隨著越來越多的工業生產設備和系統聯網,工業信息安全問題日益突出。因而,守住工業網絡的安全防線至關重要,要加快構筑立體化、全方位的工業信息安全防護體系,持續提升核心技術攻關能力、風險監測預警能力,著力保障工業互聯網設備接入安全、平臺安全、數據安全——
“工業系統與互聯網的安全邊界日益交叉、相互滲透,面臨著新型安全問題。”在日前舉行的2019中國工業信息安全大會上,工信部副部長陳肇雄表示,未來要不斷完善工業信息安全政策法規體系、技術保障體系、產業生態體系和人才隊伍體系,加快構筑立體化、全方位的工業信息安全防護體系。
工業信息安全產業發展聯盟在大會上發布的《中國工業信息安全產業發展白皮書(2018-2019)》顯示,我國工業信息安全產業規模正加速擴容,預計2019年,市場增長率將達19.23%,市場整體規模將增長至93.91億元。
工信系統成攻擊重點
關鍵工業信息基礎設施作為經濟社會運行的神經中樞,正成為網絡攻擊的重點目標。烏克蘭氯氣站被攻擊、委內瑞拉全國性斷電等安全事件,都是關鍵基礎設施被網絡攻擊的典型事例。
此外,加拿大汽車供應商Level One Robotics公共服務器泄露全球超百家車企的機密文件,臺積電關鍵業務數據遭到勒索病毒攻擊導致生產線停擺,也給企業生產經營帶來了嚴重的損失。
“工業自動化和信息化系統廣泛應用在能源、交通、電力、供水等關系國計民生的重點領域,一旦遭受攻擊,可能導致斷電、斷水、斷氣、網絡癱瘓、交通堵塞等,將對經濟社會發展帶來嚴重影響,甚至還會引發火災、爆炸等威脅廣大人民群眾生命財產安全的重大安全事件。”陳肇雄說。
尤其是隨著工業互聯網的快速發展,越來越多的工業生產設備和系統聯網,制造環境走向開放、跨域、互聯,工業信息安全問題日益突出。工業互聯網平臺直接或間接連接了海量的工業控制系統、業務系統和網絡基礎設施,承載了大量數據和工業APP,也面臨網絡攻擊范圍不斷擴大,工業全產業鏈遭受網絡攻擊的風險。
國家工信安全中心報告顯示,2018年全球安全漏洞數量高達432個,同比增長14%,中高危漏洞占比高達99%。就我國而言,從防護水平看,網上可辨識的工業自動化控制系統及設備數量超過1.5萬個,遍布31個省(區市)。其中,多數缺乏安全防護,甚至處于“裸奔”狀態。
專家認為,從防護能力看,我國重要領域的設備接入、平臺運行、數據流動等環節缺乏有效監測手段,融合工控技術與安全技術的成套解決方案存在空白。從市場需求看,工業領域對信息安全的需求尚未充分釋放,以工控安全(工業自動化控制系統安全)為主的工業信息安全投入僅為10%,產業發展明顯滯后。
傳統體系亟待改變
工業信息安全的意義不言而喻。國家工業信息安全發展研究中心副主任、工業信息安全產業發展聯盟秘書長何小龍表示,工業信息安全泛指工業運行過程中的信息安全,涉及工業領域各個環節,其核心任務就是要確保工業信息化、自動化、網絡化、智能化等基礎設施的安全。
然而,“傳統的安全防護策略已難以有效抵御快速迭代的外部攻擊”。360董事長兼CEO周鴻祎分析說,萬物互聯時代攻擊點變多,智能攝像機、智能電視、智能音箱、智能穿戴設備等物聯網設備數量龐大,預計到2020年全球有超過500億個設備會連接到互聯網上。這些物聯網設備散布在整個網絡空間,每臺設備都可能成為一個攻擊點。同時,全球網絡是互相連接、交織在一起的整體,任何一個系統存在的問題都會成為整個網絡的弱點,任何一個系統都可能成為攻擊的跳板。
工信部網絡安全管理局副局長楊宇燕認為,工業互聯網安全的風險日益突出,主要表現為外部風險加劇、網絡風險加大、平臺和數據安全問題凸顯。互聯網和工業的深度融合打破了傳統工業領域相對封閉可信的環境,將互聯網的安全威脅滲透到了工業領域,網絡攻擊可以直達生產一線。
具體來看,“大部分傳統的工業控制系統和設備接入了互聯網,其自身的防護能力較差。這些系統接入互聯網后,更多使用了公開協議以及標準化的技術架構,進一步降低了攻擊門檻。此外,隨著5G、IPv6等新技術在工業互聯網領域的普及應用,不同標識體系在相互兼容的過程中也會帶來新的安全風險”。楊宇燕說。
工業互聯網平臺連接著海量的工控系統、業務系統、網絡,同時承載了大量的工業互聯網數據,容易成為網絡攻擊的重點對象。同時,工業互聯網的數量種類繁多,流動數據復雜,使用的場景也比較多,所以數據篡改、泄露、濫用以及數據跨境流動這些安全問題更進一步凸顯出來。
三級聯動立體防御
危險有多大,市場就有多大。2018年,我國工業信息安全產業持續快速增長,產品體系日益完善,涌現出一批成長性高、創新能力強的企業。據工業信息安全產業發展聯盟統計與調研結果顯示,2018年我國工業信息安全產業規模為70.32億元,市場增長率達33.55%,工業信息安全產業規模在加速提升。
但楊宇燕認為,目前來看,市場規模還不夠大,市場驅動能力還有待提升。同時,我國工業信息安全產業還存在安全監管制度體系不健全、企業安全意識相對薄弱、安全技術能力不足以及缺乏人才等問題。
對此,陳肇雄表示,要加快構筑立體化、全方位的工業信息安全防護體系。他透露說,將加快建立工業數據分類分級管理制度,制定一批急需專用標準,推動工業數據的安全流動、交互和共享,釋放數據對工業經濟的放大、疊加和倍增作用,完善工業信息安全政策法規體系。
“在提升工業信息安全技術保障能力方面,要抓緊推動國家、地方、企業三級協同的安全技術保障體系建設,持續提升核心技術攻關能力、風險監測預警能力、隱患發現處置能力、工業數據治理能力,著力保障工業互聯網設備接入安全、平臺運行安全、數據流動安全、應用服務安全。”陳肇雄說。
周鴻祎也認為,政府要把運營商、科研單位以及國企和民間的網絡安全研究單位聯合起來,共建“網絡安全大腦”,實現聯防聯控,形成網絡安全的整體合力。
“當前,網絡安全領域最核心的是兩大要素,一是網絡安全大數據,二是基于網絡安全大數據的人工智能分析,從而在海量數據中發現攻擊。”周鴻祎認為,網絡安全公司應該拋棄硬件廠商、解決方案提供商的思維模式,把網絡安全、大數據和人工智能結合起來,打造核心競爭力,應對日益復雜、嚴峻的大安全挑戰。
據了解,2019年工信部將加快構建以國家平臺為中心,涵蓋地方和行業重要節點的工業信息安全態勢感知網絡。其中,在國家層面完善工業信息安全態勢感知平臺;在地方層面推動態勢感知地方平臺建設,并實現與國家平臺數據資源的對接和交互共享,引導其他地方通過購買服務等方式參與國家態勢感知能力建設;在企業層面,將鼓勵重點行業工業企業積極參與感知節點部署,動態分析工業控制系統資產狀況,實時監測非法入侵、異常操作等安全事件。