聚焦工業(yè)互聯(lián)網(wǎng)安全|細(xì)看五大風(fēng)險(xiǎn)與五大挑戰(zhàn)
一、工業(yè)互聯(lián)網(wǎng)背景
工業(yè)互聯(lián)網(wǎng)是新一代信息技術(shù)與工業(yè)經(jīng)濟(jì)深度融合的產(chǎn)物,具有泛在互聯(lián)、全面感知、智能優(yōu)化、安全穩(wěn)固等鮮明特征。近年來(lái),我國(guó)工業(yè)互聯(lián)網(wǎng)蓬勃發(fā)展,有力提升了產(chǎn)業(yè)融合創(chuàng)新水平,加快了制造業(yè)數(shù)字化轉(zhuǎn)型步伐,推動(dòng)了實(shí)體經(jīng)濟(jì)高質(zhì)量發(fā)展。然而,工業(yè)互聯(lián)網(wǎng)在改變生產(chǎn)方式和產(chǎn)業(yè)生態(tài)的同時(shí),也面臨日益嚴(yán)峻復(fù)雜的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)。
工業(yè)互聯(lián)網(wǎng)通過(guò)實(shí)現(xiàn)全要素的全面深度互聯(lián),打通產(chǎn)品設(shè)計(jì)、生產(chǎn)、管理、服務(wù)等制造活動(dòng)各個(gè)環(huán)節(jié)的信息流,實(shí)現(xiàn)資源動(dòng)態(tài)調(diào)配,增強(qiáng)工業(yè)安全生產(chǎn)的感知、監(jiān)測(cè)、預(yù)警、處置和評(píng)估能力,從而加速安全生產(chǎn)從靜態(tài)分析向動(dòng)態(tài)感知、事后應(yīng)急向事前預(yù)防、單點(diǎn)防控向全局聯(lián)防的轉(zhuǎn)變,提升工業(yè)生產(chǎn)本質(zhì)安全水平。
二、網(wǎng)絡(luò)攻擊已經(jīng)從影響虛擬世界向破壞物理世界轉(zhuǎn)變
工業(yè)互聯(lián)網(wǎng)安全已成為國(guó)家安全的重要組成部分,是制造強(qiáng)國(guó)與網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略實(shí)施的基礎(chǔ)支撐,其重要性日益凸顯。我國(guó)現(xiàn)階段主要存在管理機(jī)制不健全、安全防護(hù)不到位、安全技術(shù)和產(chǎn)業(yè)支撐能力不足、安全主體意識(shí)薄弱等諸多不足。產(chǎn)業(yè)快速發(fā)展,促使提升安全保障能力迫在眉睫。
通用化、軟硬結(jié)合、互聯(lián)互通的技術(shù)變化直接帶來(lái)基礎(chǔ)設(shè)施攻擊面增大的后果,通過(guò)互聯(lián)網(wǎng)滲透到工業(yè)互聯(lián)網(wǎng)安全已成為一種重要途徑。傳統(tǒng)病毒與工控病毒相互交織,以計(jì)算機(jī)為跳板的攻擊在未來(lái)可能發(fā)展到直接攻擊控制系統(tǒng)上。
工業(yè)互聯(lián)網(wǎng)入侵很可能從利用O Day or 1 Day漏洞的高難度攻擊方式延伸到常規(guī)手段組合式攻擊,甚至繞過(guò)工控底層知識(shí)的壁壘。
正是由于工控入侵技術(shù)的新特點(diǎn),導(dǎo)致工控系統(tǒng)安全風(fēng)險(xiǎn)加大,工業(yè)互聯(lián)網(wǎng)當(dāng)前正面臨五大風(fēng)險(xiǎn)。
三、工業(yè)互聯(lián)網(wǎng)安全面臨的五大風(fēng)險(xiǎn)
