全球近年來發(fā)生多起重大工業(yè)信息安全事件。一些組織或個人通過對工業(yè)設施和工業(yè)系統(tǒng)進行網絡攻擊�����,謀求達成政治訴求或經濟訴求。目前����,我國絕大多數工業(yè)控制系統(tǒng)在沒有防護措施的情況下暴露于互聯網,且含有系統(tǒng)漏洞��,能夠輕易被遠程操控�����,面臨巨大安全風險�����。
本文引用地址: http://www.21ic.com/news/control/201804/758796.htm
95%工業(yè)控制系統(tǒng)含漏洞易受控
記者從國家工業(yè)信息安全發(fā)展研究中心了解到�,目前該中心監(jiān)測到的我國3000余個暴露在互聯網上的工業(yè)控制系統(tǒng),95%以上有漏洞�����,可以輕易被遠程控制�����,約20%的重要工控系統(tǒng)可被遠程入侵并完全接管����。
過去��,我國絕大多數工業(yè)系統(tǒng)是封閉系統(tǒng)�����,也稱單機系統(tǒng),不用考慮聯網情況�,現在隨著工業(yè)“互聯網+”的推進,IT和OT(操作技術)實現互聯�,必然導致一批系統(tǒng)和設施暴露。
“很多系統(tǒng)和設備沒有防護軟件�����,也不能安裝殺毒系統(tǒng)�,一旦上了網就處于‘裸奔’狀態(tài)?!币晃粯I(yè)內人士告訴記者,通信����、能源、水利�、電力等關鍵基礎設施存在安全風險�����,而入侵和控制工控系統(tǒng)也已成為商業(yè)上打壓競爭對手的不法手段�。
在蘇浙就有消費品加工廠被國外競爭廠家入侵網絡�,破壞設備運行,造成生產斷檔����。
從全球發(fā)展趨勢來看,工業(yè)控制系統(tǒng)日益成為黑客攻擊和網絡戰(zhàn)的重點目標�。
近年全球重大工業(yè)信息安全事件頻發(fā):2010年伊朗核設施遭受“震網病毒”攻擊;2016年美國東海岸大面積斷網;2017年“Wanna Cry”勒索病毒肆虐全球……全球工業(yè)網絡安全總體風險持續(xù)攀升,呈現高危態(tài)勢�。
定向攻擊精準性提升迅速。大量工控系統(tǒng)漏洞�����、攻擊方法可以通過互聯網等多種公開����、半公開渠道獲取,許多技術分析報告給出了網絡攻擊步驟��、攻擊代碼甚至攻擊工具等詳細信息��,極易被黑客等不法分子利用。
技術手段復雜化�、專業(yè)化。針對工控系統(tǒng)的攻擊已從原來一個代碼攻擊一兩種漏洞�,進化成一個代碼嵌入數十種底層系統(tǒng)漏洞,絕非一個業(yè)余愛好者能夠實現�。
美國網絡武器庫遭泄埋下重大隱患。維基解密�、影子經紀人等黑客組織公開披露了大批網絡攻擊工具和安全漏洞��,可被用于入侵感染工控系統(tǒng)����,引發(fā)高頻次、大規(guī)模的網絡攻擊�����。
例如震驚全球的“Wanna Cry”勒索病毒就利用了影子經紀人披露的美國國安局“永恒之藍”漏洞進行傳播����。在一次網絡攻擊中,中石油等眾多中國工業(yè)企業(yè)中招����。
意識薄弱�����、技術不足�、人才匱乏加劇風險
目前��,我國在工業(yè)信息安全方面存在安全防護意識薄弱�����、技術水平偏低����、人才匱乏等問題,形勢較為嚴峻����。
多地區(qū)、部門��、工業(yè)企業(yè)對工控系統(tǒng)信息安全重視不夠����,重發(fā)展輕安全,漏洞不重視、修復不及時現象普遍存在�����。
據360補天漏洞響應平臺統(tǒng)計�����,所有工控信息系統(tǒng)漏洞中�,25.6%的漏洞未進行修復,一些行業(yè)漏洞平均修復時間長達數月之久�����。
