FACEBOOK巨人倒下,给日趋严峻的工业安全哪些思考?

FACEBOOK巨人倒下,给日趋严峻的工业安全哪些思考?

今年3月,全球最受瞩目的科技新闻,就是拥有20亿用户的Facebook史上最大个人数据外泄:5000多万美国脸书用户信息被一家叫做“剑桥分析”的公司掌握,用于帮助特朗普在2016年赢得大选。在被爆出用户的个人数据被滥用事件之后,Facebook的股价下跌了4.75%,一直处于负面舆论旋涡中。

随着“工业4.0”时代的来临和“两化融合”脚步的加快,工业控制系统研发设计、生产装备、流程管理、物流配送、能源管理,正在从数字化、网络化迈向智能化。然而,越来越多的网络安全隐患也被带入了工业控制系统。Facebook巨人的倒下又给工业企业带来信息安全方面的哪些思考呢?

一、工业4.0不能忽略安全

随着计算机技术、通信技术和控制技术的发展,传统的控制领域正经历着一场前所未有的变革,开始向网络化方向发展。但随之而来的是一系列安全问题:

▶ 2015年,乌克兰电力公司的网络系统遭到黑客攻击,导致大规模的停电,成千上万的家庭在黑暗中度过;

▶ 2014年,黑客集团Dragonfly 制造“超级电厂”病毒,能够阻断电力供应或破坏、劫持工业控制设备,全球上千座发电站遭到攻击;

▶ 2012年,发现攻击多个中东国家的恶意程序Flame 火焰病毒,它能收集各行业的敏感信息;

▶ 2011年,微软警告称最新发现的“Duqu”病毒可从工业控制系统制造商收集情报数据;

▶ 2010年,“震网”蠕虫通过外围设备U 盘,侵入控制网络,更改PLC 中的程序和数据,对伊朗的核设施造成了严重的破坏;

▶ 2008年,攻击者入侵波兰某城市地铁系统,通过电视遥控器改变轨道扳道器,致四节车厢脱轨;

▶ 2007年,攻击者入侵加拿大一个水利SCADA 控制系统,破坏了取水调度的控制计算机;

美国工业控制系统应急产品中心的一组统计数据显示:从2012年到2015年,安全事件从197个增长到295个,且每年都有一个著名事件。其中2015年底的乌克兰事件中,受影响达140万人,影响力最大。在这295个事件中,有97个事件都与工业4.0及智能制造相关。2015年披露的数据显示,全部安全事件的1/3涉及关键制造领域,该比例在2014年仅为27%。一系列事件充分说明,工业信息系统一旦遭受攻击,可对现实世界造成直接的、实质性的危害,甚至威胁国家安全和经济社会稳定。因此,我们在推动工业4.0的同时,千万不能忽略安全问题。

二、我国工业信息安全面临的问题

据国家工业信息安全发展研究中心不完全统计,截至2017年上半年,全球超9万个工控系统暴露在互联网上,广泛应用于工业制造、能源、市政等重要领域。我国境内可被识别的联网工控系统及设备数量近3000个,境外近40个国家对我国工控系统发起网络探测与攻击,总计高达6万余次。

工业控制系统是工业自动化生产线的控制软件,负责“告诉”工业设备“硬件”何时动、怎么动。也就是说,工业控制系统相当于“智慧工厂”的大脑,一旦像个人电脑一样感染网络病毒,“智慧工厂”很可能就会失去控制。

目前,我国工业信息安全面临的问题如下:

1. 关键核心技术受制于人,国产化系统比例低

目前,在工业控制系统信息安全领域出现了一批新兴的信息安全生产和服务供应商,建立了工业控制系统信息安全服务体系,实现了较快的发展。但我国工业信息安全相关关键产品和核心技术依赖于人的现象十分普遍,工业信息安全产品和服务未成体系,专用产品和专业服务匮乏。此外,一些国外厂商如西门子、GE等也开始进入我国工业控制系统信息安全市场,对国产化系统造成了一定的冲击。

2. 企业主意识淡薄,重发展、轻安全的现象依然存在

目前,尽管“网络安全”意识已渗入中国人的日常生活,但一些中小企业觉得做工业控制的防火墙是“花冤枉钱”,工业控制系统却还处在“裸奔”的时代。

3. 工控安全解决方案有局限,与用户的真实需求不契合

市场上现有的方案大多以防病毒、安全漏洞为主,但是用户更关心如何避免人为操作带来的损失,如改写数据、程序、组态带来的事故(误操作),内部员工导致的数据、资料泄露,系统互连导致的协议冲突。但是事实上除了一些重大项目考虑这些问题外,基本上大量的中小项目没有对于这些问题给予重视。

