今日頭條
官方微信
官方抖音
資訊頻道摘要:工業信息安全已成為國家安全的重要組成,是制造強國與網絡強國戰略實施的基礎支撐,其重要性日益凸顯。當前,制造強國的大勢刮來了兩化融合的風潮,在工業制造業奔騰發展的道路上,工業信息安全形勢日趨嚴峻,安全風險持續攀升,安全事件層出不窮,亟需引起高度重視。我國工業信息安全現階段主要存在管理機制不健全、安全防護不到位、安全技術和產業支撐能力不足、安全主體意識薄弱等諸多問題,加快提升工業信息安全保障能力迫在眉睫。
工業信息安全指工業運行過程中的信息安全,涉及工業領域各個環節,包括工業控制系統信息安全(以下簡稱工控安全)、工業互聯網安全、工業大數據安全、工業云安全、工業電子商務安全等。
與傳統網絡安全相比,工業信息安全需適應工業環境下系統和設備的實時性、高可靠性需求以及工業協議眾多等行業特征,防護難度更大。
當前,新一代信息技術在加速信息化與工業化深度融合(以下簡稱兩化融合)發展的同時,也帶來了日趨嚴峻的工業信息安全問題。
1 全球工業信息安全形勢
1.1 兩化融合深度發展,工業信息安全重要性凸顯
時代引領發展的潮流,信息化不斷深入生產生活,數字化一次次給世界帶來巨變。在信息化發展的浪潮中,工業企業如逆水行舟,不進則退。全球各國各地區工業企業在奔騰的數字化浪潮中只有通過信息化變革,創新綠色供應鏈,改善企業內部的生存環境,在戰略上實現訂單驅動型向創新驅動型的轉變,才能不斷發展壯大 [1,2]。
以我國為例,自 2007 年 10 月起, 黨的十七大報告正式將信息化列入“五化”, 提出兩化融合概念后,我國的新型工業化轉型道路一直在摸索中前進。
2017 年,黨的十九大提出“推動互聯網、大數據、人工智能和實體經濟深度融合”,標志著兩化融合進入了新階段。習近平總書記在十九屆中央政治局第二次集體學習時強調,要“繼續做好信息化和工業化深度融合這篇大文章”“要深入實施工業互聯網創新發展戰略”,這為新時代新階段兩化深度融合創新發展指明了方向。
“中國制造2025”“互聯網 +”等戰略機遇,促進了以新一代信息技術與實體經濟融合的發展,基于互聯網的新技術、新模式和新業態取得了空前的進步 [3]。
截至 2019 年 3 月,全國參加兩化融合貫標評定企業已達 13 萬家,其中 4400 余家企業通過評定,貫標咨詢服務機構數量過千家。截至 2019 年 1 月 31 日,全國已有 13 萬家企業開展自評估、自診斷、自對標,通過實施兩化融合管理標準體系提升了市場競爭力。
與此同時,一批又一批先進而出色的企業、基地相繼涌現, 如“互聯網 + 工業”的山東即墨模式,成功探索出了一條區域產業轉型升級之路,實現了質量效益“雙提升”。
安全是發展的前提,發展是安全的保障,安全和發展勢必要同步推進。
隨著兩化融合這條道路不斷拓寬,企業發展機遇前所未有,相伴而生的工業信息安全問題也成為焦點,工業信息安全重要性愈加凸顯。工業是國民經濟主體,是實現發展升級的“國之重器”,是推進供給側結構性改革的主戰場。
工業信息化、自動化、網絡化、智能化等基礎設施是工業的核心組成部分,是工業各行業、企業的神經中樞。工業信息安全的核心任務就是要確保這些工業神經中樞的安全,沒有工業信息安全,兩化融合的推進則是空中樓閣。工業信息安全事關經濟發展、社會穩定和國家安全,是網絡安全的重要組成,工業信息安全防護已成為推進各國網絡強國和制造強國戰略實施的重要抓手 [4]。
1.2 工業信息安全事件頻發,安全形勢愈發嚴峻
隨著網絡信息技術的迅猛發展和廣泛應用,工業互聯持續深入趨勢愈發明顯,病毒、木馬等傳統網絡威脅持續向工業控制系統(以下簡稱工控系統)蔓延,勒索攻擊等新型攻擊模式不斷涌現,安全事件頻發,整體安全形勢嚴峻[5]。
自 2010 年“震網”事件爆發以來,全球工業信息安全事件屢屢發生,極大地沖擊了當事國的經濟、社會乃至國家安全。
2010 年 9 月,伊朗全境 3 萬余個網絡終端感染“震網”病毒, 攻擊目標直指核設施;
