了目前工業(yè)控制系統(tǒng)的發(fā)展趨勢。他認為，從“攻擊者”的視角看，工控系統(tǒng)發(fā)展主要有三大趨勢。

　　一是從定制化向通用平臺的轉變。早期工業(yè)控制系統(tǒng)針對特定應用需求研發(fā)，各系統(tǒng)之間的軟硬件產(chǎn)品通用性差;反觀現(xiàn)有控制系統(tǒng)，其集成化程度越來越高，越來越多地采用通用的軟硬件產(chǎn)品(芯片、操作系統(tǒng)等)。

　　二是純硬件向軟硬結合的轉變，這降低了攻擊工控系統(tǒng)的技術門檻。早期的工業(yè)控制系統(tǒng)主要依賴硬件實現(xiàn)，系統(tǒng)可擴展性差，現(xiàn)有控制系統(tǒng)在通用硬件計算平臺基礎上，大量采用軟件方式實現(xiàn)；網(wǎng)絡攻擊的實施在某種程度上也是在原有系統(tǒng)平臺上擴展實現(xiàn)新的功能，工業(yè)控制系統(tǒng)的可擴展性也決定了其攻擊實現(xiàn)的難易程度。

　　三是單一設備控制向網(wǎng)絡互聯(lián)的轉變。早期的工業(yè)控制系統(tǒng)主要在單一、獨立的設備中實現(xiàn)，現(xiàn)在的工業(yè)控制系統(tǒng)則將大量設備互聯(lián)，工業(yè)控制系統(tǒng)甚至與互聯(lián)網(wǎng)相連，系統(tǒng)越來越復雜;同時網(wǎng)絡互聯(lián)使系統(tǒng)暴露更多的漏洞，為攻擊的實現(xiàn)提供了更多潛在的技術渠道，也為攻擊造成大規(guī)模破壞提供了條件。

　　而從“防護者”的視角看，工控系統(tǒng)的發(fā)展同樣有三大趨勢。

　　一是高穩(wěn)定性要求帶來的系統(tǒng)技術陳舊。蘇璞睿表示，工業(yè)控制系統(tǒng)對系統(tǒng)的穩(wěn)定性有很高的要求，一般情況下，一套系統(tǒng)建設完成之后，系統(tǒng)內(nèi)的設備、平臺不會輕易地做更新?lián)Q代，造成當下很多的共控制系統(tǒng)仍在采用Dos、Windows XP等操作系統(tǒng)平臺;而對于已發(fā)現(xiàn)的安全漏洞若無法充分地驗證，評估補丁程序對控制系統(tǒng)穩(wěn)定性的影響，企業(yè)也會更傾向于選擇不打補丁。“不會像個人電腦一樣，下載補丁后立刻打上。”他說，“在這種條件下，如何保障信息系統(tǒng)安全穩(wěn)定運行，是個很有難度的事情。”

　　二是高實時性要求帶來的防護系統(tǒng)性能挑戰(zhàn)。“互聯(lián)網(wǎng)中我們也很強調(diào)性能，但跟工業(yè)控制系統(tǒng)相比就是小巫見大巫了。”蘇璞睿表示，工業(yè)控制系統(tǒng)對系統(tǒng)的實時響應要求是普通互聯(lián)網(wǎng)無法比擬的，因此也對各類防護系統(tǒng)提出了更高的性能要求。這造成一系列復雜的、智能化的分析、檢測算法都無法滿足工業(yè)控制系統(tǒng)的安全防護要求，限制了防護方法的應用。

　　三是高可靠性要求帶來的檢測高準確性目標。工業(yè)控制系統(tǒng)同時具有高可靠性要求，這樣也要求防護系統(tǒng)的分析檢測結果要具有明確的確定性，從而造成當前基于模糊匹配、聚類分析等智能算法的入侵檢測、計算機免疫等各類模糊檢測方法無法應用。

　　如何應對工控信息安全挑戰(zhàn)

　　面對工控安全新趨勢及挑戰(zhàn)，石油和化工企業(yè)如何應對?為此，蘇璞睿也給出了三條建議。

　　首先，建立以可信計算為核心的安全防護技術體系。蘇璞睿指出，可信計算是解決工業(yè)控制系統(tǒng)安全問題的重要思路之一，在解決工業(yè)控制系統(tǒng)安全方面具有獨特的優(yōu)勢。

　　一是相對穩(wěn)定的環(huán)境更有利于可信計算技術的應用。工控系統(tǒng)中設備、系統(tǒng)、應用、業(yè)務均較為穩(wěn)定、單一，沒有頻繁的更新;同時也可根據(jù)業(yè)務環(huán)境，執(zhí)行更嚴格的安全策略，適合可信計算的應用模式。

　　二是非黑即白的防御策略具有更好的檢測確定性?？尚庞嬎愀鶕?jù)安全策略，允許運行執(zhí)行代碼才能運行，具有明確的結果確定性。

　　三是核心算法簡單保證了良好的防護性能。與各類復雜的智能算法相比，可信計算技術算法簡單、運行效率高，可更好地滿足工業(yè)控制系統(tǒng)的實時性要求，實現(xiàn)可信、可控、可管的目標。

　　同時，蘇璞睿表示，安全沒有一個放之四海皆行的解決方案。不同行業(yè)面臨不同的安全威脅，因此，要針對不同的威脅制定不同的解決方案。如國家重要基礎設施面對的主要是國家級、有組織的對抗破壞，其造成的危害直接影響到國家安全;普通商業(yè)型企業(yè)面對的主要是一些競爭對手或經(jīng)濟犯罪的干擾破壞，其造成的危害主要是影響到企業(yè)的發(fā)展和商業(yè)利益。此外，不同的行業(yè)也具有不同的業(yè)務背景。工業(yè)控制系統(tǒng)具有較為獨立的業(yè)務模擬、專有協(xié)議、專有數(shù)據(jù)格式等特殊性，需要針對不同行業(yè)建立有針對性的防護策略，研發(fā)有針對性的防護技術手段，提高工業(yè)控制系統(tǒng)安全防護能力。“最具有針對性的安全解決方案才是最有效的。”他說。

　　其次，加強國家基礎設施中系統(tǒng)和產(chǎn)品的安全性檢測。蘇璞睿指出，國家基礎設施和普通企業(yè)生產(chǎn)系統(tǒng)相比，具有更高的安全需求，但我國在現(xiàn)階段仍不可避免地需要采用國際各類產(chǎn)品。同時，現(xiàn)有的安全檢測技術手段主要面向傳統(tǒng)計算機網(wǎng)絡，而工業(yè)控制系統(tǒng)中大量采用嵌入式系統(tǒng)或其他專用計算平臺，檢測技術手段較為薄弱。

　　最后，建立專用測試驗證環(huán)境，加強聯(lián)合技術攻關。蘇璞睿解釋說，工業(yè)控制系統(tǒng)具有其自身的獨特性，建立專用測試驗證環(huán)境是開展深入研究工作的前提和基礎。這是理論方法體系研究的需要，也是技術產(chǎn)品測試驗證的需要，同時也是系統(tǒng)集成與評估的需要。同時他表示，工業(yè)控制系統(tǒng)安全與傳統(tǒng)計算機網(wǎng)絡安全有一定的共性，也有一定的特殊性，應加強兩方面團隊的聯(lián)合，推動研究的深入。