今日頭條
官方微信
官方抖音
資訊頻道近日,工業(yè)和信息化部聯(lián)合教育部、人力資源社會保障部、生態(tài)環(huán)境部、衛(wèi)生健康委員會、應急管理部、國有資產監(jiān)督管理委員會、國家市場監(jiān)管總局、國家能源局、國防科技工業(yè)局等十部委共同印發(fā)了《加強工業(yè)互聯(lián)網安全工作的指導意見》(以下簡稱《安全指導意見》),引起了行業(yè)人士的高度關注和熱議。首先,十部門聯(lián)合重磅發(fā)文體現了國家對工業(yè)互聯(lián)網安全的重視程度之高、力度之大,工業(yè)互聯(lián)網安全已經上升到國家戰(zhàn)略層面。其次,該文件內容具體而詳實,可以作為工業(yè)互聯(lián)網安全產業(yè)發(fā)展的指導綱領。《安全指導意見》為我國工業(yè)互聯(lián)網安全設定了非常具體的總體目標,圍繞設備、控制、網絡、平臺、數據安全,落實企業(yè)主體責任、政府監(jiān)管責任,健全制度機制、建設技術手段、促進產業(yè)發(fā)展、強化人才培育,提出了十七項明確的工作任務和四項保障措施。《安全指導意見》的逐步落實,必將全面提升我國工業(yè)互聯(lián)網創(chuàng)新發(fā)展的安全保障能力和服務水平,促進工業(yè)互聯(lián)網高質量發(fā)展,推動現代化經濟體系建設。
作為工業(yè)互聯(lián)網安全產業(yè)的從業(yè)者,本文以網絡安全企業(yè)的視角,從產品技術的維度,談一談本人的幾點思考,供大家參考和批評指正。
首先,工業(yè)互聯(lián)網安全保障體系建設,安全能力是基礎。
工業(yè)互聯(lián)網是新一代信息技術與制造業(yè)深度融合的產物,是第四次工業(yè)革命的關鍵支撐,其本身的技術復雜度、面臨的潛在安全威脅、安全事件造成的嚴重危害都對從事工業(yè)互聯(lián)網安全工作的單位和企業(yè)提出了非常高的安全能力要求。《安全指導意見》高度重視安全能力建設,要求夯實工業(yè)設備和控制安全、提升網絡設施安全、強化平臺和工業(yè)應用安全、強化企業(yè)數據安全防護能力、建設工業(yè)互聯(lián)網安全技術保障平臺、建設工業(yè)互聯(lián)網安全基礎資源庫、建設工業(yè)互聯(lián)網安全測試驗證環(huán)境、加強工業(yè)互聯(lián)網安全公共服務能力、推動工業(yè)互聯(lián)網安全科技創(chuàng)新與產業(yè)發(fā)展。這些要求體現在安全能力上包括但不限于:工業(yè)資產探查能力、工業(yè)設備漏洞挖掘與檢測能力、工業(yè)控制協(xié)議深度解析能力、攻擊發(fā)現和阻斷能力、高級持續(xù)威脅(APT)發(fā)現和追蹤溯源能力、網絡安全攻防對抗能力、源代碼安全檢測能力、工業(yè)云平臺防護能力、工業(yè)大數據安全防護能力、安全態(tài)勢感知平臺建設能力、大數據建模和分析處理能力、功能安全與信息安全融合能力等等。工業(yè)互聯(lián)網是安全保障的目標和對象,安全保障體系建設本質上是安全能力的建設,全面、系統(tǒng)、有效的安全能力是安全保障體系建設的基礎。因此,要建設好工業(yè)互聯(lián)網安全保障體系,必須加大研發(fā)投入,加強技術創(chuàng)新,提升安全能力,并使安全能力與工業(yè)互聯(lián)網業(yè)務場景充分融合,使工業(yè)互聯(lián)網具備自適應、自主和自生長的“內生安全”能力。在這點上,我們作為工業(yè)互聯(lián)網安全企業(yè)責無旁貸。
其次,工業(yè)互聯(lián)網設備和控制安全防護,工業(yè)主機是重點。
