文│ 国家工业信息安全发展研究中心 郭娴 刘京娟 余章馗 张慧敏 狄晓晓
一、2019年工业信息安全形势判断
(一)针对工业企业的网络攻击呈现增势
2018年,法国、俄罗斯等数百家工业企业成为网络钓鱼的攻击目标,涉及制造业、石油天然气、冶金等行业。2019年,随着制造业转型升级持续推进,工业互联网发展速度加快,海量工业设备泛在连接、企业业务系统云化服务、网络化协调制造的趋势日益明显,工业生产装备、传感器、工业控制系统等极易成为网络攻击的重点目标,工业企业受攻击风险进一步增大。
(二)工业数据面临严峻安全威胁
2018年,100余家汽车制造商的关键生产数据遭泄露事件,敲响了工业数据安全防护警钟。据《2018年数据泄露调查报告》统计,全球制造业的数据泄露事件多达536起,行业排名第6,其中涉及大型企业事件375起,行业排名居首位。2019年,随着工业企业上云、工业App培育进程的推进,工艺参数、产能信息等关乎工业企业命脉的海量关键数据进一步向云平台汇聚,成为不法分子牟取利益的攻击窃密目标。
(三)勒索病毒攻击瞄准制造业
据国家工信安全中心统计,2017-2018年,工业领域公开报道的勒索病毒攻击事件高达17起,其中制造业是攻击的重点目标。2019年以来,针对制造业的勒索病毒攻击事件已发生5起,涉及多国知名化工、食品、汽车制造企业,直接造成了系统瘫痪、生产停滞、运营中断等严重后果。未来,随着制造业企业价值密度增大、网络依赖性提升,将愈发成为勒索者的“理想目标”。
(四)关键领域工控系统成为国家网络对抗攻击目标
在网络化、智能化的社会背景下,国家安全边界已经超越地理空间限制,延伸到了信息网络。以2010年攻击伊朗核设施的“震网”病毒为标志性事件,工业控制系统领域的网络对抗已经成为影响各国国防安全的重要元素。2018年乌克兰氯气站遭VPNFilter恶意软件突袭、2019年委内瑞拉停电等安全事件陆续被证实有国家力量的参与,工业控制系统正成为网络空间对抗的主战场。
二、2018-2019年工业信息安全十大事件
三、工业信息安全现状分析
(一)工业控制系统漏洞情况
2018年,国家工信安全中心收集研判工业控制系统、智能设备、物联网等领域的安全漏洞共计432个,主要分布于关键制造、能源、水务化学化工等领域。其中,高危漏洞276个,中危漏洞151个,中高危漏洞占比高达99%。从漏洞类型来看,缓冲区溢出漏洞数量最多,占比20%。排名前五的漏洞类型还有认证错误漏洞、权限控制漏洞、信息泄露漏洞、输入验证漏洞。从漏洞影响领域来看,排名前五的分别是关键制造、能源、水务、医疗健康、食品农业,共占比74%。
(二)工业控制系统联网监测情况
据监测发现,我国在互联网上可辨识的工控系统、智能设备数量共计万余个,涉及全国31个省(区、市),其中广东、浙江、北京数量位居前列,占比37%。暴露的联网系统和设备多用于市政、能源和智能制造领域,其中,SCADA软件和Modbus设备数量最多。从已研判的案例统计,约89%的设备及系统未采取有效的安全防护措施,被攻击风险较大。
(三)典型工业信息安全风险案例
自2015年起,国家工信安全中心常态化开展工控安全在线监测及风险预警工作,为全国重点省市提供工控安全监测服务。2018年,共研判发现风险82个,其中,39%集中在电力、热力、燃气及水生产和供应业, 28%来源于制造业。为地方主管部门提供风险监测报告共12期。2019年,进一步强化风险研判水平,共研判发现风险97个,提供风险监测报告8期,帮助地方有效提升工控安全态势感知能力。
四、工业信息安全工作进展
一是欧美发达国家高度重视工业信息安全,继续强化战略部署。美国出台《能源行业网络安全多年计划》《2019财年国防授权法案》《2018年国防部网络战略》《国家网络战略》等文件,不断完善制造业、能源、电力、交通等关键信息基础设施领域政策法规体系;欧盟发布《工业4.0网络安全挑战和建议》明确工业4.0和工业物联网带来的安全挑战,并提出具体可行的建议。
二是我国工业信息安全顶层设计逐步加强,标准规范进一步完善。工信部发布的多份文件对工业互联网安全提出一系列要求,为我国工业互联网安全保障工作提供了强有力的政策支撑。国家能源局、公安部、水利部相继出台网络安全相关政策,进一步提升重点领域关键信息基础设施网络安全保障能力。同时,工控安全、工业互联网安全、电力系统安全检查等方面多份标准相继发布,安全标准体系持续完善。
三是国际知名安全企业聚焦工业信息安全,发布报告解读安全形势。2018-2019年,美国国防和信息技术安全承包商帕森斯公司、全球知名网络威胁AI检测和响应企业威达、美国火眼公司、以色列工业网络安全公司CyberX、卡巴斯基实验室、趋势科技等知名企业,在广泛采集其信息安全产品和服务监测数据、深入调研用户和客户的基础上,发布多份报告,加强工业信息安全风险分析和态势研判。
五、工业信息安全工作建议与展望
随着工业企业数字化、智能化程度进一步提高,工业信息安全风险威胁更加严峻,亟需多措并举,保障安全。
(一)加强工业企业安全防护
工业企业进一步贯彻落实《工业控制系统信息安全防护指南》要求,建立健全工控安全责任制,及时排查工控安全隐患,提升安全防护能力。
(二)强化工业数据安全保护
建立工业数据分类分级制度,规范不同级别工业数据的安全保护要求,指导工业企业做好重要数据备份,确保数据的完整性、可用性、保密性。
(三)提升安全监测预警能力
持续建设覆盖全国的工业信息安全态势感知网络,完善技术手段,实时感知安全威胁态势,有效研判预警安全风险。同时,重点工业企业建立工业信息安全监测系统,及时发现设备非法接入、恶意探测攻击等行为,强化风险感知能力。
展望未来,要在网络强国、制造强国战略的引领下,在“互联网+制造业”发展蓝图的指导下,加强法规标准制定,提升安全防护能力,推动核心技术攻关,鼓励相关产业发展,培育壮大人才队伍,以工业信息安全整体能力护航制造业转型升级,以工业信息安全综合实力保障提升我国先进制造业国际竞争力,在国际格局变化和大国博弈较量中维护我国国家安全与利益。
(本文刊登于《中国信息安全》杂志2019年第6期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。