摘要:工业信息安全已成为国家安全的重要组成,是制造强国与网络强国战略实施的基础支撑,其重要性日益凸显。当前,制造强国的大势刮来了两化融合的风潮,在工业制造业奔腾发展的道路上,工业信息安全形势日趋严峻,安全风险持续攀升,安全事件层出不穷,亟需引起高度重视。我国工业信息安全现阶段主要存在管理机制不健全、安全防护不到位、安全技术和产业支撑能力不足、安全主体意识薄弱等诸多问题,加快提升工业信息安全保障能力迫在眉睫。
工业信息安全指工业运行过程中的信息安全,涉及工业领域各个环节,包括工业控制系统信息安全(以下简称工控安全)、工业互联网安全、工业大数据安全、工业云安全、工业电子商务安全等。
与传统网络安全相比,工业信息安全需适应工业环境下系统和设备的实时性、高可靠性需求以及工业协议众多等行业特征,防护难度更大。
当前,新一代信息技术在加速信息化与工业化深度融合(以下简称两化融合)发展的同时,也带来了日趋严峻的工业信息安全问题。
1、全球工业信息安全形势
1.1两化融合深度发展,工业信息安全重要性凸显
时代引领发展的潮流,信息化不断深入生产生活,数字化一次次给世界带来巨变。在信息化发展的浪潮中,工业企业如逆水行舟,不进则退。全球各国各地区工业企业在奔腾的数字化浪潮中只有通过信息化变革,创新绿色供应链,改善企业内部的生存环境,在战略上实现订单驱动型向创新驱动型的转变,才能不断发展壮大 [1,2]。
以我国为例,自 2007 年 10 月起, 党的十七大报告正式将信息化列入“五化”, 提出两化融合概念后,我国的新型工业化转型道路一直在摸索中前进。
2017 年,党的十九大提出“推动互联网、大数据、人工智能和实体经济深度融合”,标志着两化融合进入了新阶段。习近平总书记在十九届中央政治局第二次集体学习时强调,要“继续做好信息化和工业化深度融合这篇大文章”“要深入实施工业互联网创新发展战略”,这为新时代新阶段两化深度融合创新发展指明了方向。
“中国制造2025”“互联网 +”等战略机遇,促进了以新一代信息技术与实体经济融合的发展,基于互联网的新技术、新模式和新业态取得了空前的进步 [3]。
截至 2019 年 3 月,全国参加两化融合贯标评定企业已达 13 万家,其中 4400 余家企业通过评定,贯标咨询服务机构数量过千家。截至 2019 年 1 月 31 日,全国已有 13 万家企业开展自评估、自诊断、自对标,通过实施两化融合管理标准体系提升了市场竞争力。
与此同时,一批又一批先进而出色的企业、基地相继涌现, 如“互联网 + 工业”的山东即墨模式,成功探索出了一条区域产业转型升级之路,实现了质量效益“双提升”。
安全是发展的前提,发展是安全的保障,安全和发展势必要同步推进。
随着两化融合这条道路不断拓宽,企业发展机遇前所未有,相伴而生的工业信息安全问题也成为焦点,工业信息安全重要性愈加凸显。工业是国民经济主体,是实现发展升级的“国之重器”,是推进供给侧结构性改革的主战场。
工业信息化、自动化、网络化、智能化等基础设施是工业的核心组成部分,是工业各行业、企业的神经中枢。工业信息安全的核心任务就是要确保这些工业神经中枢的安全,没有工业信息安全,两化融合的推进则是空中楼阁。工业信息安全事关经济发展、社会稳定和国家安全,是网络安全的重要组成,工业信息安全防护已成为推进各国网络强国和制造强国战略实施的重要抓手 [4]。
1.2工业信息安全事件频发,安全形势愈发严峻
随着网络信息技术的迅猛发展和广泛应用,工业互联持续深入趋势愈发明显,病毒、木马等传统网络威胁持续向工业控制系统(以下简称工控系统)蔓延,勒索攻击等新型攻击模式不断涌现,安全事件频发,整体安全形势严峻[5]。
自 2010 年“震网”事件爆发以来,全球工业信息安全事件屡屡发生,极大地冲击了当事国的经济、社会乃至国家安全。
2010 年 9 月,伊朗全境 3 万余个网络终端感染“震网”病毒, 攻击目标直指核设施;
2012 年 4 月,伊朗石油部和国家石油公司内部电脑遭受网络病毒攻击, 部分用户数据遭窃取;
2015 年 6 月,波兰航空公司地面操作系统遭遇黑客袭击,致使系统瘫痪长达 5 小时,至少 10 个班次的航班被取消,1400 多名乘客滞留机场;