一是漏洞劇增:國(guó)家工信安全中心完成全國(guó)工業(yè)控制系統(tǒng)威脅誘捕網(wǎng)絡(luò)部署工程,全年共捕獲來(lái)自境外105個(gè)國(guó)家和地區(qū)對(duì)我國(guó)實(shí)施的掃描探測(cè)、信息讀取等惡意行為超過(guò)600萬(wàn)次。
我國(guó)工控安全漏洞形勢(shì)依舊嚴(yán)峻,近一年時(shí)間,CICSVD新收錄工業(yè)信息安全漏洞1500多個(gè),其中通用型漏洞1400多個(gè)、事件型漏洞40多個(gè)。高危漏洞保持高位,新收錄的漏洞中,高危及以上漏洞共計(jì)900多個(gè),其中超危漏洞200多個(gè)、高危漏洞700多個(gè),合計(jì)占比高達(dá)64.1%,與2018年—2021年基本持平。新收錄的漏洞涉及德國(guó)西門(mén)子、法國(guó)施耐德電氣等220個(gè)工控品牌產(chǎn)品,較2020年增長(zhǎng)35%。從受影響產(chǎn)品類型來(lái)看,共涉及10個(gè)大類64個(gè)小類,其中工業(yè)軟件、SCADA、組態(tài)軟件排名前3。
二是互聯(lián)互通:工控系統(tǒng)在建設(shè)之初較少考慮信息安全問(wèn)題。較早建立的工控系統(tǒng)很少有與外網(wǎng)進(jìn)行信息交互的需求,隨著“兩化融合”、“互聯(lián)網(wǎng)+”等概念的推進(jìn),工控系統(tǒng)與互聯(lián)網(wǎng)的信息交互變得十分必要且頻繁,工業(yè)現(xiàn)場(chǎng)要想繼續(xù)保持物理隔離已經(jīng)不可能,這就把系統(tǒng)中隱藏的風(fēng)險(xiǎn)、漏洞暴露出來(lái),同時(shí)也會(huì)引入新的風(fēng)險(xiǎn)。
三是攻擊趨易:當(dāng)網(wǎng)絡(luò)安全專家用“自動(dòng)化”描述網(wǎng)絡(luò)攻擊時(shí),網(wǎng)絡(luò)攻擊已經(jīng)開(kāi)始了一個(gè)新的令人恐懼的“里程碑”,就像工業(yè)自動(dòng)化帶來(lái)效率飛速發(fā)展一樣,網(wǎng)絡(luò)攻擊的自動(dòng)化促使了網(wǎng)絡(luò)攻擊速度的大大提高。成為一名攻擊者越來(lái)越容易,需要掌握的技術(shù)越來(lái)越少,網(wǎng)絡(luò)上隨手可得的攻擊實(shí)例視頻和黑客工具,使得任何人都可以輕松地發(fā)動(dòng)攻擊。
四是防護(hù)意識(shí)不強(qiáng):工業(yè)生產(chǎn)系統(tǒng)的管理者和操作人員工業(yè)互聯(lián)網(wǎng)安全防護(hù)意識(shí)不強(qiáng);缺乏工業(yè)互聯(lián)網(wǎng)安全專業(yè)化系統(tǒng)培訓(xùn),導(dǎo)致工作人員長(zhǎng)期缺乏信息安全主動(dòng)性,且難以對(duì)企業(yè)工業(yè)生產(chǎn)系統(tǒng)中存在的潛在風(fēng)險(xiǎn)進(jìn)行排查和整改等。
五是應(yīng)急響應(yīng)機(jī)制不完善:部分工業(yè)企業(yè)雖擁有生產(chǎn)連續(xù)性的應(yīng)對(duì)措施,但未建立工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)機(jī)制,普遍缺少有針對(duì)性的專項(xiàng)預(yù)案;建立的應(yīng)急預(yù)案不完善,難以應(yīng)對(duì)日益復(fù)雜的信息安全威脅;缺少專業(yè)應(yīng)急救援隊(duì)伍,未組織開(kāi)展對(duì)應(yīng)急預(yù)案的定期演練和修訂工作。
