聚焦工業(yè)互聯(lián)網(wǎng)安全｜細(xì)看五大風(fēng)險與五大挑戰(zhàn)

一、工業(yè)互聯(lián)網(wǎng)背景

工業(yè)互聯(lián)網(wǎng)是新一代信息技術(shù)與工業(yè)經(jīng)濟深度融合的產(chǎn)物，具有泛在互聯(lián)、全面感知、智能優(yōu)化、安全穩(wěn)固等鮮明特征。近年來，我國工業(yè)互聯(lián)網(wǎng)蓬勃發(fā)展，有力提升了產(chǎn)業(yè)融合創(chuàng)新水平，加快了制造業(yè)數(shù)字化轉(zhuǎn)型步伐，推動了實體經(jīng)濟高質(zhì)量發(fā)展。然而，工業(yè)互聯(lián)網(wǎng)在改變生產(chǎn)方式和產(chǎn)業(yè)生態(tài)的同時，也面臨日益嚴(yán)峻復(fù)雜的網(wǎng)絡(luò)安全威脅和挑戰(zhàn)。

工業(yè)互聯(lián)網(wǎng)通過實現(xiàn)全要素的全面深度互聯(lián)，打通產(chǎn)品設(shè)計、生產(chǎn)、管理、服務(wù)等制造活動各個環(huán)節(jié)的信息流，實現(xiàn)資源動態(tài)調(diào)配，增強工業(yè)安全生產(chǎn)的感知、監(jiān)測、預(yù)警、處置和評估能力，從而加速安全生產(chǎn)從靜態(tài)分析向動態(tài)感知、事后應(yīng)急向事前預(yù)防、單點防控向全局聯(lián)防的轉(zhuǎn)變，提升工業(yè)生產(chǎn)本質(zhì)安全水平。

二、網(wǎng)絡(luò)攻擊已經(jīng)從影響虛擬世界向破壞物理世界轉(zhuǎn)變

工業(yè)互聯(lián)網(wǎng)安全已成為國家安全的重要組成部分，是制造強國與網(wǎng)絡(luò)強國戰(zhàn)略實施的基礎(chǔ)支撐，其重要性日益凸顯。我國現(xiàn)階段主要存在管理機制不健全、安全防護(hù)不到位、安全技術(shù)和產(chǎn)業(yè)支撐能力不足、安全主體意識薄弱等諸多不足。產(chǎn)業(yè)快速發(fā)展，促使提升安全保障能力迫在眉睫。

通用化、軟硬結(jié)合、互聯(lián)互通的技術(shù)變化直接帶來基礎(chǔ)設(shè)施攻擊面增大的后果，通過互聯(lián)網(wǎng)滲透到工業(yè)互聯(lián)網(wǎng)安全已成為一種重要途徑。傳統(tǒng)病毒與工控病毒相互交織，以計算機為跳板的攻擊在未來可能發(fā)展到直接攻擊控制系統(tǒng)上。

工業(yè)互聯(lián)網(wǎng)入侵很可能從利用O Day or 1 Day漏洞的高難度攻擊方式延伸到常規(guī)手段組合式攻擊，甚至繞過工控底層知識的壁壘。

正是由于工控入侵技術(shù)的新特點，導(dǎo)致工控系統(tǒng)安全風(fēng)險加大，工業(yè)互聯(lián)網(wǎng)當(dāng)前正面臨五大風(fēng)險。

三、工業(yè)互聯(lián)網(wǎng)安全面臨的五大風(fēng)險

一是漏洞劇增：國家工信安全中心完成全國工業(yè)控制系統(tǒng)威脅誘捕網(wǎng)絡(luò)部署工程，全年共捕獲來自境外105個國家和地區(qū)對我國實施的掃描探測、信息讀取等惡意行為超過600萬次。

我國工控安全漏洞形勢依舊嚴(yán)峻，近一年時間，CICSVD新收錄工業(yè)信息安全漏洞1500多個，其中通用型漏洞1400多個、事件型漏洞40多個。高危漏洞保持高位，新收錄的漏洞中，高危及以上漏洞共計900多個，其中超危漏洞200多個、高危漏洞700多個，合計占比高達(dá)64.1%，與2018年—2021年基本持平。新收錄的漏洞涉及德國西門子、法國施耐德電氣等220個工控品牌產(chǎn)品，較2020年增長35%。從受影響產(chǎn)品類型來看，共涉及10個大類64個小類，其中工業(yè)軟件、SCADA、組態(tài)軟件排名前3。