同年 12 月,乌克兰电力部门至少三个电力区域遭受恶意代码攻击, 造成数小时的停电事故;
2016 年 2 月,日本关键基础设施遭遇代号“沙尘暴”的黑客攻击活动, 电力、石油、天然气、交通运输等诸多组织机构的网络被攻陷;
2017 年 6 月,乌克兰境内发现大规模“Petwrap”勒索病毒感染事件,并迅速在全球范围内扩散,涉及电力、轨道交通、石油、金融、电信等多个领域;
同年 10 月,新型勒索软件“Bad Rabbit”袭击东欧诸国,基辅地铁、敖德萨机场等交通系统及政府机构遭网络攻击;
2017 年 12 月,火眼公司披露最新一款专门针对工控系统的恶意软件 Triton,中东某能源工厂的安全仪表系统遭攻击,并导致工业生产线停运;
2018 年 6 月,三一重工泵车失踪案宣判,犯罪分子通过源代码找到远程监控系统的漏洞,得以解锁设备,间接造成企业约 10 亿元的经济损失;
同年 8 月,台湾地区积体电路制造三大厂区出现电脑大规模勒索病毒事件,约造成 17.6亿元的营收损失,股票市值下跌 78 亿元。
当前,全球工业信息安全形势十分严峻, 主要表现在以下三个方面:
一是漏洞数量逐年增长,中高危漏洞居高不下,漏洞修复进度迟缓,漏洞利用技术门槛不断降低。
通过分析美国工业控制系统网络应急响应小组(ICS-CERT)披露的报告可知,自 2010 年始,工控安全漏洞数量逐年增长,中高危漏洞占比居高不下,工控系统相关应用系统和软件的安全性能不足,许可、权限和访问控制以及凭据管理等安全漏洞问题依旧凸显 [6][7]。
仅2018 年,国家工业信息安全发展研究中心(以下简称“国家工信安全中心”) 收集研判工业控制、智能设备、物联网等领域的漏洞就高达四百余个,其中高危漏洞占比一半以上,严重威胁装备制造、交通、能源、智能楼宇等重要领域。
据 2018 年卡巴斯基及 ICS- CERT 发布报告称,供应商对漏洞修复重视程度不足,工业企业及时更新和安装补丁积极性不高,导致漏洞处置进度迟缓,漏洞修复率只有40% 左右。
此外,大量工控系统安全漏洞利用方式、攻击方法可通过互联网等多种公开渠道扩散,极易被黑客等不法分子获取利用,进一步降低了针对工控系统的网络攻击技术门槛。
二是针对工业企业的定向攻击行为增多、攻击手段愈发新型多样,制造、建筑、交通运输及工程行业成重点风险领域。
近年来,工业领域遭受大量高级可持续性威胁(APT)、网络钓鱼、分布式拒绝服务(DDoS)等定向攻击,攻击手段花样翻新、技术多变,针对性强。近两年尤为典型:
“WannaCry”勒索病毒致使某国际知名汽车企业停产、僵尸络“IoT_reaper”大范围感染物联网设备、专门攻击电力工控系统的恶意软件“Industroyer”浮出水面、台积电遭大规模勒索、全球最大铝生产商 Norsk Hydro 遭 LockerGoga 勒索软件攻击等充分表明,勒索攻击、僵尸网络攻击、定向攻击等新型攻击手段愈发成熟,一旦发生安全事件,能源、交通、通信等重要工业相关领域将遭受重创。
据卡巴斯基报告称,制造业领域的工控安全风险最为严重, 其次是建筑、交通、运输及工程等行业。卡巴斯基还曾检测到一次针对冶金、电力、建筑及工程领域的大规模鱼叉式钓鱼活动,攻击范围覆盖全球 50 多个国家的 500 多家工业企业。
三是暴露在互联网上的工控系统及设备数量与日俱增,成为世界各国工业信息安全软肋,亚非拉美等国家和地区遭攻击比例最高,我国超半数工控系统曾遭攻击。
国家工信安全中心监测发现,全球暴露在互联网上的工控系统及设备数量持续上升,工业信息安全风险点不断增加。
据卡巴斯基发布报告称,2018 年上半年全球范围内工控系统遭受网络攻击最严重的三个国家为越南、阿尔及利亚和摩洛哥,遭攻击工控系统数量占本国总量比例分别为 75.1%、71.6% 和 64.8%,中国工控系统遭受攻击严重程度排在第六位,比例达 57.4%,较 2017 年排名有所降低, 但比例有所增长。
另据国家工信安全中心监测发现,2017 年以来,全球多个国家的 IP 地址对我国工控设备及系统发起过网络探测与攻击, 对我国工业信息安全造成极大威胁。
1.3各国高度重视、多措并举,不断加强工业信息安全保障能力建设面对严峻的工业信息安全形势
