随着计算机技术、通信技术和控制技术的快速发展,传统的自动控制领域正经历着一场前所未有的变革,呈现出高度集成化、智能化、网络化的发展特点。工业控制系统日趋复杂,设备通用化以及系统IT化的趋势将加剧安全风险。此外,目前我国工控系统的核心技术受制于国外,潜在风险巨大。
一、 我国工业控制软件(系统)的发展背景及现状
2010年,Stuxnet病毒袭击伊朗核电站,再次证明国际作战形态正在向电子战、信息战、非对称战争转变;
2012年4月10日开始,中菲在黄岩岛对峙,背后的世界大国利益激烈碰撞控制工程网版权所有,表明中国周边并不太平;
2011年7月23日,甬温线特别重大铁路交通事故发生,国内工业控制系统的安全问题凸显……
随着计算机技术、通信技术和控制技术的快速发展,传统的自动控制领域正经历着一场前所未有的变革,呈现出高度集成化、智能化、网络化的发展特点。工业控制系统日趋复杂,设备通用化以及系统IT化的趋势将加剧安全风险。此外,目前我国工控系统的核心技术受制于国外,潜在风险巨大。
因此,作为工业装备和国家关键基础设施的核心,工业控制系统的安全可靠运行事关国计民生和国家安全。目前控制工程网版权所有,我国政府高度重视工业控制软件(系统)安全可靠性问题,正逐步加强对工业控制软件(系统)的管理。
2011年10月27日,工信部发布《关于加强工业控制系统信息安全管理的通知(工信部协[2010]451号)》,标志着我国对于工业控制系统的安全管理上升为国家战略。
2011年12月21日,在工业和信息化部软件服务业司指导下CONTROL ENGINEERING China版权所有,中国工业软件产业发展联盟正式成立,众多专业工业软件厂商和综合软件服务厂商踊跃参加。
二、 我国工业控制软件(系统)的问题
我国工业控制系统起步于上世纪50年代,相比于国外晚了近半个世纪,产业技术水平存在着一定的差距,现阶段存在以下问题。
(一)工业控制系统复杂化、IT化和通用化趋势将增加安全隐患
我国工业控制系统在技术、产业、应用上的高速发展, 已逐步具备高度集成化、智能化、网络化的发展趋势和特点。由于工业控制系统的管控一体化趋势,使得工业控制系统与传统IT管理系统以及互联网相连通,内部也越来越多地采用了通用软件、通用硬件和通用协议。工业控制系统日益复杂化、IT化和通用化的趋势将使传统封闭的工业控制系统逐步暴露出来,直接面对来自外界的种种威胁,增加了工业控制系统的安全隐患。
(二)国内产业综合竞争力不强,难以全面保障系统安全可靠
我国工业控制系统已形成较大的产业规模,在部分领域取得了较大的市场占有率,但在芯片、嵌入式操作系统、嵌入式软件、总线协议和工控软件等高端核心技术仍受制于国外公司,高端市场拥有自主知识产权的技术和产品少,产业安全存在隐患,国内企业竞争力有待提升。而在我国的绝大部分工业控制系统建设中,大型的系统集成项目都由国外厂商参与实施,并对其中集成的实现细节不予公布。国内产业综合竞争力不强,难以全面保障我国的工业控制系统安全可靠运行。
(三)国内缺乏安全可靠性测评、功能安全测试与认证等标准规范及机构
我国目前尚未形成安全可靠性测评或各行业的功能安全测评的标准规范和测试机构,目前的安全可靠性测评缺乏体系、方法、技术及评价方法,企业和用户难以实现对工业控制软件和系统的评价。在功能安全测试与认证方面,我国目前高级别的功能安全认证主要由委托国外认证机构进行认证。认证机构须全面介入被认证企业的认证产品设计和研发过程,并需要对方提供几乎全部设计代码和科研文档,这无疑为我国自主知识产权的工业控制系统产品埋下巨大的安全隐患。
(四)企业及用户的安全意识有待加强
工业控制系统研发企业的安全意识不足,在系统设计之中未系统考虑整体安全设计,开发、测试、认证过程缺乏系统性信息安全和功能安全的节点控制,在工业控制系统产品验收过程中也存在只重视功能实现,不重视安全的现象。工业控制系统用户的安全意识缺乏,在采购工业控制系统与软件时追求功能最大化,缺乏对于安全问题的重视。企业和用户过于考虑系统的功能、性能和灵活性等,忽视了产品及系统的安全性,运行维护中对安全管理也不够重视,增加了工业控制系统遭受病毒攻击的可能性,病毒、木马等威胁正在向工业控制系统扩散www.cechina.cn,导致一系列控制失效、运行瘫痪、数据泄露等工业控制系统安全可靠性问题。
三、 我国工业控制软件(系统)安全可靠性保障的对策与实践
为保障工业软件产业健康发展,推动形成工业软件产业健康发展与工业控制系统安全可靠运行之间的良性循环,应从工业控制系统的安全性和可靠性两个维度出发,提高工业控制软件和系统自主创新能力,重点支持提升关键系统和产品的技术水平,加大市场覆盖度,强化工业控制软件(系统)的测评能力控制工程网版权所有,建立工业控制领域的安全可靠性测评保障手段,从软件(系统)内部可靠性质量、外部信息安全防护能力两个方面综合提高我国的工业控制系统安全可靠性水平,从根本上解决我国工业控制软件(系统)的安全风险问题,建立我国工业控制系统的深度防御体系。
近年来,针对工业控制软件(系统)的系统结构、薄弱环节、关键技术、漏洞检测、安全攻防、安全可靠性测评等方面,工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)开展了深入研究,研制工业控制系统安全可靠性测评模型及测评规范,研发专业测评工具。
依据工业控制系统可靠性测评规范,中国软件评测中心实施了大量的测试项目,典型案例包括:国务院“7·23”甬温线特重事故列车控制系统和轨道电路系统技术测试、“核高基”专项汽车电子控制器嵌入式软件平台测试、中国电子科技集团控制用嵌入式实时操作系统测试、北京市交管局交通信号控制系统NTCIP测试以及“高档数控机床与基础制造装备”专项中的大型铸件凝固过程模拟三套软件测试、铸造成形过程模拟仿真与工艺优化系统、面向动静热特性机床数字化设计软件等。