我國對工業(yè)信息領域安全的認識還處在初級階段�����。2017年5月“Wanna Cry”勒索病毒事件爆發(fā)����,微軟在當年3月就發(fā)布了相應安全漏洞補丁����,但我國很多單位一直沒有打補丁,導致近30萬臺主機和電腦被感染�����。
直到目前,360公司還能監(jiān)測到每天有近千臺電腦感染此勒索病毒�����。
在企業(yè)中����,因私人行為暴露并感染病毒的情況也較為多見,例如個人通過工控設備違規(guī)上網����,或是廠商的維護人員電腦感染后造成設備系統(tǒng)全網感染病毒等。
部分工控系統(tǒng)依賴進口�����,核心產品自主可控度低����。
國家工業(yè)信息安全產業(yè)發(fā)展聯盟發(fā)布的《2017年工業(yè)信息安全態(tài)勢白皮書》顯示,國產數據庫僅占據7%的低端市場�����,數千個工控系統(tǒng)由外國廠商提供運行維護,大量企業(yè)不具備自主維護能力�����,同時缺乏對外國產品和服務的監(jiān)管����。
記者了解到,設備廠商的維保人員對工控系統(tǒng)控制權非常大��,在部分企業(yè)��,工控系統(tǒng)控制室的門禁卡甚至都掌握在外方手中�。
防護技術較為落后,人才匱乏�����,難以與網絡攻擊相抗衡����。國家工業(yè)信息安全發(fā)展研究中心通過安全監(jiān)測發(fā)現��,工業(yè)企業(yè)信息安全應急備災手段不足,約70%的被調查工業(yè)企業(yè)缺少完善應災備災體系�。
公共信息安全人才是自動化和網絡安全人才的復合型人才,缺口巨大��,在高校中沒有工業(yè)控制領域的碩士�、博士培養(yǎng)方向,工業(yè)信息安全從業(yè)人員幾乎都是在實戰(zhàn)中學習�����。
如何擰緊工業(yè)網絡“安全閥”
針對工業(yè)安全領域復雜多變的挑戰(zhàn)�����,須從政策制度�����、技術產品研發(fā)�����、人才培養(yǎng)等方面著力��,進一步開展工業(yè)互聯網安全建設�,構建安全保障體系��。
強化網絡安全漏洞管理�����,降低被攻擊風險��。
360集團董事長兼CEO周鴻祎認為��,應建立漏洞管理全流程監(jiān)督處罰制度�,制定覆蓋網絡安全漏洞的發(fā)現�����、審核��、披露��、通報�����、修復����、追責等全流程管理細則,強制要求漏洞必須及時修復�,對漏洞修復時間以及違規(guī)處罰措施予以明確規(guī)定。
此外�����,應建立監(jiān)督檢查機制和力量�����,及時發(fā)現未及時修復漏洞的行為��,追究相關單位和責任人責任�。
研究制定新一代信息技術在工業(yè)領域應用的安全架構,盡快突破一批工業(yè)信息安全關鍵核心技術�����,重點發(fā)展一批高端產品�,形成具有市場競爭力的產品體系。
我國現有工業(yè)信息安全產業(yè)(包括產品����、技術、服務等)占整個IT行業(yè)的比重不足2%�,遠低于歐美發(fā)達國家近10%的水平�����。只有做強自主可控的工控系統(tǒng)相關行業(yè)��,才能夠在安全問題上有話語權�����。
支持相關教育培訓機構�,開展網絡安全學科聯合建設����,將網絡安全納入職業(yè)技能鑒定體系,培養(yǎng)一支門類齊全�、技術精湛的專業(yè)人才隊伍。
網絡安全的本質在攻防兩端能力的較量�。在我國巨大的網絡安全人才缺口中,90%以上是防御型人才��。
與進攻型�、研究型人才不同,防御型人才可以通過職業(yè)培訓形式大批量培養(yǎng)�����,依靠社會力量開展職業(yè)教育�����,可以在短期內彌補網絡安全人才缺口����。
