工业互联网安全现状
近年来,随着我国工业互联网的高速发展,网络安全威胁正在加速向工业领域蔓延,传统的工业控制系统的安全机制的弱点在互联网上暴露无遗。
01 工业互联网安全事件频发
工业互联网作为国家重点信息基础设施的重要组成部分,正在成为全世界最新的地缘政治角逐战场。例如,包括能源、电力等在内的关键网络已成为全球攻击者的首选目标,极具价值。当前,网络安全威胁正在加速向工业领域蔓延,工业互联网安全事件频发已经严重影响经济社会正常运行及国家安全,接连发生的安全事件引发各国对工业互联网安全高度重视与关注。
2015 年 12 月,乌克兰约 60 座变电站遭到黑客攻击,导致乌克兰 140 万名居民遭遇了一次长达数小时的大规模停电;2017 年 5 月,“永恒之蓝“勒索病毒席卷全球,英国、意大利、俄罗斯等欧洲国家以及中国国内多个高校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件;2021 年 5 月,美国最大的燃油管道商 Colonial Pipeline 遭到勒索软件攻击,导致其业务受到严重影响。
事实证明,没有得到良好安全保护的工业互联网,就像一扇虚掩的大门,根本无法防御任何精心策划的攻击行动。
02 国内工业互联网发展现状
当前我国工业互联网产业发展正处在一个关键的历史时刻。2012 年,通用电气公司(General Electric Company,GE)在全球范围内首次提出工业互联网概念后。我国于 2015 年 5 月正式印发《中国制造 2025》国家行动纲领,明确了 9项战略和重点任务,包括推进信息化与工业化深度融合,通过大力发展新一代信息技术产业,加快制造业转型升级,全面提高发展质量和核心竞争力。
党的十九大报告全面系统地论述了坚持总体国家安全观的重要思想,并明确提出“加快建设制造强国、网络强国、数字中国、智慧社会,推动互联网、大数据、人工智能和实体经济深度融合”的战略部署。
从图 1 中可以看到,近几年我国联网工业控制系统的数量逐年递增,2020 年发展更是成数倍地增长。而工业互联网领域各类网络攻击行为直接破坏或损毁工业控制系统、设备等关键信息基础设施,对人民生产生活以及经济发展、社会稳定、国家安全构成严重威胁。工业互联网安全体系建设已成为国家安全体系建设的重要组成,其重要性不亚于经济安全、科技安全等 。
图 1 近年中国联网工业控制系统数量(数据来源:国家工业信息安全发展研究中心)
伴随工业互联网化平台接入,工控网络将直接或间接与互联网连接。此时,其封闭式底层工业控制网络安全考虑不充分、安全认证机制和访问控制的防护能力不足、生产设备和控制系统的控制指令简单等缺点暴露无遗。
如图 2所示,伴随着联网工业控制系统的不断增多,新发现的工业控制系统漏洞也随之增加。一旦联网工业控制系统遭受攻击,将导致平台运行环境被破坏、生产流程中断,甚至关键工业设施损毁,严重威胁工业生产的稳定运行及财产、人身安全,进而影响国家和社会正常稳定运行。由此可见,没有坚实的安全保障,将难以维持工业生产平台的正常运行,更谈不上工业互联网的稳定发展。
图 2 近年中国新增工业控制系统漏洞数量(数据来源:国家工业信息安全发展研究中心)
03 国内工业互联网常见问题
国内工业互联网安全体系建设正处于初级阶段,尚未形成良性发展的工业互联网安全生态体系。存在以下系统性或共性问题。
1、行业复杂性带来需求多样性的挑战