三、我国多举措应对安全挑战

美国、欧盟、日本、新加坡、韩国,包括印度都在工控安全的各个层面出台了相应的政策和标准。我国近几年在这方面的脚步也有所加快:

一是加强政策引导,建立基本政策体系。

近年来,为贯彻落实《中华人民共和国网络安全法》、《中国制造2025》、《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)等文件,工业和信息化部围绕风险发现、检查评估、应急处置等工业信息安全管理的重点领域和重要环节,出台了一系列政策文件,初步构建了工业信息安全政策体系。其中,2011年出台的《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)是工业信息安全领域的首部专门政策,该文件明确了重点领域工业控制系统信息安全管理要求,提出要建立测评检查和漏洞发布制度。2016年10月发布的《工业控制系统信息安全防护指南》,则从管理、技术两方面提出了安全软件选择与管理、配置和补丁管理、边界安全防护等11项工控安全防护要求,为工控安全防护工作提供了基本依据。2017年6月出台的《工业控制系统信息安全事件应急管理工作指南》,对工控安全风险监测、信息报送与通报、应急处置、敏感时期应急管理等工作提出了具体管理要求,明确了责任分工、工作流程和保障措施,为工控安全事件应急管理与处置工作提供了依据与方法。2017年12月出台的《工业控制系统信息安全行动计划(2018-2020年)》突出了落实企业主体责任,从提升工业企业工控安全防护能力,促进工业信息安全产业发展,加快工控安全保障体系建设出发,进一步明确了部门、地方和企业做什么和怎么做,部署了五大能力提升行动,为下一步开展工控安全工作提供了依据和指导。此外,工业和信息化部还组织国家工业信息安全发展研究中心等机构研究编制《工业控制系统信息安全防护能力评估工作管理办法》、《关于促进工业信息安全产业发展的指导意见》等文件,不断完善工业信息安全政策体系。

二是组建国家队伍,提供专业人才支撑。

工控安全技术团队是工控安全服务保障工作的基础,按照《国务院关于深化制造业与互联网融合发展的指导意见》文件要求,工业和信息化部依托部属单位电子一所重组建设了“国家工业信息安全发展研究中心”,使其作为支撑我国工业领域信息安全的国家级研究与推进机构,主要负责开展工业信息安全及相关领域的战略研究、技术研发、监测预警、检查评估、应急处置和产业推进等工作,提升工业领域信息安全能力,维护工业领域信息安全。国家工业信息安全发展研究中心建设以“小核心,大外围”为原则,充分利用现有工控安全技术能力,积极引导高校、科研机构、社会组织、企业等社会各界力量广泛参与,为打造工控安全人才队伍奠定坚实基础。

三是成立产业联盟,促进跨界资源整合。

2017年6月8日,在工业和信息化部的指导下,国家工业信息安全发展研究中心牵头成立了国家工业信息安全产业发展联盟,广泛吸纳工业企业、高等院校、科研院所、工业控制系统生产企业及安全服务商等,致力于构建科学的工业信息安全产业推进体系。联盟首批会员单位超过百家,涵盖了工业领域的领军企业,工业控制系统和信息安全领域的“佼佼者”,以及科研实力雄厚的研究院所和高等院校,有效整合了各界资源,目标是逐步带动形成工业信息安全的“产、学、研、用”生态。

四是发展技术手段,构建技术支撑平台。

技术支撑平台是工控安全技术研究和安全服务的重要基础设施。工业和信息化部十分重视工业信息安全技术能力建设工作,2016年就认定了3家工业信息安全领域的实验室作为工业和信息化部重点实验室,分别为工业信息安全感知与评估技术实验室、工业互联网安全技术试验与测评实验室以及工业控制系统安全标准与测评实验室,涵盖了工业信息安全态势感知技术、工业互联网安全技术、工业控制系统安全标准测评等研究方向,为工业信息安全相关技术研发与测试提供良好的科研环境。此外,在工业和信息化部的指导支持下,国家工业信息安全发展研究中心组建了国家工业控制系统与产品安全质量监督检验中心,建设了重要工业控制系统在线安全监测平台、互联网工控威胁诱捕分析系统、国家工业控制系统安全信息共享平台,为质检评估、监测预警、信息通报、应急响应等重要工业信息安全工作提供有力技术支撑。

自《中国制造2025》发布以来,我国工业一直朝着实现“工业4.0”的发展方向前进。众所周知,“工业4.0”的核心是智能制造,而工业控制系统联网是工业化和信息化融合大背景下推动智能制造的重要基础。作为一个全新跨界领域,工控网络安全需要企业共同建设,解决工控设备自身安全问题,为工控安全实现本质保障。

编辑于 2018-04-08