据权威工业安全事件信息库RISI统计,截止到2011年10 月,全球已发生200 余起针对工业控制系统的攻击事件。2001年后,通用开发标准与互联网技术的广泛使用,使针对工业控制系统(ICS)的病毒、木马等攻击行为大幅度增长,结果导致整体控制系统的故障,甚至恶性安全事故,对人员、设备和环境造成严重的后果。比如伊朗核电站的震网病毒事件,给全球工业界控制系统的信息安全问题敲响了警钟。工控系统信息安全的需求变得更加迫切。
我国工控领域的安全可靠性问题突出,工控系统的复杂化、IT化和通用化加剧了系统的安全隐患,潜在的更大威胁是我国工控产业综合竞争力不强,嵌入式软件、总线协议、工控软件等核心技术受制于国外,缺乏自主的通信安全、信息安全、安全可靠性测试等标准。工信部发布《关于加强工业控制系统信息安全管理的通知》,要求加强与国计民生紧密相关的多个重点领域内工业控制系统信息安全管理。事实告诉我们,只有做到居安思危、未雨绸缪,才能保证工业控制系统健康稳定地运行。(专题责任编辑金艳)
我国同样遭受着工业控制系统信息安全漏洞的困扰,比如2010年齐鲁石化、2011年大庆石化炼油厂,某装置控制系统分别感染Conficker病毒,都造成控制系统服务器与控制器通讯不同程度地中断。 2011年9月29日,工信部特编制下发《关于加强工业控制系统信息安全管理的通知(工信部协[2011]451号)》文件。明确指出工业控制系统信息安全面临着严峻的形势,要求切实加强工业控制系统信息安全管理。
当今持续演化的网络威胁只有IT网络安全方法和工程功能安全方法合力才足以抵御。下一次进行HAZOP分析的时候,不要仅仅考虑过程危险,还要考虑IT危险、后果和影响。能够越早地摒弃安全和网络安保功能之间的隔阂,就能够更安全地实现经济目标。
从病毒、蠕虫到木马和数据篡改,各种网络威胁影响控制系统,甚至扰乱了工厂作业。将保护过程控制系统看做一种健康的生活规律,需要建立规律的检查和评估机制获得控制系统性能信息,才能为系统建立起良好的安全策略。
