文丨国家工业信息安全发展研究中心副主任 研究员 郝志强
云天百家:中国的网络安全产业经历了多年发展,不断学习和模仿国际先进技术与模式,厚积薄发,已经到了探索独有发展道路的时候。中国的网络安全走向何方,需要众多专家各抒己见。“云天百家”希望为中国网络安全产业的百家争鸣提供一个平台,共同探索未来之路。
一、 工业信息安全的新形势
随着工业信息化发展,工业互联网的发展不断演化和升级,十九大以来工业互联网的概念已经从提出到广泛深入人心,“十四五”规划也明确提出了积极稳妥发展工业互联网,将工业互联网作为数字经济重要的产业。在工业互联网的快速发展过程中,工业生产制造资源接入方式和范围都发生了很大的变化,传统公共系统逐渐同管理网络、云端网络打通,从相对封闭的生产控制网络到相对开放的工业互联网平台;工业数据的去向也发生了变化,从工业企业内部流动到现在的管理系统和外部云端流动;优化资源配置的主体也发生了变化,从企业自身生产优化到现在工业互联网平台和工业企业共同配置优化;工业信息化的发展从以往的内部数字化向平台赋能的产业链协同作转变,工业信息安全也从制造业属性为主更多融入了互联网安全的属性。
一个企业将生产数据上传到工业互联网平台,它的安全责任就不仅仅是自身企业的事情,工业互联网平台企业和电信运营商都要对安全共同来负责,保障对象也不再仅仅是单位内部的主机、设备、网络,还包括衍生的标识解析系统、平台系统等方面。
图1 工业信息安全新形势
安全威胁和防护手段方面也存在着区别和差异,需要注意的是在工业互联网的演变过程当中,工业控制系统安全和工业互联网安全将长期共同存在。此外,从数据方面来看工业互联网数据种类多样,缺乏防护方面的重点,工业互联网涉及到的研发设计数据、内部生产管理数据、操作控制数据以及企业外部数据等,这些可能分布在大数据平台、生产终端、工业互联网平台,设计服务器多种设施上,数据安全保护是负责继续解决的问题。从安全后果来看,工业信息安全和生产安全交织在一起,一旦遭受攻击不仅对经济造成损失,还可能影响工业生产运行,引发安全生产事故,甚至对国家的安全构成威胁。
图2 传统网络安全与工业互联网安全的侧重点
从新技术应用安全风险来看,工业信息安全越来越多涉及到大数据、云计算、人工智能、区块链、5G、边缘计算、量子信息等新技术的融合,带来新的更多的伴生安全问题,全球各国对工业信息安全都非常重视,去年美国发布了保护工业控制系统一体化协议2019-2023倡议,从公司合作、整体防御、威胁感知、资金投入四个方面指导关键信息基础领域,开展工业控制系统网络安全保护工作的基本原则。
2020年,美英共同发布了工业控制系统网络安全最佳事件,从体系架构、网络边界、安全监测、供应链管理等八个方面提供保障公共安全的最佳解决方案,美国电力行业还专门推出电力行业关键基础设施保护可靠性标准,指导行业开展风险识别、风险评估、风险方面的管理消解大型电力系统面临的网络安全风险。7月28日拜登签发了《关于改善关键基础设施控制系统网络空间安全的国家安全备忘录》,要求联邦机构制定关键基础设施的网络安全性能指标,进一步明确各个单位网络安全方面的保护责任。
学术界和产业界同样对工业信息安全给予了高度关注,著名的安全会议RSA上,工业控制系统与供应链攻击已经成为2020年十大关键词;国内外网络攻防大赛近年来都将工业系统控制设备和软件作为重要研究对象。
二、 工业信息安全的新挑战
工业信息安全面临很多新挑战。一是安全事件频发。这些年来大规模的高强度工业信息安全事件频发,威胁加剧,后果越来越加重,工业领域成为网络攻击的重灾区,从2010年震网事件,今年5月份美国石油管道发生勒索病毒事件,全球工业信息领域的事件越来越频繁。