美国、欧盟、日本、英国等国家和地区高度重视、积极行动,纷纷采取成立机构、实施战略、制定法律标准、投入资金、加强技术研究等诸多举措以加强工业信息安全保障能力。如在成立机构方面:
美国拥有数量庞大的网络安全研究机构,爱达荷国家实验室(INL)、桑迪亚国家实验室(SNL)、西北太平洋国家实验室(PNNL)等均是美国网络安全研究的重要力量;
英国于 1996 年和 2014 年成立了网络应急响应小组;2016 年 11 月,英国设立国内首个网络安全学院,旨在培养下一代密码破解者;
日本控制系统安全中心(CSSC) 专门负责工业信息安全防护研究,包括控制系统高级安全技术、系统安全验证技术、可控安全测试床等方面的研究与开发,截至 2017 年 5月,其会员单位已由成立时的 8 家增加至 31 家。2017 年,日本控制系统安全中心开展一系列的网络安全研讨会,如 2 月 6 日至 10 日举办“控制设备安全开发流程,设计与验证研讨会”, 10 月 13 日举办关于关键基础设施“系统防御技术”网络安全研讨会。
德国于 1991 年成立了信息安全联邦安全办公室,
法国于 1994 年成立了法国网络与信息安全局。
现今,上述各机构业务领域均已涵盖工业信息安全内容。
在战略实施方面:
2013 年初,美国发布《维护关键信息基础设施安全性和可恢复性》总统令和《加强关键基础设施网络安全》行政令, 就关键信息基础设施安全保障的相关事宜明确了部门职责及工作内容等;
同年,欧盟发布《欧盟网络安全战略》《关键基础设施保护计划》等战略规划,明确了对欧盟关键基础设施的网络安全管理内容和计划;
2014 年 12 月,欧洲网络与信息安全局发布《ICS/SCADA 专业人员的网络安全技能认证》报告,探讨了如何在工业控制网络中应用现有信息安全技术及手段,明确了工控安全面临的挑战并提出了一系列的发展建议;
同年,新加坡发布了《国家网络安全总体规划》,强调了应对国家关键基础设施网络攻击的紧迫性和重要性;
2018 年,美军方发布《美军网络司令部愿景:实现并维持网络空间优势》战略文件,提出了美在网络空间新的指导思想和作战方式,勾勒出美网络司令部的未来发展路线图。
在法律保障方面:
美国自克林顿政府以来, 出台了大量相关法律法规文件,如第 13010 号行政令、第 63 号总统令、《爱国者法案》《国土安全法》、第 7 号国家安全总统令、第 13636号行政命令、第 21 号总统令、《网络安全法》等,2014 年,美国发布《国家网络安全保护法案》,从法律层面提出要加强关键基础设施信息共享、标准制定、教育培训以及技术队伍建设;
2017 年 5 月,美国总统特朗普签署《增强联邦政府网络与关键基础设施网络安全》行政令, 要求采取一系列措施来增强联邦政府及关键基础设施的网络安全,该行政令从联邦政府网络、关键基础设施和国家网络安全三个方面提出增强网络安全的措施。
2016 年 7 月,欧盟正式通过《网络和信息系统安全指令》,明确规范了基础服务运营者、数字服务提供者的网络风险管理、网络安全事故应对与通知等义务,以更好地应对和处置电力供应、空中交通管制等关键基础设施遭受的网络攻击。
在标准制定方面:
2017 年 7 月,英国渗透测试认证机构 CREST 发布的报告《工业控制系统—技术安全保障意见书》指出,随着工业信息安全形势不断恶化,设立工控安全技术保障标准的需求日趋迫切;
各国际标准组织和国家针对工业信息安全测试和性能评估、重点工业行业领域等也积极开展标准制定和完善工作。国际自动化协会(ISA)制定的《工业自动化控制系统(IACS)安全》(ISA/IEC 62443) 系列标准是工控安全领域最为全面的国际通用标准,
美国国家标准与技术研究院(NIST)针对工控安全先是发布《工业控制系统安全指南》(NIST SP 800-82), 对工控安全防护提供指导,又于 2017 年 9 月发布《网络安全框架制造简 介 》(Cybersecurity Framework Manufacturing Profile),为制造环境中开发网络安全框架(CSF) 提供实施细节,提高制造领域的网络安全风险管理能力 [8]。
在资金投入方面:
2016 年 4 月,澳大利亚政府计划拿出 2.3 亿澳元用于国家重要基础设施的网络安全防护建设;
