聚焦工业互联网安全|细看五大风险与五大挑战

新冠 新闻
1年前

一、工业互联网背景

工业互联网是新一代信息技术与工业经济深度融合的产物,具有泛在互联、全面感知、智能优化、安全稳固等鲜明特征。近年来,我国工业互联网蓬勃发展,有力提升了产业融合创新水平,加快了制造业数字化转型步伐,推动了实体经济高质量发展。然而,工业互联网在改变生产方式和产业生态的同时,也面临日益严峻复杂的网络安全威胁和挑战。


工业互联网通过实现全要素的全面深度互联,打通产品设计、生产、管理、服务等制造活动各个环节的信息流,实现资源动态调配,增强工业安全生产的感知、监测、预警、处置和评估能力,从而加速安全生产从静态分析向动态感知、事后应急向事前预防、单点防控向全局联防的转变,提升工业生产本质安全水平。

二、网络攻击已经从影响虚拟世界向破坏物理世界转变

业互联网安全已成为国家安全的重要组成部分,是制造强国与网络强国战略实施的基础支撑,其重要性日益凸显。我国现阶段主要存在管理机制不健全、安全防护不到位、安全技术和产业支撑能力不足、安全主体意识薄弱等诸多不足。产业快速发展,促使提升安全保障能力迫在眉睫。


通用化、软硬结合、互联互通的技术变化直接带来基础设施攻击面增大的后果,通过互联网渗透到工业互联网安全已成为一种重要途径。传统病毒与工控病毒相互交织,以计算机为跳板的攻击在未来可能发展到直接攻击控制系统上。

工业互联网入侵很可能从利用O Day or 1 Day漏洞的高难度攻击方式延伸到常规手段组合式攻击,甚至绕过工控底层知识的壁垒。


正是由于工控入侵技术的新特点,导致工控系统安全风险加大,工业互联网当前正面临五大风险。

三、工业互联网安全面临的五大风险


一是漏洞剧增国家工信安全中心完成全国工业控制系统威胁诱捕网络部署工程,全年共捕获来自境外105个国家和地区对我国实施的扫描探测、信息读取等恶意行为超过600万次。

我国工控安全漏洞形势依旧严峻,近一年时间,CICSVD新收录工业信息安全漏洞1500多个,其中通用型漏洞1400多个、事件型漏洞40多个。高危漏洞保持高位,新收录的漏洞中,高危及以上漏洞共计900多个,其中超危漏洞200多个、高危漏洞700多个,合计占比高达64.1%,与2018年—2021年基本持平。新收录的漏洞涉及德国西门子、法国施耐德电气等220个工控品牌产品,较2020年增长35%。从受影响产品类型来看,共涉及10个大类64个小类,其中工业软件、SCADA、组态软件排名前3。


二是互联互通工控系统在建设之初较少考虑信息安全问题。较早建立的工控系统很少有与外网进行信息交互的需求,随着“两化融合”、“互联网+”等概念的推进,工控系统与互联网的信息交互变得十分必要且频繁,工业现场要想继续保持物理隔离已经不可能,这就把系统中隐藏的风险、漏洞暴露出来,同时也会引入新的风险。


三是攻击趋易当网络安全专家用“自动化”描述网络攻击时,网络攻击已经开始了一个新的令人恐惧的“里程碑”,就像工业自动化带来效率飞速发展一样,网络攻击的自动化促使了网络攻击速度的大大提高。成为一名攻击者越来越容易,需要掌握的技术越来越少,网络上随手可得的攻击实例视频和黑客工具,使得任何人都可以轻松地发动攻击。


四是防护意识不强:工业生产系统的管理者和操作人员工业互联网安全防护意识不强;缺乏工业互联网安全专业化系统培训,导致工作人员长期缺乏信息安全主动性,且难以对企业工业生产系统中存在的潜在风险进行排查和整改等。