二是互聯(lián)互通：工控系統(tǒng)在建設(shè)之初較少考慮信息安全問題。較早建立的工控系統(tǒng)很少有與外網(wǎng)進(jìn)行信息交互的需求，隨著“兩化融合”、“互聯(lián)網(wǎng)+”等概念的推進(jìn)，工控系統(tǒng)與互聯(lián)網(wǎng)的信息交互變得十分必要且頻繁，工業(yè)現(xiàn)場要想繼續(xù)保持物理隔離已經(jīng)不可能，這就把系統(tǒng)中隱藏的風(fēng)險、漏洞暴露出來，同時也會引入新的風(fēng)險。

三是攻擊趨易：當(dāng)網(wǎng)絡(luò)安全專家用“自動化”描述網(wǎng)絡(luò)攻擊時，網(wǎng)絡(luò)攻擊已經(jīng)開始了一個新的令人恐懼的“里程碑”，就像工業(yè)自動化帶來效率飛速發(fā)展一樣，網(wǎng)絡(luò)攻擊的自動化促使了網(wǎng)絡(luò)攻擊速度的大大提高。成為一名攻擊者越來越容易，需要掌握的技術(shù)越來越少，網(wǎng)絡(luò)上隨手可得的攻擊實例視頻和黑客工具，使得任何人都可以輕松地發(fā)動攻擊。

四是防護(hù)意識不強：工業(yè)生產(chǎn)系統(tǒng)的管理者和操作人員工業(yè)互聯(lián)網(wǎng)安全防護(hù)意識不強；缺乏工業(yè)互聯(lián)網(wǎng)安全專業(yè)化系統(tǒng)培訓(xùn)，導(dǎo)致工作人員長期缺乏信息安全主動性，且難以對企業(yè)工業(yè)生產(chǎn)系統(tǒng)中存在的潛在風(fēng)險進(jìn)行排查和整改等。

五是應(yīng)急響應(yīng)機制不完善：部分工業(yè)企業(yè)雖擁有生產(chǎn)連續(xù)性的應(yīng)對措施，但未建立工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)機制，普遍缺少有針對性的專項預(yù)案；建立的應(yīng)急預(yù)案不完善，難以應(yīng)對日益復(fù)雜的信息安全威脅；缺少專業(yè)應(yīng)急救援隊伍，未組織開展對應(yīng)急預(yù)案的定期演練和修訂工作。

四、工業(yè)互聯(lián)網(wǎng)安全面臨的五大挑戰(zhàn)

一是安全失衡：即重發(fā)展、輕網(wǎng)絡(luò)，重業(yè)務(wù)系統(tǒng)、輕信息安全。縱觀國內(nèi)安全市場，整個網(wǎng)絡(luò)安全投入占IT投入不足2%，而工業(yè)控制系統(tǒng)信息安全投入又不足IT安全投入的20%，再加上各工業(yè)企業(yè)在年度預(yù)算執(zhí)行中，工業(yè)控制系統(tǒng)信息安全預(yù)算又少之又少。所以，從安全投入可以看出，不足量的投入難以保證全量的防護(hù)。

二是態(tài)勢失察：即資產(chǎn)底數(shù)不清、安全態(tài)勢不明、風(fēng)險預(yù)警缺乏。工業(yè)控制系統(tǒng)一般運行15-20年，一條生產(chǎn)線或車間通常由多個設(shè)備廠商、集成商負(fù)責(zé)建設(shè)，且基本依靠第三方維護(hù)，資產(chǎn)清單（硬件、軟件、網(wǎng)絡(luò)拓?fù)洹⑴渲玫龋┓植加诓煌膹S商、人員，沒有完整的資產(chǎn)清單。在系統(tǒng)進(jìn)行設(shè)備、網(wǎng)絡(luò)連接、配置發(fā)生改變時，往往不進(jìn)行更新，與現(xiàn)存的臺賬（竣工移交的資料）往往存在很大的區(qū)別，這是目前企業(yè)最為“頭疼”的病。