同年,美国新增 140 亿美元的预算专门用于网络安全的研究和发展;
2017 年 4 月,美国国防部计划投资 7000 万美元建立新的网络安全计划,专门打击针对电网设施的黑客攻击;
同年 8 月,英国宣布在未来三年内投资 1900 万美元创立网络安全创新中心, 用于培养网络安全人才和研发改进网络安全技术;
2018 年,美国表示将在未来 5 年投入更多预算用于提高其在网络空间的防御能力、恢复能力和网络整合能力,以巩固竞争优势。
在技术研究方面:
各国研究机构及专家学者在工业控制系统风险评估、安全防御策略选择和安全测试床研发等方面相继开展并不断加强研究工作。
Chittester[9]、Miller[10] 和 Francial[11] 等利用全息建模、攻击树建模、CORAS、层次 分析和模糊评判集等数学方法分别建立了定性的工控安全风险评估框架模型,并在 SCADA 系统中进行了分析应用和风险综合评价,取得了较好效果;McQueen[12]、Baiardi[13]、Patel[14] 等则基于危害图、攻击路径、攻击事件演化图和“信息安全程度”指标等评估手段,从定量的风险评估角度来研究工控安全风险水平,并对其风险情况进行了量化分析;
Hewett R[15]、徐洪华 [16]、赵恒博 [17] 等对工控安全防御策略进行了相关研究,并基于多 Agent、博弈论等技术理论,设计了针对工控系统的安全防御模型,并提出了从企业网络和工控网络两方面进行安全防护的有效手段;
爱达荷国家实验室、亚利桑那大学等研究机构对工控系统进行信息安全攻击实验, 分析各种攻击对系统造成的影响,并验证不同安全解决方案的有效性,从全实物复制测试床、半实物仿真测试床和软件联合仿真测试床三个方面对工控安全测试床开展了研究,并进行了典型案例的试用测试。
此外,在工控安全防护架构设计 [18-23]、安全防御体系 [24]、网络空间靶场 [25] 等方面也已开展相应研究工作。
近年来,我国也高度重视工业信息安全,积极部署。
2016 年底,国家互联网信息办公室发布了《国家网络空间安全战略》,明确了网络安全的具体工作要求,为做好网络安全工作提供了行动指南 [26];
2017 年 6 月,《中华人民共和国网络安全法》正式实施,对关键信息基础设施保护做出了具体的法律规定,为开展工业信息安全工作提供了法律保障 [27];2017 年 11 月,国务院印发了《关于深化“互联网 + 先进制造业”发展工业互联网的指导意见》,为建立较为完备可靠的工业互联网安全保障体系设立了发展目标并明确了实现路径;
同年,国务院印发了《关于推动国防科技工业军民融合深度发展的意见》,进一步推动国防科技工业军民深度融合,大力发展网络和信息安全技术、产品和产业。此外,国务院还发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》《关于印发新一代人工智能发展规划的通知》等相关政策文件。
与此同时,工业和信息化部(以下简称工信部)等部门也积极贯彻落实国家战略法规要求,不断推动工业信息安全建设。
2016 年11 月始, 工信部先后制定发布了《工业控制系统信息安全防护指南》《工业控制系统信息安全事件应急管理工作指南》《工业控制系统信息安全防护能力评估工作管理办法》《工业控制系统信息安全行动计划(2018—2020 年)》等政策文件, 工业信息安全政策体系逐步完善 [28-31]。
随着一系列政策文件的发布和逐步落实,工业信息安全也被提升到一个前所未有的高度。
2017 年,国家工业安全中心正式成立,统筹加强工业信息安全仿真测试、在线监测、攻防演练、应急处置等技术手段建设。借此契机,工控安全检查、防护能力评估、能力建设、风险通报与应急保障、意识教育、产业促进等一系列相关工作有序开展,取得显著成效。
同年,在工信部指导下, 工业信息安全产业发展联盟正式成立,全面推动产学研用集成创新及融合发展;全国范围内工控安全培训首次开展,不断推动工业信息安全意识普及;国家级工业信息安全技能大赛首次成功举办,促进加强对专业人才的选拔和培养力度。
2、我国工业信息安全面临的主要挑战
我国工业信息安全面临的问题与挑战涉及工业生产和管理的方方面面。
