文│四川省电子产品监督检验所 张良龙 卿立银 马宇骏

近年来,四川高度重视信息安全产业发展,出台了系列政策。根据《四川省“十四五”信息安全产业发展规划》,2020 年四川省信息安全软件与信息服务业收入约为 100 亿元,同比增加 10.56%,占全国总量的7.14%,其中工业互联网信息安全方面收入 8603 万元,同比增加 322.14%,产业规模逐步增大,产业集聚力不断增强。但是,四川省工业互联网信息安全仍存在部分问题。如何保障四川省工业互联网信息安全?引起行业内外广泛思考。

一、四川省工业互联网信息安全问题

四川省工业互联网信息安全问题主要有以下三方面:

(一)工业互联网高危安全风险较多

四川省工业控制系统态势感知与通报预警平台运行至2021 年 10 月 31 日,通过工业互联网平台探测与人工验证相结合的方式,累计发现四川境内工业互联网 879 个高危安全风险。仅 2021 年 10 月,态势感知平台新发现四川境内工业互联网 12 个高危安全风险,如 Sunway ForceControl多个远程安全漏洞、Siemens S7300/400 PLC 存在权限绕过停机漏洞、Siemens SIMATIC S7 300 硬编码证书安全绕过漏洞等,这些漏洞虽然没有造成实际事故,但是对工业互联网潜在威胁较大。

图1 四川省工业互联网系统

(二)工业企业信息安全建设滞后

四川多数工业企业仍然使用的是防火墙、网关、数据交换网等传统 IT 网络边界防护技术和安全产品,对于未知风险缺乏预判、防范能力;使用网络威胁感知系统、渗透测试系统等软硬件系统的企业比例不足 20%。部分工业企业信息安全老旧设备更新升级难度大,许多工业互联网终端设备结构简单、低功耗、低成本,在设计规划时往往很少考虑安全设计。工业企业信息安全投入不足、建设滞后。

图2 水务网络信息化管理平台

(三)产业总体规模仍然较小

四川信息安全产业虽然在密码产品、流量监测、漏洞挖掘、网络攻防等多个信息安全细分领域具有较强的竞争力,但信息安全产业整体规模较小。2020 年,四川信息安全软件与信息服务业规模只占软件和服务业规模的 2.4% 左右,信息安全产业规模占电子信息产业规模的 5.5%,其中涉及工业互联网的信息安全产业规模占电子信息产业规模比例更低。

二、原因分析

四川省工业互联网信息安全问题主要有以下两方面原因:

(一)关键技术攻克困难

随着新技术广泛应用、新场景不断涌现,新的信息安全风险不断出现,且隐蔽性、破坏性逐渐增强,这对工业互联网信息安全研发企业提出了更高要求。目前部分主流工业互联网信息安全研发企业的部分产品,仍然不能针对高危安全风险及时研发对应的漏洞补丁,如西门子没有对 Siemens S7300/400PLC 权限绕过停机漏洞、Siemens SIMATICS7-300 CPU 拒绝服务漏洞、SiemensSIMATIC S7-300 硬编码证书安全绕过漏洞等提供漏洞修补方案。这些关键技术攻克困难,不能及时有效解决工业互联网信息安全问题。

(二)工业企业信息安全意识不强

从工业企业角度来看,工业互联网信息安全投资大,但是并不会产生立竿见影的经济效益。同时由于国内很少出现严重的工业互联网信息安全事故、没有出现较大的经济损失,部分工业企业抱着侥幸心态,不愿意增加工业互联网信息安全投资。目前部分工业企业对工业互联网信息安全仅仅是抱着“安装了设备即可”的态度,而对设备的有效性、漏洞补丁更新日期的设定不专业、不重视,也没有对工业互联网信息安全设备的防护能力进行测试、攻防对抗演练。工业企业信息安全意识不强,导致四川省工业互联网信息安全建设滞后、风险日益提高。

三、四川省工业互联网信息安全改进建议

四川省工业互联网信息安全可以从以下四个方面改进:

