当前位置:首页 > 新闻市场活动
工业控制:核心模块依赖进口 网络化加剧风险
发布日期:2012-09-01 浏览次数:3779

  近年来,针对工业控制系统的病毒“震网”、“Duqu”、“火焰”等不断涌现,为各国的基础设施安全运行带来了巨大隐患,引起了各国的高度重视。

  据赛迪智库信息安全所冯伟博士介绍,“震网”是第一款针对工控系统的病毒,具有极强的隐蔽性和破坏力,其主要为攻击伊朗核设施而专门研制的。2011年底又发现了“震网”病毒的新变种Duqu病毒,其攻击目标通常是工业控制领域的元器件制造商。现在,又出现了迄今为止威力最强大的电脑病毒“火焰”(Flame),在中东地区大范围传播。

  朱毅明表示,“震网”病毒初始设计针对的某国际著名厂家的工控系统,已在我国能源、电力、通信、交通等多个重要行业和领域都有应用。这些病毒的可怕之处是通过工控系统作为桥梁,将数字虚拟世界的威胁引入到真实物理世界,造成工业基础设施损坏、严重社会恐慌,而大部分在役和在售的工控系统在设计之初并未考虑信息安全问题,抵御病毒攻击的能力较差,总体风险非常高。

  “震网”等病毒带来的威胁已经远远超出了以往任意一款计算机病毒给行业、社会乃至国家带来的威胁。例如电厂,四方继保自动化股份有限公司技术研究中心主任焦邵华博士介绍,针对工业控制网络的攻击可能破坏反应器的正常温度和压力测控,导致反应器超温或超压,最终就会导致冲料、起火甚至爆炸等灾难性事故,还可能造成次生灾害和人道主义灾难。

  工控系统病毒的可怕之处还在于其呈现出的高级可持续的特点。冯伟表示,这些病毒可能会持续几周、几个月,甚至更长时间。据专家判断,2011年11月发生的伊朗导弹爆炸造成重要人员伤亡事件,是因为导弹电脑控制系统遭病毒感染,自动下令弹头爆炸引起的。事件发生距2010年震网病毒爆发一年以上,足见此攻击的持续性。而且,对“震网”、“Duqu”、“火焰”病毒源代码的分析结果表明,这三种病毒一脉相承,其不以获取用户数据或经济利益为目的,而是特定国家的关键基础设施或者特定行业的工控系统,攻击旨在获取系统中的敏感信息,或者摧毁关键基础设施运行。

  多数工控系统存有漏洞

  国外产品已占领大部分市场,如PLC国内产品市场占有率不到1%,卫星导航系统芯片95%依赖进口。

  我国的工控市场过度开放,使得国外系统大面积使用在我国的基础项目中。四方继保是我国电厂自动化系统的主要供应商,所研发产品已在市场投入20年,具有完整的设备、系统软件研发能力,完整的产品线,并具有深厚的系统集成经验,然而,焦邵华认为,在现有的电厂自动化系统中,国外产品、尤其是核心的自动化控制系统仍然占很大比例。

  据了解,在西气东输项目的400公里中,其中仅有180公里克伦管线采用了某国内工控企业的监控系统,其他无一例外全是进口的控制系统和设备。该企业老总表示,作为这一项目仅有的一家国内企业,可以说他们创造了奇迹。但是如果换位思考,假如这是美国的西气东输项目,他们绝对不会用我国输出的工控系统,就像华为的服务器卖不进美国一样。

  国外产品已经占领了大部分市场,如PLC国内产品的市场占有率不到1%,卫星导航系统的芯片95%依赖进口,其中80%来自美国。以某数控设备有限公司为例,在硬件方面,目前他们所生产的产品90%以上的元器件都使用国外品牌,其中最多的是X86芯片,这些系统有一部分已经被销售到重要领域,厂商对此深表忧虑。没有自主硬件和系统软件的平台,很难实现工控行业的自立,工业信息系统的安全可控更无从实现。

  正如冯伟所说,大部分工控系统核心控制模块从国外引进,而国外工业控制芯片、工业控制系统产品设计和配置等都可能存在漏洞。这些漏洞给予不法分子利用病毒进行网络攻击的机会,极有可能造成严重后果。

  加密和身份识别可防攻击

  随着信息技术和自动化控制的融合,运行数据采集与监视控制系统(SCADA)已成为黑客重点攻击的目标。

  随着网络化的发展,越来越多的工控系统连入企业内网和外网,也带来了更多安全隐患。

  早先,用于控制生产环节的自动化控制系统都是孤立的系统,只有在所在企业的控制室里才可以对阀门、压力等进行控制。随着信息技术和自动化控制的融合,以及企业管理的需求,越来越多的控制系统开始联入企业的内部网,而企业的内网又由于商务的需求和互联网连在了一起,于是提供了黑客通过互联网入侵企业内网去盗取企业商业秘密的可能,进一步,还提供了黑客入侵控制系统去远程控制生产的可能。因为在工控系统智能化、网络化的情况下,系统厂商既可以对客户所用大型设备进行远程监测与维护,也可以进行远程干预,这种运行数据采集与监视控制系统(SCADA)已经成为黑客重点攻击的目标。

  朱毅明告诉《中国电子报》记者,近20年来,工控系统强调开放性,在系统中大量引入民用的COTS产品,如Windows操作系统、关系数据库等,并广泛使用以太网和TCP/IP协议。对于大部分工控系统而言,简单的DoS攻击就可以使系统网络完全瘫痪,造成工业过程失控或装置停机。大部分的工业网络和现场总线协议,广泛使用MODBUS/TCP、CAN等明码传输,没有严格的身份识别,报文很容易被伪造。这种由相对封闭的专用计算机和网络体系发展而来的工控系统,安全最薄弱的环节就落在了工业网络数据传输上,特别对于大型SCADA系统,设备分散安装,部分采用公网和无线网络,更容易受到攻击。

  朱毅明向《中国电子报》记者分析道,加密和身份识别是解决工业网络数据传输的措施之一,但由于工控系统大多采用嵌入式设计,CPU能力弱加密和身份识别需要耗费一定的资源。他建议,对于在售系统和在役系统改造适宜增加外置的加解密设备解决,而对于正在开发的系统,应在设备本体内解决。

** 奇普尼克Chiptronic在电源变流控制方面拥有成熟且完整的控制解决方案,自主研发和创新能力是我们的核心竞争优势,主要产品有:单相整流触发板、三相整流触发板、可控硅触发板、可控硅调功板、可控硅调压板、电机软启动触发板、直流电机调速控制板、励磁电源触发板、恒流恒压触发板、晶闸管调整器等,同时为客户提供包括标准或非标类方案设计、智能控制整合和售后服务的一站式控制解决方案。
关于我们 | 新的网站 | 产品讯息 | 研发及技术 | 服务与支持 | 隐私政策 | 联系我们 粤ICP备10019209号
Copyright©2012 Chiptronic版权所有 电话:0755-18926078358 传真:0755-83352315 Email:chiptronic@126.com
三相可控硅触发板|单相可控硅触发板|十二脉波三相触发板|软启动器触发板|电机软起动柜控制板|电机软起动器|全控整流触发板|晶闸管触发器|可控硅触发器|可控硅调压器
无触点整流柜触发板|直流电机调速触发板|电解电镀电源整流触发板|充放电可控硅触发板|励磁电机可控硅触发板|可控硅整流柜触发板|电加热可控硅触发板|承接控制板订制加工
诚信通企业            深圳网络110