一方面,网络安全问题不断从传统领域渗透到工业领域,传统的防护手段已经无法有效保障工业信息安全;
另一方面,由于问题矛盾的不断发展,当前的工业信息安全管理机制、技术能力以及产业支撑力、企业安全责任意识都存在不足,具有较大安全隐患。
2.1工业信息安全管理机制不健全
大多数工控系统在初始设计、建设、运营等过程中均未考虑网络安全问题,导致工控系统联网后安全风险严重,相对应的安全建设面临很大挑战。
我国对工业信息安全的管理相对薄弱,管理机制很不健全,严重滞后于工业互联应用推广的步伐,难以适应当前工业信息安全形势发展的需要。
一方面,我国各行业工业企业数量众多,体制及管理机制关系复杂,许多核心工业领域的工控系统涵盖了大量国外的工控系统产品,在对行业和产品的管理上,主管部门在制度建设和法规制定中,缺乏系统的、完善的法律体制和管理机制。
另一方面,在具有复杂管理机制的一些混合所有制或私有制企业中,地区、行业主管部门的安全管理政策无法对企业和社会进行有效的统筹管理,无法有效指导大多数工业企业建立和执行较为完善的信息安全管理制度,相关问题持续困扰工业信息安全的健康有序发展。
综合来看,各地区、各部门、各工业企业对工业信息安全问题重视程度依旧不足,工业信息安全管理机制尚不健全,亟需探索建立行之有效的工作机制和管理体系。
2.2工业信息安全隐患凸显
传统信息安全防护方式难以有效保障工业信息安全工控系统在发展之初相对封闭和独立。但随着工业生产环境对管理和控制一体化需求的不断升级,以及网络、通讯等信息技术应用的指数型增长,工控系统正日益走向开放、互联、互通,从而使得工控系统原有相对封闭的使用环境逐渐被打破,导致工控系统设备、网络、控制、数据等方面的安全隐患充分暴露、风险凸显。
两化融合的深度发展和工业互联网的不断推进,使得业务系统之间的信息壁垒被打通, 工业网络与企业内网、互联网的界限越来越模糊,传统信息安全威胁迅速扩散至工业控制领域,且攻击者常常利用病毒、漏洞等实施攻击, 工控系统日益面临与互联网相似的、乃至更为严峻的安全形势,工业控制环境所面临的安全威胁挑战不断升级。
工控系统使用环境基本以内网为主,形成内部工控系统局域网,并通常是以孤岛形式存在,导致传统杀毒软件或防火墙无法有效解决工控安全问题。
传统信息安全保护范围主要是信息系统,未建立专门针对工控系统的安全防护手段,现有防护方式缺乏针对性且不能全覆盖。而以往采用的物理隔离等安全防护方式在日益集成、开放、一体化的工业生产环境中已不再适用,且随着通过便携式媒介等实现入侵的新型攻击手段不断涌现,单纯依靠物理隔离已无法规避安全风险。
此外,工控系统对可用性、实时性要求较高,其操作环境更为严格,因此工控安全防护手段必须适应系统特点,且应严格保证不会影响工控系统的实时响应能力,以免造成系统宕机、业务中断等严重后果;工控系统与行业的关键业务紧密相关, 系统复杂,且工控协议众多,很难有统一适用的安全防护方法,需针对各类工业控制协议的特点采取有针对性的安全防护措施。
因此,传统的信息安全防护手段已不足以有效地保障工业信息安全,需要采取全新的理念来解决工业信息安全问题。
2.3工业信息安全技术和产业支撑能力不足
自主可控的设备产品、技术和服务是保障重点行业工业信息安全的基石,工业信息安全技术和产业支撑能力的欠缺将很大程度上限制工业信息安全保障能力的提升。
从市场情况来看,当前我国工业行业所运用的重要关键设备和基础软件绝大多数属国外产品,以工业可编程逻辑控制器(PLC)为例,西门子、三菱、欧姆龙、罗克韦尔、施耐德等国外厂商占据国内超过 80% 的市场份额,受制于人的局面尚未得到根本改变;
从技术能力来看,我国工业信息安全测试、评估、验证等共性技术能力不强且分散,经过实践检验的工业级信息安全技术产品缺乏,企业工业信息安全防护水平普遍不高。技术、产品、服务的核心技术受制于人,安全防护技术和产品欠缺,导致我们难以从根源处着手处理安全问题,难以支撑我国工业生产和应对安全威胁挑战,我国工业信息安全领域存在着核心技术掌控能力与日趋严峻的安全风险形势无法适应的困境。
此外,我国工业信息安全产业发展不充分,严重滞后于工业信息安全发展的需求。我国工业信息安全在产业结构、资源配置、市场环境、业态发展等方面存在明显不足,仍未形成良性发展的产业链;安全防护产品尚未实现产业化应用、相关技术积累不足、专业技术人才缺乏、宣传教育培训工作不到位等问题也严重影响了工业信息安全产业的发展。
