当前位置:
工控系统“裸奔”,解决安全问题从这里开始
回复 | 人气 | 打印
微尔智能 个人主页 给TA发消息 加TA为好友 发表于:2019-09-09 15:47:35 楼主

当前,工控安全已成为世界各国关注的焦点之一。黑客攻击正在从开放的互联网向封闭的工控网蔓延,被认为相对安全、相对封闭的工业控制系统同样也遭受到重大安全威胁。

毋庸置疑,漏洞的存在使得工业控制系统可以轻易地被远程侵入控制甚至完全被接管,对工控系统安全造成了巨大的威胁。


工控安全事件所属行业

相关公开资料整理显示,高危漏洞广泛分布在能源、制造、商业设施、水务、市政等关键领域。工控安全关乎国计民生,一旦爆发安全问题,就会造成重大财产损失甚至重大安全事故。

因此,加强工业控制系统信息安全防护是当前亟待解决的问题。工业控制系统作为企业的核心生产运营系统,为防御外部信息安全的攻击,工业控制系统自身设备的强大,以及嵌入式操作系统的加固加强,更显得格外重要。

嵌入式系统,工业控制系统的防护门

我们知道,由于工控系统的使用生命周期较长,一般都在10~20年,所以相关厂商大多以系统功能作为第一要素,而在设计、研发和集成阶段不会充分考虑安全问题。

这就导致多数工业控制系统在设计之初是封闭的“单机系统”,没有考虑联网需求,甚至没有防护软件,也不能安装杀毒系统,一旦上网就是“裸奔”状态。

现实情况也是如此,目前,我国许多工业产线仍在使用老旧操作系统(如Windows Xp),这些操作系统已不再提供升级补丁服务。而工业产线使用时间长,厂家不会因为操作系统更新而更换设备。

值得重视的是,目前我国绝大多数企业没有能力识别或应对这些入侵和攻击。但基于系统漏洞问题,黑客可以轻而易举利用系统漏洞进入产线,造成严重后果。

以2017年5月爆发的“WannaCry”勒索病毒事件为例,“WannaCry”勒索病毒事件爆发后,微软在当年3月就发布了相应安全漏洞补丁,但我国很多企业单位一直没有升级相关补丁,导致近30万台主机和电脑被感染。直到现在,很多企业每天仍有近千台电脑感染此勒索病毒。

此外,我国工业控制存在系统补丁管理困难的现实问题。例如,通信协议种类繁多、系统软件难以及时升级、系统补丁兼容性差、发布周期长等问题,使得厂家不具备及时处理严重威胁漏洞的能力。

针对这种情况,目前采用的方法是通过嵌入式系统为老旧操作系统进行加固解决上述问题。

作为工业控制系统的第一道防护门,嵌入式系统安全性的失效可能会导致灾难性的后果,即使是非安全性系统,由于大批量生产也会导致严重的经济损失。

这就要求对嵌入式系统,包括对嵌入式软件进行严格的测试、确认和验证。而在软件功能安全测试中,单元测试又是其中一项重要工作。

单元测试:工控系统功能安全测试重要环节

对于工业控制系统的安全测试而言,单元测试的效果会直接影响软件的后期测试,最终在很大程度上影响产品的质量。

尤其在航空航天、地铁信号、汽车电子、核电控制等重点工业领域,运用单元测试是保障软件可靠性和安全性的重要环节。

但需要注意的是,人工编写单元测试的测试用例需要花费大量的人力和时间成本。在高安全领域中,不同行业对单元测试有不同的覆盖准则。

不同准则下,一般测试人员通常每天可以编写 5-8 个函数的测试用例。而嵌入式软件需要少则几十多则数百个函数的测试用例,由于软件前期投入大、测试周期长,这根本无法跟上日益加快的软件研发速度。

在低效率环境下,测试用例质量参差不齐,无法快速达到SIL4级软件及A级软件等高级软件需要达到的MC/DC的100%覆盖是人工编写的硬伤。

因此,提升单元测试效率,提高测试用例质量,减少嵌入式软件系统测试成本,成为实现工控系统安全的重要一步。

而为提升工控系统安全的单元测试效率,上海工业控制系统安全创新功能型平台突破工业控制安全共性关键技术,研发出国内首款智能化单元测试用例设计工具。

这款工具系利用软件代码分析中的动态符号执行技术实现,把程序变量抽象为符号变量,结合约束求解技术,自动生成高覆盖度的测试用例,实现智能化的单元测试。

测试用例自动生成

从行业应用层面来看,采用人工智能领域的自动推理与符号执行技术,能自动分析程序路径,自动产生满足覆盖标准的测试用例,并在后台自动执行测试用用例。

而智能化单元测试用例设计工具能够让测试人员摆脱效率低下、质量参差不齐的手工测试用例编写任务,大幅提高测试人员的工作效率(测试效率提升5倍),从而有效提升测试质量。

我们认为,智能化单元测试用例设计工具的出现,弥补了我国在安全检测方面原创性技术的不足,实现对工控系统安全的源头可控,代表我国在工控安全领域迈出了重要一步。

截至目前,已测试航空航天、地铁信号、汽车电子、核电控制及知名开源软件超过100W行,平均语句覆盖率超过85%,能够节省大量的人力物力,是中国工控安全防御领域发展的重大里程碑。

互联网+时代,探寻工控安全防护之策

随着互联网和新一代信息技术的不断渗透和蔓延,占据工业互联网“控制大脑”地位的工业控制系统也不可避免地朝着“互联网+”方向发展。

“互联网+”与工业控制系统“1+1>2”的创新融合,为工业控制市场与工控安全市场带来巨大的发展机遇。根据工信部发布《关于加强工业控制系统信息安全管理的通知》,对工控市场普查预测:2015年中国工业控制市场规模达3500亿元,预计2020年市场规模达4800亿元。

而从增长率来看,2015至2019年,我国工控信息安全市场的增长率达20%-30%,相关安全企业从中受益。

数据来源:《2016工业控制网络安全态势报告》

此外,据世界最顶级会计师事务所《普华永道》发布的全球信息安全状况调查报告显示,我国相关工控领域的安全事件数量持续暴涨,仅2016年相比于2015年就激增22倍之多,此后的2017~2018年间仍旧呈爆炸式增长。

随着“互联网+”时代的不断发展,新技术在为工业控制系统带来巨大创造力的同时,也逐渐打破工业控制系统相对封闭的使用环境,引入更加复杂、严峻的安全问题,如引入传统IT产品带来的安全漏洞及物联网等信息技术带来的敏感数据存储安全问题等。

工业应用领域的网络安全防护的工业防火墙;具有全程保护、主动防御功能的物联网防火墙;专门为工业控制环境打造的终端安全防护产品工业终端安全卫士等一系列产品。

分享到: 关注收藏 邀请回答 回复 举报


周点击排行
周回复排行
最新求助