近日,一项关于要求商业银行采购“安全可控”IT设备的新规,引发了很多国外IT企业的担忧。据外媒报道,这项由工信部和银监会共同起草的“IT限购令”最快将于4月实施,新规将要求银行的IT设备供应商在中国进行研发控制工程网版权所有,并向银监会提供源代码。虽然这个消息尚未得到官方的证实www.cechina.cn,但似乎在释放一种信号,在关乎国计民生的行业,信息安全将被提升到日益重要的层面。
这种趋势从近两年的政府采购名单上也能一窥一二。日前出台的《关于印发2015年政府采购工作要点的通知》中显示,今年的中央政府采购名单中涉及的外国科技产品数量相比前两年减少了1/3,新增的2000多个商品中绝大多数都是本土品牌。被排除在这份名单之外的,包括很多像思科、苹果、McAfee和Citrix等知名的科技公司。由“棱镜门”引发的一系列连锁事件,让中国政府加速了对信息安全领域的布局,政策的调整能否成为本土企业逆袭的真正机遇,最终还是要靠产品实力说话。
在这个“云物大智(云计算、物联网、大数据、智慧工厂)”的“互联网+”时代,日益庞大的数据和信息流,在给我们带来便利的同时,也增加了出现安全漏洞的风险。小到个人银行账号的盗取,大到钢厂的核电厂信息系统的入侵,都有可能成为黑客攻击的目标。
据美国工业控制系统网络应急响应小组(ICS-CERT)的监测报告显示,在2014财年中共收到安全事件报告245起,其中能源行业(32%)和关键制造业(27%)成为受攻击的重灾区,约55%的攻击涉及到高级可持续性攻击(APT)。与其他攻击不同,APT攻击具有高潜伏、有组织和持续性的特点控制工程网版权所有,对工业控制系统信息安全构成极大威胁。近几年重大的恶意网络攻击事件都有APT的身影,例如臭名昭著的震网(Stuxnet)、 Havex和黑色能量(BlackEnergy)等。2014年德国的一家钢铁企业就遭受了APT攻击,病毒入侵了钢厂的工控系统,导致整个生产线被迫停止运转,给钢厂的炼钢炉等物理设施造成了重大破坏。
随着互联网技术的快速发展,以及工业化与信息化融合的不断深入,以往相对封闭的工业控制系统,如今越来越多地采用通用的软硬件系统和通信协议。工业以太网以及无线网络的应用,让企业各层级间实现了信息共享和实时沟通,也带来了效率的提升。不过,“开放的体系使得信息安全问题暴露无疑控制工程网版权所有,目前工控最大隐患是很多行业和企业还没有意识到工控安全非常脆弱。”工信部电子一所副所长李新社曾在2014年8月举办的中国工业信息化及信息安全发展论坛上表示。
面对日益严峻的工业控制系统信息安全问题,中国政府在2014年可谓动作频频。2014年2月,我国成立了以习近平主席为组长的“中央网络安全与信息化领导小组”,将网络安全上升至国家战略层面。随后,在11月份工信部发布了18项通信行业网络与信息安全标准。紧接着,12月首个自动化领域的国家正式标准《工业控制系统信息安全》由全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)正式发布。该系列标准包括两部分控制工程网版权所有,GB/T 30976.1-2014—工业控制系统信息安全第1部分:评估规范;GB/T 30976.2-2014—工业控制系统信息安全第2部分:验收规范。虽然目前还只是推荐性标准,但它们的发布填补了我国针对工控领域无标准做依据进行系统和产品评估和验收的空白,对未来形成我国自主的工业控制系统信息安全产业和标准体系打下了坚实的基础。
我国在《信息安全产业“十二五”发展规划》中提出的目标是,到2015年信息安全产业规模将突破670亿元,保持年均30%以上的增速。虽然目前我国的工控安全市场才刚刚起步,占整个信息安全市场的比重不大,但欣喜的是除了浙大中控、和利时等本土龙头企业外,还涌现出一些如绿盟科技、力控华康和海天炜业等关注工控安全的新兴企业。随着企业对工业控制系统信息安全认识的逐步提升以及对安全领域技术投资的不断增加,工业信息安全市场将在未来获得更快速的增长。(CEC 金蕾)