2.4工业企业信息安全主体意识薄弱
据近几年全国工控安全检查工作发现,在被检查的几千家工业企业中,部分企业的信息安全意识仍显薄弱:
一是信息安全管理制度不够完善、现行制度未能有效执行,出现工业信息安全管理混乱、责任不明、生产数据等敏感信息外泄等问题,严重制约企业工业信息安全整体水平的健康发展:
二是工业企业信息安全人才力量不足,拥有信息安全专业背景和技术能力的人员严重匮乏。一方面制约着信息安全意识和技术的提升;另一方面也造成一定程度的安全风险,一旦企业出现工业信息安全问题,将很可能无法及时采取有效应对措施。
三是宣传培训教育工作不到位,员工的信息安全意识相对欠缺,既无法在日常工作中采取措施降低安全风险,也缺乏意识和手段及时发现企业存在的安全隐患。四是大量业务系统、数据库使用弱口令,大大降低了黑客等不法分子突破企业边界的难度,使企业被攻击的安全风险急剧上升。
3、加强我国工业信息安全的对策建议
针对我国当前存在的工业信息安全管理机制不健全、关键核心技术能力不足、产业发展基础薄弱、工业企业安全意识不强等问题和短板,综合安全与发展,建议从以下四个方面做好新时期新形势下的工业信息安全工作,切实为制造强国和网络强国战略的有效实施保驾护航。
3.1建立健全工业信息安全顶层设计
政策文件、标准指南等顶层设计是工业信息安全发展的指路明灯,要加强政府监督和指导,持续完善工业信息安全政策制度和标准体系建设。
制定《工业信息安全管理办法》《工业互联网安全指导意见》《工业信息安全风险信息报送与通报管理办法》《工业信息安全产业发展指导意见》等政策文件,建立健全工业信息安全责任制,完善风险通报、产业发展等安全指导和管理制度,进一步加强工业信息安全顶层设计。
坚持安全是发展的前提,重点研究新一代信息技术与工业生产活动融合产生的安全保障需求,适时发布工业互联网、工业云、工业大数据等领域相关的信息安全指导性政策文件。
标准体系是顶层设计落地实施的重要基础, 围绕评估、监测、预警、响应、处置等需求,加强标准体系建设研究,推动编制《工业信息安全标准体系建设指南》《工业控制系统信息安全防护能力评价方法》等相关国家标准,建立完善工业信息安全标准体系。
3.2督促落实工业信息安全主体责任
“安全为重,责任为先”,工业信息安全保障需要工业企业切实肩负起安全主体责任。
一是深入学习贯彻《国务院关于深化“互联网 + 先进制造业”发展工业互联网的指导意见》《工业控制系统信息安全行动计划(2018—2020 年)》
《工业控制系统信息安全防护指南》等政策文件, 依据文件要求指导企业开展工业信息安全防护工作;
二是建立“以查促建、以查促改、以查促防” 的常态化工作机制,在全国范围内组织开展工控安全检查评估工作;
三是坚持企业承诺与社会监督相结合;第三方评价与政府持续监管相结合,持续推动工业产品和服务的网络安全审查工作;
四是强化开展工业信息安全意识和基本技能培训,推动工业信息安全意识培训、事件演练、技能竞赛等活动举办,全面深入贯彻落实工业信息安全责任制,切实加强工业企业安全意识和责任义务。
3.3着力加强工业信息安全保障能力
支持国家级工业信息安全专业技术机构,不断强化覆盖工业生产全生命周期的态势感知、仿真演练、应急响应、信息共享与通报以及综合保障等能力。
一是深化态势感知能力,建设工业信息安全态势感知监测网络,通过情报收集、主动监测、被动诱捕等技术手段,实现全天候全方位态势感知。
二是增强仿真演练能力, 建设工业信息安全靶场、仿真测试等共性技术平台,研发工业信息安全防护技术工具集,加强分区隔离、安全交换、协议管控等关键技术攻关。
三是提升应急响应能力,支持建设应急资源库,实现信息采集、辅助决策、预案演练等功能。
四是加强信息共享与通报能力,建设工控安全信息通报预警平台,及时发布风险预警信息,跟踪风险防范工作进展,形成快速高效、各方联动的信息通报预警体系。
五是建设国家工业信息安全综合保障网络,指导地方 / 行业技术支撑机构、重点工业企业建设区域级 / 行业级的工业信息安全保障分平台或防护分平台, 实现与国家级保障平台的信息交互共享,打造威胁风险隐患的群防共治能力。
