由华东师范大学承办的东方科技论坛第312期研讨会于2018年8月23—24日在上海沪杏科技图书馆举行。计算机软件专家何积丰院士以及上海工业自动化仪表研究院有限公司总经理教授级高级工程师徐建平共同担任本次会议执行主席,来自全国相关领域的50多位专家参加了本次研讨会。
工业控制系统已广泛地应用于各类基础设施,如电力、轨道交通、汽车电子、航空航天、高端装备等重要行业领域,是工业控制设备的基础。工业4.0、互联网+、中国智能制造2025等已成为国家重点发展战略,可以预计,超过80%涉及国计民生的关键基础设施将会实现工业控制自动化作业,这更使工业控制系统的信息化与智能化成为工业控制系统与制造发展的趋势。随着工业与信息化的深度融合,工业控制系统产品更多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,随之而来的是,通用设备的病毒和木马以及设计缺陷等威胁向工业控制系统扩散,工业控制系统的安全问题日益突出。另一方面,我国的工业控制系统核心部件与基础软件一直被国外若干巨头公司所垄断,这也为我国工业控制系统的安全埋下了隐患。因此,工业控制系统的信息安全与功能安全已成为工业控制领域要解决的核心问题,工业控制安全(简称工控安全)是学术界和工业界所面临的重大挑战,是国家实现工业化与信息化战略发展的关键步骤。
要彻底地解决工业控制的安全问题,必需加强研发我国完全自主可控的工业控制核心软硬件系统,同时研发安全监测平台,对通用协议、硬件以及软件进行安全监测,使之符合我国安全标准,铸建我国工业控制系统的安全保障。
构建工控安全防护与检测共性技术体系,实现自主可控的工控基础软硬件系统,对工业控制系统进行“安全体检”,实施功能安全与信息安全评测,控制安全风险,进行安全加固,提升其工控安全保障力度,从战略基础设施层面为上海的现代化进程提供技术支撑,并在全国范围内起到示范作用,已经成为上海“十三五”发展阶段在工控安全领域的迫切需求,具有重大的社会和经济意义。
(一)国内情况
2016年4月19日,习总书记主持召开网络安全和信息化工作座谈会,指出“网络安全和信息化工作是‘十三五’时期的重头戏”,他指出“加快构建关键信息基础设施安全保障体系。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”由此可见,工控安全已经成为保护这些关键信息基础设施的关键技术手段。近年来,我国加强了对工业控制系统安全问题的重视。2006年,我国在标准建设上陆续推出了《电气/电子/可编程电子安全相关系统的功能安全》GB/T20438系列,并在行业内进行贯标。2011年9月,工信部编制下发《关于加强工业控制系统信息安全管理的通知(工信部协[2011]451号)》文件,明确指出工业控制系统信息安全面临着严峻的形势,要求切实加强工业控制系统信息安全管理。2013年3月,国家电力监管委员会发布《电力工控信息安全专项监管工作方案(办发[2013]50号)》。近年全国信息安全标准化技术委员会正在草拟的工控安全相关标准包括:《工业控制系统安全防护技术要求和测试评价方法》、《工业控制系统信息安全分级规范》、《工业控制系统测控终端安全要求》等文件。
2015年底《工信部关于贯彻落实〈国务院关于积极推进“互联网+”行动的指导意见>行动计划(2015—2018年)》中明确指出:“推动传统装备智能化改造与升级,推动工业软件、工控安全系统关键技术研发及产业化”。我国针对工业控制系统安全问题陆续制定了一系列国家级行动计划,旨在推动和促进工控相关产业的健康可持续发展。
(二)国外情况
自2010年Stuxnet蠕虫病毒迫使伊朗核电站推迟发电以来,工业控制系统相关安全事件呈现出快速增长的总体趋势。2011年Duqu病毒的出现及2012年Flame火焰病毒肆虐中东地区,再次证明针对工业控制系统的各种网络攻击事件日益增多,且造成了惨痛的社会与经济损失。2015年,由于控制系统的功能安全失效引起的德国大众汽车工厂机器杀人事件再次暴露了工业控制系统在安全防护方面不足所导致的严重后果,进一步引起了各国政府与厂商对工控安全的重视。以美国为首的西方国家在本世纪初就将工控安全这一问题提升到国家战略高度,并积极推动在政策、标准、技术、方案等方面的引导措施。
2003年美国将工业控制系统的安全视为国家安全的优先事件。2008年美国成立工业控制系统网络应急相应小组(ICS—CERT),专注于工业控制系统相关的安全事故监控与现场支持。2009年美国颁布了《保护工业控制系统战略》,2011年推出包括NIST800—82等多个国家级标准,2013年又修订了《工业控制系统安全指南》。国际上也陆续推出工控安全相关的国际标准,如功能安全国际标准IEC61508、功能安全评估标准IEC62061、工控网络与系统信息安全标准IEC62443等。
美国传统信息安全厂商赛门铁克、迈克菲、思科以及传统工业控制厂商霍尼韦尔、罗克韦尔、通用电气以及一些新兴的专业工控安全厂商在工控系统的安全防护产品服务等方面已开展了深入的研究与实践,工控安全成为工业控制产业链的重要环节。在欧洲,以德国西门子、黑马、法国施耐德电气为代表的厂商相继成立工控安全实验室,为用户提供安全相关的解决方案与咨询服务。在加拿大,多芬诺公司曾以其著名的工控系统防火墙成为业内领先的工控系统安全的专业厂商,其产品在石化等多个行业被广泛应用。
针对工业控制系统面临的功能安全与信息安全挑战,国内外陆续提出相应的解决方案。在工控功能安全方面,国际上多家认证机构如莱茵、南德等,在核电、轨道交通、汽车电子等领域开展了系统功能安全的产品安全评估与认证、过程安全评估与认证方面的业务,根据应用场合的风险明确系统必须达到的安全等级来保证工业控制系统的功能安全。在工控信息安全方面,越来越多的用户要求工业控制设备制造厂商能够提供具有一定信息安全防范能力的工控设备,如西门子、施耐德电气等国际巨头都在设备级安全上做了深入的研究,自2014年陆续推出了成熟的工控安全产品。工业界目前通行的解决方案包括建立设备级、系统级和管理级的三级纵深防御体系来保障工业控制系统的信息安全,在提升设备功能安全同时,将信息安全功能集成到设备本身,进一步提升工控系统的防护能力。
举办本论坛的主要目的是从国家的战略高度出发,讨论当前工业控制系统的功能安全及信息安全态势,分析国际工业控制安全技术的发展趋势,建议未来我国在工业控制安全需要进行重点关注的技术、体系、政策、标准、平台等,为我国工业控制系统的整体状态以及未来发展进行深度梳理与分析,同时为国家制定相关的政策提供科学依据。
本次研讨会将围绕当前工业控制系统与相关基础设施的安全态势,分析国际工业控制安全技术的发展趋势,讨论未来我国在工业控制安全需要进行重点关注的技术、体系、政策、标准、平台等问题,为我国工业控制系统的整体状态以及未来发展进行深度梳理与分析,同时为国家制定相关的政策提供科学依据。本次研讨会主要围绕三个中心议题进行深入的学术讨论:1. 工业控制系统安全可信保障;2. 工业控制系统信息安全防护体系;3. 工控系统功能安全与自主可控。
|