在两化融合基础上,电子、家电等行业推动生产向网络化、智能化阶段迈进,各行业企业对工业互联网安全需求侧重不同。在流程型制造行业,利用信息技术助力企业提升综合管控能力。例如,钢铁、石化、医药、食品等行业。在离散型制造行业,侧重推动企业向服务型制造加速转型 。例如,机械制造、消费品生产等行业。因此,国内工业互联网安全体系建设需要根据行业视角进行理解、剪裁、取舍和优化,逐步形成良性可持续发展的工业互联网安全体系,为工业互联网带来持久稳定的安全保障力量。
2、缺乏统一接入的安全标准及安全规范、服务规范的建设
《中国制造 2025》战略带来工业互联网的蓬勃发展,新的工业互联网化平台不断涌现,数量众多,但是基本上处于各自为战的状态,安全方案千差万别,服务能力参差不齐,未形成统一的安全框架模式和安全标准,无法基于标准定义符合各企业情况的安全接入策略,并获得可预期的、全面的安全保障,不利于我国工业互联网安全保障体系的可持续性发展 。
3、云服务下用户身份治理问题分析
在企业生产经营过程中,普遍存在重发展轻安全的情况,对其工业互联网安全缺乏足够意识,安全防护投入较低。2021 年 2 月,由国家工业信息安全发展研究中心发布的《2020 年工业信息安全态势报告》中提到,在研判的工业信息安全风险中,主要存在弱口令漏洞、未授权访问漏洞、目录遍历漏洞、结构化查询语言(Structured Query Language,SQL)注入漏洞等。由此可见,工业企业各类应用普遍在用户口令、身份认证、权限管理和通信加密等方面均存在大量安全问题 。
2020 年国家工业信息安全漏洞库(CICSVD)收录的漏洞主要类型如图 3 所示。其中,授权问题、资源管理问题以及权限许可和访问控制问题都与用户身份、授权、访问控制密不可分,三者合计 406 个漏洞,占总体类型 30% 以上。
图 3 2020 年 CICSVD 收录漏洞主要类型(数据来源:国家工业信息安全发展研究中心)
4、工业企业安全事件缺少审计
工业企业需要不断提升安全态势感知和预警处置能力,以确保对安全事件的检测、数据分析、风险预测和自动调整等环节的实施。才能及时发现各类攻击威胁与异常,对企业内外部人员的日常登录操作、访问操作、输入 / 输出操作进行全面详实记录,通过归类、报表、图形化等方式实现在线的分析审计需要,合规、可视化的审计行为可帮助企业及时规避大范围的攻击风险,为企业安全事件调查与回溯提供直接证明。
5、风险诊断和研判能力有待提升
从工业互联网领域以往发生的信息安全事件不难看出,企业遭到的网络安全威胁逐渐从无意识攻击到有组织的蓄谋攻击,从个体侵害演变为国家网络安全的威胁。针对企业信息安全的攻击手段也更加多样化,攻击手段主要包括口令攻击、拒绝服务攻击、欺骗攻击、劫持攻击、高级可持续威胁攻击和后门程序攻击等,攻击方式呈现跨时间、地点、动机等因素限制。
因此,建设国家级安全检测评估的公共服务成为当前工业互联网企业保障安全必需的基础。通过对安全基线和安全风险特征库定义,利用先进的安全检测工具进行监测,实时更新风险特征库,并对其开展动态分析,依据风险等级进行通告、警告和处置等处理。促进工业企业由静态防御向动态防御发展,提升企业安全风险诊断和研判能力,为工业企业安全提供全面的防御保障。
6、企业应急机制的补充与完善
工业互联网身份与访问控制体系还应建立应急预案管理、定义应急安全处理策略,实现取证和总结等流程,规避高风险、不可逆、影响范围广的信息安全事件的发生。
基于上述现状分析可以看到,当前我国工业企业面临用户身份治理、认证和访问控制、安全审计可追溯性、风险评估与研判、应急机制建立等方面的管控能力不足,构建基于身份与访问控制为核心的安全云服务的支撑体系,成为工业互联网安全生态建设的关键。
Copyright © 2005-2021 网信安全世界版权所有