四、工業(yè)互聯(lián)網(wǎng)安全面臨的五大挑戰(zhàn)
一是安全失衡:即重發(fā)展、輕網(wǎng)絡(luò),重業(yè)務(wù)系統(tǒng)、輕信息安全??v觀國(guó)內(nèi)安全市場(chǎng),整個(gè)網(wǎng)絡(luò)安全投入占IT投入不足2%,而工業(yè)控制系統(tǒng)信息安全投入又不足IT安全投入的20%,再加上各工業(yè)企業(yè)在年度預(yù)算執(zhí)行中,工業(yè)控制系統(tǒng)信息安全預(yù)算又少之又少。所以,從安全投入可以看出,不足量的投入難以保證全量的防護(hù)。
二是態(tài)勢(shì)失察:即資產(chǎn)底數(shù)不清、安全態(tài)勢(shì)不明、風(fēng)險(xiǎn)預(yù)警缺乏。工業(yè)控制系統(tǒng)一般運(yùn)行15-20年,一條生產(chǎn)線或車(chē)間通常由多個(gè)設(shè)備廠商、集成商負(fù)責(zé)建設(shè),且基本依靠第三方維護(hù),資產(chǎn)清單(硬件、軟件、網(wǎng)絡(luò)拓?fù)?、配置等)分布于不同的廠商、人員,沒(méi)有完整的資產(chǎn)清單。在系統(tǒng)進(jìn)行設(shè)備、網(wǎng)絡(luò)連接、配置發(fā)生改變時(shí),往往不進(jìn)行更新,與現(xiàn)存的臺(tái)賬(竣工移交的資料)往往存在很大的區(qū)別,這是目前企業(yè)最為“頭疼”的病。
三是聯(lián)網(wǎng)混亂:為了生產(chǎn)上的便利,工業(yè)生產(chǎn)環(huán)境中越來(lái)越多的智能傳感器、設(shè)備、機(jī)器、應(yīng)用系統(tǒng)與網(wǎng)絡(luò)進(jìn)行連接,逐漸與辦公網(wǎng)、互聯(lián)網(wǎng)第三方網(wǎng)絡(luò)進(jìn)行連接。再加上企業(yè)在日常維護(hù)過(guò)程中,經(jīng)常把個(gè)人筆記本、手機(jī)等設(shè)備違規(guī)接入生產(chǎn)網(wǎng)絡(luò),甚至非法外聯(lián)(手機(jī)熱點(diǎn)連接互聯(lián)網(wǎng)),使得網(wǎng)絡(luò)邊界越來(lái)越模糊,而又缺少必要的安全防護(hù)措施或者安全防護(hù)措施難以實(shí)施。
四是防護(hù)失效:由于工控系統(tǒng)的特殊性,導(dǎo)致大量現(xiàn)有的信息安全措施無(wú)法直接應(yīng)用于工控安全防護(hù)的工作中;另外就是工業(yè)主機(jī)的操作系統(tǒng)版本老舊,大多數(shù)是windows XP及以下版本,這些操作系統(tǒng)的漏洞多,而且存在補(bǔ)丁不易更新、不敢更新、不想更新現(xiàn)象,另一方面微軟早已不提供補(bǔ)丁更新技術(shù) 。
五是力量失衡:由于我國(guó)工業(yè)互聯(lián)網(wǎng)安全研究力量分散,仍無(wú)專注于工控安全領(lǐng)域的權(quán)威先進(jìn)的技術(shù)研究與支撐機(jī)構(gòu),工控安全保障技術(shù)體系還不完善,以至于目前對(duì)工控安全的態(tài)勢(shì)感知、有效防控、應(yīng)急恢復(fù)、預(yù)測(cè)分析技術(shù)的保障能力還處于初級(jí)水平。
五、如何促進(jìn)工業(yè)互聯(lián)網(wǎng)安全發(fā)展
對(duì)于上述五大風(fēng)險(xiǎn)和挑戰(zhàn),可通過(guò)以下措施來(lái)提升工業(yè)互聯(lián)網(wǎng)的安全防護(hù)和保障能力。