(一)加快关键技术突破

要在财税、投融资、研发、进出口、人才、知识产权、市场应用、国际合作等方面加大政策支持力度,统筹用好国家补助资金、地方财政资金、政府债券资金等各类资金,在重点研发计划(重大科技专项)、科技创新基地(平台)征集需求,引导高校、科研院所、研发企业加快研发。要围绕工业互联网领域内大规模前端数据采集设备应用,积极开展高性能轻量级密码算法技术研究,加强密码算法与核心芯片、操作系统等软硬件的一体化设计能力,奠定内生安全基础;加快提升威胁分析、态势感知、安全防御、数据治理、隐私保护以及应急处置等共性安全能力;加快突破可信计算、5G 安全架构、网络空间资源测绘、源代码审查、加密流量解析和攻击溯源等关键技术;加快信创产品漏洞挖掘研究,保障信创产品安全可用;推进密码技术在核心芯片、终端设备、基础软件上的集成,创新研发安全芯片、工业安全 PLC、工业安全传感器等安全产品,推动商用密码在工业互联网等新场景上的应用;推动工业互联网信息安全研发企业针对高危安全风险,及时研发对应的漏洞补丁,并推广应用。

(二)落实工业互联网信息安全贯标及测评服务

要组织开展工业互联网安全试点示范,加强工业互联网安全分类分级、工业数据分类分级、工业互联网安全贯标。工业互联网信息安全的分类分级原则与等级保护定级基本原则类似,等级保护定级是根据对象受到破坏时所侵害的客体和对客体造成侵害的程度进行定级;而《工业互联网企业网络安全分类分级指南》的分级则以工业企业实际受网络安全影响程度作为关键因素,结合工业企业规模、工业企业应用工业互联网的程度、工业企业发生网络安全事件的影响程度等要素确认工业互联网企业的分级。在分类分级贯标后,要全面开展工业互联网信息安全测评,排查隐患、及时处理,确保工业基础设施安全。通过建立健全检查工具、手段,并督促对发现问题的整改,全面提高相关领域、单位对工业互联网信息安全的重视程度,并带动工业互联网信息安全产业供给发展。

图3 四川省工业企业信息安全现场检测与评估平台

(三)加强宣传教育,鼓励工业企业购买信息安全运营服务

要面向社会开展工业互联网信息安全意识警示、工业互联网信息安全日常技能宣传等专题活动,提升全社会对工业互联网信息安全的认识,培养形成良好的工业互联网信息安全防范意识。建立工业互联网信息安全科普体验中心,采用丰富的视听互动技术开展网络安全宣传教育工作。鼓励各单位各行业组织相关工作人员开展工业互联网信息安全培训工作,加强人员安全意识和安全水平。采取行业自律组织宣传、财政补贴等方式,鼓励工业互联网信息安全企业积极为工业企业提供入侵检测、漏洞挖掘、安全审计、入侵防御、系统安全运维等服务;鼓励工业企业购买相关信息安全运营服务,提升自身业务系统安全性。

(四)打造工业互联网信息安全产业良性发展生态

要紧跟国家发展战略,抢抓四川工业数字化发展机遇,加快川渝信息安全产业一体化发展,不断提升成都产业集聚发展能级。打造成都“中国网络信息安全之城”,围绕西部(成都)科学城“一核四区”、高品质科创空间多点支撑的创新供给网络,打造工业互联网信息安全创新发展新高地。在成都高新区南部园区、天府新区成都直管双流区打造网络信息安全产业的主体聚集区与核心发展区,依托武侯、锦江等区县现有产业基础和优势,发展具有地方特色的工业互联网信息安全产业。同时利用成都市城市国际竞争力和区域带动力,结合成都“五大先进制造业”“五大新兴服务业”产业空间布局优化契机,不断推动成都工业互联网信息安全产业集聚发展。对接国家工业互联网标识解析节点等基础设施,建设工业互联网信任体系与数据安全共享平台,保障工业互联网可信接入,提升信息保护、数据安全共享等公共服务能力,面向制造、化工、能源、交通等行业企业、人员、设备等,提供安全可信的数据共享交换服务。完善工业互联网安全监测与态势感知平台优化升级,建成覆盖所有市州和重点行业的工业互联网技术监测服务体系,保障四川省工业互联网信息安全。

(本文刊登于《中国信息安全》杂志2022年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。