《安全指導意見》的第6項主要任務要求夯實設備和控制安全。“督促工業(yè)企業(yè)部署針對性防護措施,加強工業(yè)生產、主機、智能終端等設備安全接入和防護,強化控制網絡協(xié)議、裝置裝備、工業(yè)軟件等安全保障,推動設備制造商、自動化集成商與安全企業(yè)加強合作,提升設備和控制系統(tǒng)的本質安全”。我們通過對大量工業(yè)企業(yè)的安全應急響應服務發(fā)現,目前對工業(yè)設備和工控系統(tǒng)威脅最大的是專門針對工業(yè)主機(指工業(yè)控制系統(tǒng)上位機,如操作員站、工程師站、歷史數據庫、實時數據庫、MES服務器、HMI等等)的勒索病毒和網絡攻擊。工業(yè)主機往往運行常見的操作系統(tǒng),攻擊者很容易獲得并進行研究。同時,由于工控系統(tǒng)生命周期較長,現存的工業(yè)主機大多是Windows7、Windows2000、WindowsXP等老舊的操作系統(tǒng),版本升級困難,甚至無法更新,存在大量已知漏洞,很容易成為病毒和網絡攻擊的直接目標、攻擊入口和關鍵跳板。工業(yè)主機是連接信息化系統(tǒng)和工業(yè)控制設備的“大門”,對工業(yè)主機的攻擊可以直接影響工控系統(tǒng)的運行狀況,甚至能夠篡改控制器的操作指令,使信息安全事件轉化為影響安全生產的功能安全事件,給工業(yè)企業(yè)甚至國計民生造成無法挽回的損失。我們研究發(fā)現針對主機的攻擊方式有:通過網絡攻擊取得工業(yè)主機管理權限,加密關鍵文件,進行勒索;通過U盤對工業(yè)主機注入病毒篡改控制器上報數據,掩蓋控制數據異常;通過魚叉攻擊實現多臺工業(yè)主機提權,篡改下發(fā)控制指令;通過感染雙網卡工業(yè)主機跨區(qū)傳播計算機病毒;通過被控制的工業(yè)主機向控制器下發(fā)網絡風暴數據,造成控制器運行周期異常甚至死機等。因此,工業(yè)主機是工業(yè)互聯(lián)網設備和控制安全防護的重點,也是應該最先進行安全投資并且投資收益率最大的方向。
再次,工業(yè)互聯(lián)網大數據安全防護,內生安全是核心。
《安全指導意見》特別把“強化工業(yè)互聯(lián)網數據安全保護能力”單獨列出,作為主要任務之一,充分說明了數據安全在工業(yè)互聯(lián)網安全中的重要地位。數字孿生、工業(yè)大數據是工業(yè)互聯(lián)網的重要應用創(chuàng)新,也是制造業(yè)和互聯(lián)網深度技術融合的產物,承載著工業(yè)企業(yè)的核心知識產權。毫不夸張地說,隨著工業(yè)互聯(lián)網應用的發(fā)展,我們所做的一切安全防護措施,根本目的都是為了保護工業(yè)互聯(lián)網企業(yè)的核心資產——工業(yè)大數據。工業(yè)大數據的安全防護是一個復雜的、體系化的系統(tǒng)工程。同時,工業(yè)大數據業(yè)務應用大多構架在云平臺、大數據平臺、微服務架構等新興IT技術基礎之上,這使得業(yè)務應用與基礎設施、運維與開發(fā)、業(yè)務與安全天然地高度耦合,所以工業(yè)大數據安全防護體系需要特別重視其“內生安全”問題,要做到“內生安全”,安全特性必須能夠無縫嵌入工業(yè)大數據的軟件技術架構,需要具備自適應安全特性的大數據安全架構。安全自適應具有充分的系統(tǒng)自診斷功能,在遇到安全風險和系統(tǒng)異常時可以及時發(fā)現進行告警,同時具備自動化的策略調整和安全修復功能,使得工業(yè)大數據系統(tǒng)具備充分的“彈性”,可以關閉部分服務保證關鍵業(yè)務的執(zhí)行。工業(yè)大數據的安全防護體系應當是一個運營體系,通過持續(xù)的安全運營,不斷提升優(yōu)化安全策略、提升安全防護能力,實現安全防護能力的自生長。
同時,工業(yè)互聯(lián)網安全技術保障平臺建設,協(xié)同聯(lián)動是關鍵。