三是聯(lián)網(wǎng)混亂：為了生產(chǎn)上的便利，工業(yè)生產(chǎn)環(huán)境中越來越多的智能傳感器、設(shè)備、機器、應(yīng)用系統(tǒng)與網(wǎng)絡(luò)進(jìn)行連接，逐漸與辦公網(wǎng)、互聯(lián)網(wǎng)第三方網(wǎng)絡(luò)進(jìn)行連接。再加上企業(yè)在日常維護(hù)過程中，經(jīng)常把個人筆記本、手機等設(shè)備違規(guī)接入生產(chǎn)網(wǎng)絡(luò)，甚至非法外聯(lián)（手機熱點連接互聯(lián)網(wǎng)），使得網(wǎng)絡(luò)邊界越來越模糊，而又缺少必要的安全防護(hù)措施或者安全防護(hù)措施難以實施。

四是防護(hù)失效：由于工控系統(tǒng)的特殊性，導(dǎo)致大量現(xiàn)有的信息安全措施無法直接應(yīng)用于工控安全防護(hù)的工作中；另外就是工業(yè)主機的操作系統(tǒng)版本老舊，大多數(shù)是windows XP及以下版本，這些操作系統(tǒng)的漏洞多，而且存在補丁不易更新、不敢更新、不想更新現(xiàn)象，另一方面微軟早已不提供補丁更新技術(shù) 。

五是力量失衡：由于我國工業(yè)互聯(lián)網(wǎng)安全研究力量分散，仍無專注于工控安全領(lǐng)域的權(quán)威先進(jìn)的技術(shù)研究與支撐機構(gòu)，工控安全保障技術(shù)體系還不完善，以至于目前對工控安全的態(tài)勢感知、有效防控、應(yīng)急恢復(fù)、預(yù)測分析技術(shù)的保障能力還處于初級水平。

五、如何促進(jìn)工業(yè)互聯(lián)網(wǎng)安全發(fā)展

對于上述五大風(fēng)險和挑戰(zhàn)，可通過以下措施來提升工業(yè)互聯(lián)網(wǎng)的安全防護(hù)和保障能力。

1. 安全解決思路以《網(wǎng)絡(luò)安全法》、《關(guān)基信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)為背景，基于《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》以及《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》為設(shè)計標(biāo)準(zhǔn)，通過建設(shè)安全技術(shù)體系和安全管理體系，構(gòu)建一個可信、可控、可管的安全動態(tài)防御體系。

2. 在工業(yè)大數(shù)據(jù)安全技術(shù)與應(yīng)用實踐過程中，以商用密碼構(gòu)建基礎(chǔ)安全，才能實現(xiàn)工業(yè)大數(shù)據(jù)的采集、傳輸、存儲、分享、應(yīng)用及安全保障，不斷支撐起整個工業(yè)數(shù)據(jù)的全生命周期安全流程。

3. 推進(jìn)工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系建設(shè)，加強對工業(yè)生產(chǎn)系統(tǒng)安全防護(hù)工作的組織領(lǐng)導(dǎo)和宏觀規(guī)劃，深入研究設(shè)計工業(yè)生產(chǎn)系統(tǒng)防護(hù)體系框架結(jié)構(gòu)，制定工業(yè)生產(chǎn)系統(tǒng)的安全防護(hù)策略。

4. 建立工業(yè)互聯(lián)網(wǎng)安全防護(hù)預(yù)警及響應(yīng)機制，建立統(tǒng)分結(jié)合、協(xié)調(diào)高效的預(yù)警及響應(yīng)機制，加大工業(yè)生產(chǎn)系統(tǒng)安全應(yīng)急演練，檢驗重要控制系統(tǒng)在遭遇大規(guī)模網(wǎng)絡(luò)攻擊時的應(yīng)對能力。

5. 以安全運營平臺為抓手，建設(shè)集工業(yè)資產(chǎn)管理、安全感知、風(fēng)險態(tài)勢、安全評估、應(yīng)急處置、應(yīng)急指揮、通報預(yù)警、安全培訓(xùn)等能力為一體的實戰(zhàn)化運營體系，落實安全運營，保障工業(yè)生產(chǎn)網(wǎng)絡(luò)安全穩(wěn)定運行。

安盟信息作為領(lǐng)先的新一代邊界安全、工業(yè)互聯(lián)網(wǎng)安全和商用密碼應(yīng)用解決方案供應(yīng)商，將不斷優(yōu)化產(chǎn)品性能、豐富產(chǎn)品系列、提升解決方案能力，實現(xiàn)安全與業(yè)務(wù)深度融合，筑牢工控安全底座，加速構(gòu)建自主可控的工業(yè)安全生態(tài)體系，賦能數(shù)字經(jīng)濟發(fā)展，助力建設(shè)數(shù)字強國！