五是应急响应机制不完善部分工业企业虽拥有生产连续性的应对措施,但未建立工业互联网安全应急响应机制,普遍缺少有针对性的专项预案;建立的应急预案不完善,难以应对日益复杂的信息安全威胁;缺少专业应急救援队伍,未组织开展对应急预案的定期演练和修订工作。

四、工业互联网安全面临的五大挑战

一是安全失衡即重发展、轻网络,重业务系统、轻信息安全。纵观国内安全市场,整个网络安全投入占IT投入不足2%,而工业控制系统信息安全投入又不足IT安全投入的20%,再加上各工业企业在年度预算执行中,工业控制系统信息安全预算又少之又少。所以,从安全投入可以看出,不足量的投入难以保证全量的防护。

二是态势失察即资产底数不清、安全态势不明、风险预警缺乏。工业控制系统一般运行15-20年,一条生产线或车间通常由多个设备厂商、集成商负责建设,且基本依靠第三方维护,资产清单(硬件、软件、网络拓扑、配置等)分布于不同的厂商、人员,没有完整的资产清单。在系统进行设备、网络连接、配置发生改变时,往往不进行更新,与现存的台账(竣工移交的资料)往往存在很大的区别,这是目前企业最为“头疼”的病

三是联网混乱:为了生产上的便利,工业生产环境中越来越多的智能传感器、设备、机器、应用系统与网络进行连接,逐渐与办公网、互联网第三方网络进行连接。再加上企业在日常维护过程中,经常把个人笔记本、手机等设备违规接入生产网络,甚至非法外联(手机热点连接互联网),使得网络边界越来越模糊,而又缺少必要的安全防护措施或者安全防护措施难以实施。

四是防护失效由于工控系统的特殊性,导致大量现有的信息安全措施无法直接应用于工控安全防护的工作中;另外就是业主机的操作系统版本老旧,大多数是windows XP及以下版本,这些操作系统的漏洞多,而且存在补丁不易更新、不敢更新、不想更新现象,另一方面微软早已不提供补丁更新技术

五是力量失衡由于我国工业互联网安全研究力量分散,仍无专注于工控安全领域的权威先进的技术研究与支撑机构,工控安全保障技术体系还不完善,以至于目前对工控安全的态势感知、有效防控、应急恢复、预测分析技术的保障能力还处于初级水平。

五、如何促进工业互联网安全发展

对于上述五大风险挑战,可通过以下措施来提升工业互联网的安全防护和保障能力。

1. 安全解决思路以《网络安全法》、《关基信息基础设施安全保护条例》等法律法规为背景,基于《信息安全技术网络安全等级保护基本要求》以及《工业控制系统信息安全防护指南》为设计标准,通过建设安全技术体系和安全管理体系,构建一个可信、可控、可管的安全动态防御体系。

2.在工业大数据安全技术与应用实践过程中,以商用密码构建基础安全,才能实现工业大数据的采集、传输、存储、分享、应用及安全保障,不断支撑起整个工业数据的全生命周期安全流程。

3.推进工业互联网安全防护体系建设,加强对工业生产系统安全防护工作的组织领导和宏观规划,深入研究设计工业生产系统防护体系框架结构,制定工业生产系统的安全防护策略。

4.建立工业互联网安全防护预警及响应机制,建立统分结合、协调高效的预警及响应机制,加大工业生产系统安全应急演练,检验重要控制系统在遭遇大规模网络攻击时的应对能力。

5.以安全运营平台为抓手,建设集工业资产管理、安全感知、风险态势、安全评估、应急处置、应急指挥、通报预警、安全培训等能力为一体的实战化运营体系,落实安全运营,保障工业生产网络安全稳定运行。


安盟信息作为领先的新一代边界安全、工业互联网安全和商用密码应用解决方案供应商,将不断优化产品性能、丰富产品系列、提升解决方案能力,实现安全与业务深度融合,筑牢工控安全底座,加速构建自主可控的工业安全生态体系,赋能数字经济发展,助力建设数字强国!