安全解決思路以《網(wǎng)絡(luò)安全法》、《關(guān)基信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)為背景,基于《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》以及《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》為設(shè)計(jì)標(biāo)準(zhǔn),通過(guò)建設(shè)安全技術(shù)體系和安全管理體系,構(gòu)建一個(gè)可信、可控、可管的安全動(dòng)態(tài)防御體系。
在工業(yè)大數(shù)據(jù)安全技術(shù)與應(yīng)用實(shí)踐過(guò)程中,以商用密碼構(gòu)建基礎(chǔ)安全,才能實(shí)現(xiàn)工業(yè)大數(shù)據(jù)的采集、傳輸、存儲(chǔ)、分享、應(yīng)用及安全保障,不斷支撐起整個(gè)工業(yè)數(shù)據(jù)的全生命周期安全流程。
推進(jìn)工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系建設(shè),加強(qiáng)對(duì)工業(yè)生產(chǎn)系統(tǒng)安全防護(hù)工作的組織領(lǐng)導(dǎo)和宏觀規(guī)劃,深入研究設(shè)計(jì)工業(yè)生產(chǎn)系統(tǒng)防護(hù)體系框架結(jié)構(gòu),制定工業(yè)生產(chǎn)系統(tǒng)的安全防護(hù)策略。
建立工業(yè)互聯(lián)網(wǎng)安全防護(hù)預(yù)警及響應(yīng)機(jī)制,建立統(tǒng)分結(jié)合、協(xié)調(diào)高效的預(yù)警及響應(yīng)機(jī)制,加大工業(yè)生產(chǎn)系統(tǒng)安全應(yīng)急演練,檢驗(yàn)重要控制系統(tǒng)在遭遇大規(guī)模網(wǎng)絡(luò)攻擊時(shí)的應(yīng)對(duì)能力。
以安全運(yùn)營(yíng)平臺(tái)為抓手,建設(shè)集工業(yè)資產(chǎn)管理、安全感知、風(fēng)險(xiǎn)態(tài)勢(shì)、安全評(píng)估、應(yīng)急處置、應(yīng)急指揮、通報(bào)預(yù)警、安全培訓(xùn)等能力為一體的實(shí)戰(zhàn)化運(yùn)營(yíng)體系,落實(shí)安全運(yùn)營(yíng),保障工業(yè)生產(chǎn)網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。
安盟信息作為領(lǐng)先的新一代邊界安全、工業(yè)互聯(lián)網(wǎng)安全和商用密碼應(yīng)用解決方案供應(yīng)商,將不斷優(yōu)化產(chǎn)品性能、豐富產(chǎn)品系列、提升解決方案能力,實(shí)現(xiàn)安全與業(yè)務(wù)深度融合,筑牢工控安全底座,加速構(gòu)建自主可控的工業(yè)安全生態(tài)體系,賦能數(shù)字經(jīng)濟(jì)發(fā)展,助力建設(shè)數(shù)字強(qiáng)國(guó)!
提交
一站式全覆蓋|安盟信息助力建設(shè)云密碼服務(wù)運(yùn)營(yíng)體系
商用密碼產(chǎn)品|服務(wù)器密碼機(jī)的前世今生
創(chuàng)新商用密碼應(yīng)用|火力發(fā)電廠信息系統(tǒng)密碼應(yīng)用方案
攜手共赴未來(lái) 護(hù)航數(shù)智發(fā)展 新奧集團(tuán)與安盟信息簽署戰(zhàn)略合作
智慧礦山無(wú)人礦車(chē)密碼應(yīng)用解決方案