二是漏洞量高速增长,根据国家工业信息漏洞库统计的数据,也是工业信息安全发展研究中心建的全国唯一一个工业信息安全漏洞库,2020年的漏洞总数达到2138个,是2019年的1.2倍,而且高危漏洞分布广泛,高危以上漏洞超过了60%,这些漏洞影响工业控制设备或者系统运行周期普遍还是比较长的,对工业信息安全带来了极大的威胁。
图3 2020年工业信息安全漏洞月度分布情况
三是勒索病毒成为头号威胁,在公开发布的全球工业信息安全事件中,勒索病毒攻击占到了三成以上,涉及到20多个国家的重点行业和领域,2020年勒索病毒的事件是2019年的3倍,攻击量爆增,针对勒索病毒攻击的支付比例也在逐年增加,要价也越来越高,从2018年38%增长到现在的58%,平均勒索金额高达18万美金。
从工业信息安全检查评估中发现,我国工业企业网络安全防护水平确实不容乐观,也无法抵御一般性的网络攻击,比如说我们中心对260多个重点工业企业检查当中发现,高危安全漏洞和安全风险超过了4000多,很多企业的工业控制系统可以通过互联网来远程监控和操作,也可以造成工厂的停产,设备故障甚至重大安全事故。
三、 工业信息安全的新机遇
经过多年的发展我国网络安全领域的法律法规体系日趋完善,2017年网络安全法正式实施,今年9月1日数据安全法正式实施,工业安全相关的工作推进有法可依,网络安全标准有了长足进步,为开展工业信息安全实践落地提供了法律保障,有法可依,有法必依。
网络安全产业将迎来高速发展,7月初工信部发布了《网络安全产业高质量发展三年行动计划》,明确提出2023年产业规模达到2500亿,初步形成一批质量品牌、经营效益优势明显的领航企业,快速成长一批车联网、工业互联网、物联网、智慧城市等新赛道的专精特新中小企业群体。
图4 工信部发布《网络安全产业高质量发展三年行动计划》
需求释放方面明确了电信等重点行业网络安全投入占信息化投入比例要达到10%以上,人才培养方面网络安全人才体系要更加健全,网络安全规模质量要不断提高,这是三年行动计划一些关键指标,因为网络安全高质量发展三年行动计划是我们单位牵头起草的。国家省级企业安全态势预警网络初步建立,目前已经初步建成了工业互联网安全态势感知与预警平台,国家工业信息安全监测预警网络,32个省市同步建设省级工业互联网安全态势感知平台,基本构建了覆盖安全威胁检测、通报、处置的国家、省、企业三级架构的安全威胁监测通报,处置的态势感知和机制。工业信息安全的基础资源库越来越完善,工业资产目录库、协议库、安全漏洞库、恶意代码病毒库、安全威胁情报库等基础资源库已经初步建成,具备了对外服务的能力。
图5 工业数据链路
工业数据安全和供应链安全成为我们下一步发展的新方向。十九届四中全会首次提出了将数据作为生产要素参与分配,这为数据赋予了新的历史使命,当前我国大数据技术在工业领域、用户需求、精准分析、生产过程改进优化、营销管理、智能决策等方面的应用也正在兴起,工业数据作为新的生产要素资源支撑供给侧结构性改革,驱动制造业转型升级的作用日益突显,正在成为推动质量变革、效率变革、动力变革的新引擎。
供应链安全,工业互联网供应链安全涉及到相关的软硬件产品或者平台生产及流通过程当中相关的设备源代码,元器件提供商、生产商、分销商等等,一旦软硬件的研发、供应、交付等环节,被恶意攻击、预留后门、基础软件被污染、产品存在漏洞等等,将直接影响工控系统正常运转,需加强工业互联网产品的研发、交付、维护环节管理,来明确供应链不同角色网络安全的责任和义务,加强工业互联网供应链安全的防护。
图6 SolarWinds 供应链攻击
随着网络化、数字化、智能化的逐渐深入,工业安全事件越来越多,漏洞越来越多,现有的法律基础、技术体系和防护能力相比威胁形势远远不足,我们应该广泛合作,共同努力,顺应新形势,抓住新机遇,应对新挑战。
声明:本文来自路云天网络安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。