3.4全方位提升工业互联网安全水平
支持建设以国家工信安全中心为核心节点,横向连接行业、纵向连接地区,定点连接企业的工业互联网安全保障体系,分步骤、分阶段开展设备接入安全、平台运行安全、应用服务安全、标识解析系统安全和数据安全等保障能力建设。
贯彻落实《国务院关于深化“互联网 + 先进制造业”发展工业互联网的指导意见》要求,从提升安全防护能力、建立数据安全保护体系、推动安全技术手段建设三方面,构建覆盖平台安全、设备安全、控制安全、数据安全和网络安全的工业互联网安全保障体系,指导企业提升工业互联网安全防护水平。
3.5大力推动工业信息安全产业发展
良好健康的工业信息安全产业,对国家工业信息安全发展起着巨大的推动作用。
一是坚持政府引导与市场机制相结合,建立健全工业信息安全市场服务体系,为产业发展创造良好的市场环境;
二是推动建设 3 ~ 5 家国家新型工业化产业示范基地(工业信息安全),促进产业集聚发展;培育一批核心技术能力突出、市场竞争力强、辐射带动面广的工业信息安全龙头企业,增强安全产品和服务供给能力;
三是加快自主可控的工业信息安全产品研发,组织开展产品示范应用,推动产品规模化、产业化应用。四是加强工业信息安全产业“走出去”, 以与“一带一路”沿线国家合作为切入点,构建工业信息安全国际治理体系,建设工业信息安全命运共同体。
4、结语
党的十八大以来,我国就大力振兴制造业、加快制造强国和网络强国建设提出了一系列新论述,引领和推动工业和信息化发展取得了大量辉煌成就。
在新时代,要以党的十九大和习近平总书记关于网络安全的重要论述和精神为指引,积极贯彻落实国家网络安全重要战略政策文件,全面开创工业信息安全工作新局面, 为制造强国和网络强国建设保驾护航。
参考文献:
[1]苗圩 . 制造强国和网络强国建设迈出坚实步伐——党的十八大以来我国工业和信息化发展新成就 , http://www.miit.gov.cn/n1146290/n1146397/c5863624/content.html,2017.
[2]怀进鹏 . 深化制造业与互联网融合发展加快制造强国建设 [J]. 科协论坛 , 2016(10):17-19.
[3]邬贺铨 . 新一代信息技术的发展机遇与挑战[J]. 中国发展观察 , 2016(4):11-13.
[4]宫亚峰 , 张格 , 程宇 . 维护工业控制系统网络安全是实现强国目标的重要保证 [J]. 自动化博览 , 2017,34(2):28-33.
[5]李扬 . 新形势下工业信息安全现状分析与建议 [J]. 保密科学技术 , 2017(7).
[6]NCCIC/ICS-CERT. Industrial Control Systems Assessment Summary Report, https://ics-cert. us-cert.gov/Information-Products.
[7]NCCIC/ICS-CERT. 2016 Annual Vulnerability Coordination Report, https://ics-cert.us-cert. gov/Information-Products.
[8]陶耀东 , 李宁 , 曾广圣 . 工业控制系统安全综述 [J]. 计算机工程与应用 ,2016,52(13):8-18.
[9]Chittester C G, Haimes Y Y. Risks of Terrorism to Information Technology and to Critical Interdependent Infrastructures[J]. Journal of Homeland Security & Emergency Management, 2004,1(4):185-186.
[10]Miller. The use of attack trees in assessing vulnerabilities in SCADA systems, Proceedings of the International Infrastructure Survivability Workshop, 2004.
