隨著計算機技術、通信技術和控制技術的快速發展,傳統的自動控制領域正經歷著一場前所未有的變革,呈現出高度集成化、智能化、網絡化的發展特點。工業控制系統日趨復雜,設備通用化以及系統IT化的趨勢將加劇安全風險。此外,目前我國工控系統的核心技術受制于國外,潛在風險巨大。
一、 我國工業控制軟件(系統)的發展背景及現狀
2010年,Stuxnet病毒襲擊伊朗核電站,再次證明國際作戰形態正在向電子戰、信息戰、非對稱戰爭轉變;
2012年4月10日開始,中菲在黃巖島對峙,背后的世界大國利益激烈碰撞,表明中國周邊并不太平;
2011年7月23日,甬溫線特別重大鐵路交通事故發生,國內工業控制系統的安全問題凸顯……
因此,作為工業裝備和國家關鍵基礎設施的核心,工業控制系統的安全可靠運行事關國計民生和國家安全。目前,我國政府高度重視工業控制軟件(系統)安全可靠性問題,正逐步加強對工業控制軟件(系統)的管理。
2011年10月27日,工信部發布《關于加強工業控制系統信息安全管理的通知(工信部協[2010]451號)》,標志著我國對于工業控制系統的安全管理上升為國家戰略。
2011年12月21日,在工業和信息化部軟件服務業司指導下,中國工業軟件產業發展聯盟正式成立,眾多專業工業軟件廠商和綜合軟件服務廠商踴躍參加。
二、 我國工業控制軟件(系統)的問題
我國工業控制系統起步于上世紀50年代,相比于國外晚了近半個世紀,產業技術水平存在著一定的差距,現階段存在以下問題。
(一)工業控制系統復雜化、IT化和通用化趨勢將增加安全隱患
我國工業控制系統在技術、產業、應用上的高速發展, 已逐步具備高度集成化、智能化、網絡化的發展趨勢和特點。由于工業控制系統的管控一體化趨勢,使得工業控制系統與傳統IT管理系統以及互聯網相連通,內部也越來越多地采用了通用軟件、通用硬件和通用協議。工業控制系統日益復雜化、IT化和通用化的趨勢將使傳統封閉的工業控制系統逐步暴露出來,直接面對來自外界的種種威脅,增加了工業控制系統的安全隱患。
(二)國內產業綜合競爭力不強,難以全面保障系統安全可靠
我國工業控制系統已形成較大的產業規模,在部分領域取得了較大的市場占有率,但在芯片、嵌入式操作系統、嵌入式軟件、總線協議和工控軟件等高端核心技術仍受制于國外公司,高端市場擁有自主知識產權的技術和產品少,產業安全存在隱患,國內企業競爭力有待提升。而在我國的絕大部分工業控制系統建設中,大型的系統集成項目都由國外廠商參與實施,并對其中集成的實現細節不予公布。國內產業綜合競爭力不強,難以全面保障我國的工業控制系統安全可靠運行。
(三)國內缺乏安全可靠性測評、功能安全測試與認證等標準規范及機構
我國目前尚未形成安全可靠性測評或各行業的功能安全測評的標準規范和測試機構,目前的安全可靠性測評缺乏體系、方法、技術及評價方法,企業和用戶難以實現對工業控制軟件和系統的評價。在功能安全測試與認證方面,我國目前高級別的功能安全認證主要由委托國外認證機構進行認證。認證機構須全面介入被認證企業的認證產品設計和研發過程,并需要對方提供幾乎全部設計代碼和科研文檔,這無疑為我國自主知識產權的工業控制系統產品埋下巨大的安全隱患。
(四)企業及用戶的安全意識有待加強
工業控制系統研發企業的安全意識不足,在系統設計之中未系統考慮整體安全設計,開發、測試、認證過程缺乏系統性信息安全和功能安全的節點控制,在工業控制系統產品驗收過程中也存在只重視功能實現,不重視安全的現象。工業控制系統用戶的安全意識缺乏,在采購工業控制系統與軟件時追求功能最大化,缺乏對于安全問題的重視。企業和用戶過于考慮系統的功能、性能和靈活性等,忽視了產品及系統的安全性,運行維護中對安全管理也不夠重視,增加了工業控制系統遭受病毒攻擊的可能性,病毒、木馬等威脅正在向工業控制系統擴散,導致一系列控制失效、運行癱瘓、數據泄露等工業控制系統安全可靠性問題。
三、 我國工業控制軟件(系統)安全可靠性保障的對策與實踐
為保障工業軟件產業健康發展,推動形成工業軟件產業健康發展與工業控制系統安全可靠運行之間的良性循環,應從工業控制系統的安全性和可靠性兩個維度出發,提高工業控制軟件和系統自主創新能力,重點支持提升關鍵系統和產品的技術水平,加大市場覆蓋度,強化工業控制軟件(系統)的測評能力,建立工業控制領域的安全可靠性測評保障手段,從軟件(系統)內部可靠性質量、外部信息安全防護能力兩個方面綜合提高我國的工業控制系統安全可靠性水平,從根本上解決我國工業控制軟件(系統)的安全風險問題,建立我國工業控制系統的深度防御體系。
近年來,針對工業控制軟件(系統)的系統結構、薄弱環節、關鍵技術、漏洞檢測、安全攻防、安全可靠性測評等方面,工業和信息化部計算機與微電子發展研究中心(中國軟件評測中心)開展了深入研究,研制工業控制系統安全可靠性測評模型及測評規范,研發專業測評工具。
依據工業控制系統可靠性測評規范,中國軟件評測中心實施了大量的測試項目,典型案例包括:國務院“7·23”甬溫線特重事故列車控制系統和軌道電路系統技術測試、“核高基”專項汽車電子控制器嵌入式軟件平臺測試、中國電子科技集團控制用嵌入式實時操作系統測試、北京市交管局交通信號控制系統NTCIP測試以及“高檔數控機床與基礎制造裝備”專項中的大型鑄件凝固過程模擬三套軟件測試、鑄造成形過程模擬仿真與工藝優化系統、面向動靜熱特性機床數字化設計軟件等。
京公網安備 11010502049343號