《安全指導意見》第11項主要任務,要求建設國家、省、企業(yè)三級協(xié)同的工業(yè)互聯(lián)網安全技術保障平臺,特別強調強化地方、企業(yè)與國家平臺之間的系統(tǒng)對接、數據共享、業(yè)務協(xié)作,打造整體態(tài)勢感知、信息共享和應急協(xié)同能力。我司近年來承擔了工信部部分重要平臺建設專項工作,對此深有體會。近兩年,地方政府相關主管部門和部分工業(yè)企業(yè)陸續(xù)開始建設工業(yè)互聯(lián)網安全技術保障平臺,取得了很好的應用效果。但在應用過程中也暴露出一些問題。這類平臺最大的特點是可以對安全風險進行集中監(jiān)測,進而實現響應處置甚至態(tài)勢預判和追蹤溯源。從集中監(jiān)測角度,沒有互聯(lián)互通的孤立平臺無法做到有效的集中監(jiān)測和信息共享。例如,政府主管部門的平臺目前缺乏與工業(yè)企業(yè)平臺的互聯(lián)互通,缺乏對工業(yè)企業(yè)內部工控網絡安全狀況的實時感知和監(jiān)測。又比如目前還未有效整合行業(yè)的安全大數據,形成行業(yè)平臺對行業(yè)整體安全態(tài)勢的監(jiān)測和感知。從應急處置角度,目前還存在三方面的協(xié)同問題:政府部門與工業(yè)企業(yè)的協(xié)同聯(lián)動、工業(yè)企業(yè)與網絡安全企業(yè)的協(xié)同聯(lián)動、工業(yè)企業(yè)與工業(yè)互聯(lián)網廠商的協(xié)同聯(lián)動。只有工業(yè)互聯(lián)網安全的這四個關鍵角色建立規(guī)范化的應急處置工作機制,制定聯(lián)合處置預案,定期舉行有效的應急處置演練,才能在遭受網絡攻擊時做好應急響應處置工作。
最后,工業(yè)互聯(lián)網安全產業(yè)發(fā)展,人才培養(yǎng)是保障。
《安全指導意見》第四條保障措施指出,“加強宣傳教育,加快人才培養(yǎng)。深入推進產教融合、校企合作,建立安全人才聯(lián)合培養(yǎng)機制,培養(yǎng)復合型、創(chuàng)新型高技能人才。開展網絡安全演練、安全競賽等,培養(yǎng)選拔不同層次的工業(yè)互聯(lián)網安全從業(yè)人員。”我們在主辦2017年互聯(lián)網安全大會時就提出“人是安全的尺度”。網絡安全本質是人與人的對抗,大量的安全事件是由于人的因素造成的,問題的解決最終也離不開人的參與。工業(yè)互聯(lián)網安全保障體系的建設離不開大量的專業(yè)網絡安全人員,工業(yè)互聯(lián)網安全產業(yè)的發(fā)展更離不開高水平、高素質的網絡安全從業(yè)人員。高校是人才培養(yǎng)的源頭,產教融合、校企合作相關落地政策的推出,一定會激勵網絡安全企業(yè)在人才培養(yǎng)方面有更大的投入,把高校的通識教育和企業(yè)的網絡安全實戰(zhàn)經驗結合起來,共同培養(yǎng)實戰(zhàn)能力更強的多層次網絡安全人才。
大力發(fā)展工業(yè)互聯(lián)網是我國的一項重要國策,近年來工信部出臺了一系列相關政策和具體行動推動工業(yè)互聯(lián)網產業(yè)的發(fā)展,網絡、平臺、安全是工業(yè)互聯(lián)網的三大體系。在網絡建設方面,IPV6和5G應用于工業(yè)領域,已經看到可落地的技術支撐與建設運營計劃;在平臺建設方面,也涌現出幾十家具備雛形的工業(yè)互聯(lián)網平臺,并且在努力驗證應用效果,提升應用價值。但是,客觀地說,工業(yè)互聯(lián)網的安全是進展較慢的一個環(huán)節(jié),工業(yè)互聯(lián)網安全體系一直處于摸索探討階段,工業(yè)互聯(lián)網安全市場也尚未看到爆發(fā)的跡象。《安全指導意見》的及時出臺,可以說是一場“及時雨”,給工業(yè)互聯(lián)網安全產業(yè)打了一劑“強心針”,相信隨著相關具體措施的逐步落地,一定會激發(fā)工業(yè)互聯(lián)網安全產業(yè)的快速發(fā)展,必將大大提升我國工業(yè)互聯(lián)網的安全防護水平,為工業(yè)互聯(lián)網的高速穩(wěn)定發(fā)展保駕護航。
來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號