[11]Guillermo A. Francia, David Thornton, Joshua Dawson Security Best Practices and Risk Assessment of SCADA and Industrial Control Systems.
[12]Mcqueen M A, Boyer W F, Flynn M A, et al. Quantitative Cyber Risk Reduction EstimationMethodology for a Small Scada Control System[C]. Hawaii International Conference on System Sciences. IEEE, 2006.
[13]Baiardi F, Telmon C, Sgandurra D. Hierarchical, model-based risk management of critical infrastructures[J]. Reliability Engineering & System Safety, 2009,94(9):1403-1415.
[14]Patel S C, Graham J H, Ralston P A S. Quantitatively assessing the vulnerability of critical information systems: A new method for evaluating security enhancements[J]. International Journal of Information Management, 2008,28(6):0-491.
[15]Hewett R, Rudrapattana S, Kijsanayothin P. Cybersecurity analysis of smart grid SCADA systems with game models[J]. 2014:109-112.
[16]赵恒博 , 曹谢东 . 基于 FNN 的多 Agent SCADA 安全防御模型 [J]. 微型机与应用 , 2016(7):9-11.
[17]徐洪华 , 张旭 . 网络化 SCADA 系统安全防御策略 [J]. 中国安全生产科学技术 , 2011,07(11).
[18]Genge B, Haller P, Kiss I. Cyber-Security- Aware Network Design of Industrial Control Systems[J]. IEEE Systems Journal, 2015,1-12.
[19]Omkar A. Harshe, N. Teja Chiluvuri, CameronD. Patterson and William T. Baumann. Design and implementation of a security framework for industrial control systems[A]. Proceedings in 2015 International Conference on Industrial Instrumentation and Control[C].IEEE,2015,127-132.
[20]Cheminod M, Bertolotti IC, Durante L, et al. Automatic analysis of security policies in industrial networks[A]. IEEE International Works hop on Factory Communication Systems[C]. IEEE,2010,109-118.
[21]Cheung S, Dutertre B, Fong M, et al. Using Model-based Intrusion Detection for SCADA Networks[J]. Proceedings of the Scada Security Scientific Symposium, 2006.
[22]Liu N,Zhang J,Zhang H, et al. Security Assessment for Communication Networks of Power Control Systems Using Attack Graph and MCDM[J]. IEEE Transactions on Power Delivery, 2010,25(3):1492-1500.
[23]Matti Mantere, Mirko Sailio and Sami Noponen. Network Traffic Features for Anomaly Detection in Specfic Industrial Control System Network[J]. Future Internet, 2013,5:460-473.
[24]蒋宁 , 林浒 , 尹震宇等 . 工业控制网络的信息安全及纵深防御体系结构研究 [J]. 小型微型计算机系统 , 2017,38(4):830-833.
[25]方滨兴 , 贾焰 , 李爱平等 . 网络空间靶场技术研究 [J]. 信息安全学报 ,2016,1(3):1-9.
[26]中国网信网 . 国家网络空间安全战略 ( 全文 ) [J]. 中国信息安全 , 2017(1):26-31.
[27]《中华人民共和国网络法》,http://www.cac.gov.cn/2016-11/07/c_1119867116. htm,2016.
[28]工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知 , http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4062056/c5338092/content.html,2016.
[27]国务院印发《关于深化“互联网 + 先进制造业”发展工业互联网的指导意见》,http://www.gov.cn/xinwen/201711/27/content_5242603.htm,2017.
[28]工业和信息化部关于印发《工业控制系统信息安全行动计划(2018—2020 年)》的通知 , http://www.miit.gov.cn/newweb/n1146290/n4388791/c5996116/content.html,2017.
[29]工业和信息化部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知, http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4062056/c5760743/content. html,2017.
[30]梁秀璟 . 《工业信息安全防护指南》为工控信息安全产业发展注入强劲动力 [J]. 自动化博览 ,2017(1):72-73.
[31]工业和信息化部印发《工业信息安全事件应急管理工作指南》, http://www.miit.gov.cn/n1146290/n4388791/c5690361/content.html.
[32]赵恒博 , 曹谢东 . 基 于 FNN 的 多 Agent SCADA 安全防御模型 [J]. 微型机与应用 , 2016(7):9-11.
作者简介:
刘冬,硕士,工程师,主要研究方向为网络安全。
程曦,硕士,工程师,主要研究方向为网络安全。
杨帅锋,硕士,工程师,主要研究方向为网络安全。
(本文选自《信息安全与通信保密》2019年第八期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。