2012 年 4 月,伊朗石油部和國家石油公司內部電腦遭受網絡病毒攻擊, 部分用戶數據遭竊取;
2015 年 6 月,波蘭航空公司地面操作系統遭遇黑客襲擊,致使系統癱瘓長達 5 小時,至少 10 個班次的航班被取消,1400 多名乘客滯留機場;
同年 12 月,烏克蘭電力部門至少三個電力區域遭受惡意代碼攻擊, 造成數小時的停電事故;
2016 年 2 月,日本關鍵基礎設施遭遇代號“沙塵暴”的黑客攻擊活動, 電力、石油、天然氣、交通運輸等諸多組織機構的網絡被攻陷;
2017 年 6 月,烏克蘭境內發現大規模“Petwrap”勒索病毒感染事件,并迅速在全球范圍內擴散,涉及電力、軌道交通、石油、金融、電信等多個領域;
同年 10 月,新型勒索軟件“Bad Rabbit”襲擊東歐諸國,基輔地鐵、敖德薩機場等交通系統及政府機構遭網絡攻擊;
2017 年 12 月,火眼公司披露最新一款專門針對工控系統的惡意軟件 Triton,中東某能源工廠的安全儀表系統遭攻擊,并導致工業生產線停運;
2018 年 6 月,三一重工泵車失蹤案宣判,犯罪分子通過源代碼找到遠程監控系統的漏洞,得以解鎖設備,間接造成企業約 10 億元的經濟損失;
同年 8 月,臺灣地區積體電路制造三大廠區出現電腦大規模勒索病毒事件,約造成 17.6億元的營收損失,股票市值下跌 78 億元。
當前,全球工業信息安全形勢十分嚴峻, 主要表現在以下三個方面:
一是漏洞數量逐年增長,中高危漏洞居高不下,漏洞修復進度遲緩,漏洞利用技術門檻不斷降低。
通過分析美國工業控制系統網絡應急響應小組(ICS-CERT)披露的報告可知,自 2010 年始,工控安全漏洞數量逐年增長,中高危漏洞占比居高不下,工控系統相關應用系統和軟件的安全性能不足,許可、權限和訪問控制以及憑據管理等安全漏洞問題依舊凸顯 [6][7]。
僅2018 年,國家工業信息安全發展研究中心(以下簡稱“國家工信安全中心”) 收集研判工業控制、智能設備、物聯網等領域的漏洞就高達四百余個,其中高危漏洞占比一半以上,嚴重威脅裝備制造、交通、能源、智能樓宇等重要領域。
據 2018 年卡巴斯基及 ICS- CERT 發布報告稱,供應商對漏洞修復重視程度不足,工業企業及時更新和安裝補丁積極性不高,導致漏洞處置進度遲緩,漏洞修復率只有40% 左右。
此外,大量工控系統安全漏洞利用方式、攻擊方法可通過互聯網等多種公開渠道擴散,極易被黑客等不法分子獲取利用,進一步降低了針對工控系統的網絡攻擊技術門檻。
二是針對工業企業的定向攻擊行為增多、攻擊手段愈發新型多樣,制造、建筑、交通運輸及工程行業成重點風險領域。
近年來,工業領域遭受大量高級可持續性威脅(APT)、網絡釣魚、分布式拒絕服務(DDoS)等定向攻擊,攻擊手段花樣翻新、技術多變,針對性強。近兩年尤為典型:
“WannaCry”勒索病毒致使某國際知名汽車企業停產、僵尸絡“IoT_reaper”大范圍感染物聯網設備、專門攻擊電力工控系統的惡意軟件“Industroyer”浮出水面、臺積電遭大規模勒索、全球最大鋁生產商 Norsk Hydro 遭 LockerGoga 勒索軟件攻擊等充分表明,勒索攻擊、僵尸網絡攻擊、定向攻擊等新型攻擊手段愈發成熟,一旦發生安全事件,能源、交通、通信等重要工業相關領域將遭受重創。
據卡巴斯基報告稱,制造業領域的工控安全風險最為嚴重, 其次是建筑、交通、運輸及工程等行業。卡巴斯基還曾檢測到一次針對冶金、電力、建筑及工程領域的大規模魚叉式釣魚活動,攻擊范圍覆蓋全球 50 多個國家的 500 多家工業企業。
三是暴露在互聯網上的工控系統及設備數量與日俱增,成為世界各國工業信息安全軟肋,亞非拉美等國家和地區遭攻擊比例最高,我國超半數工控系統曾遭攻擊。
國家工信安全中心監測發現,全球暴露在互聯網上的工控系統及設備數量持續上升,工業信息安全風險點不斷增加。
據卡巴斯基發布報告稱,2018 年上半年全球范圍內工控系統遭受網絡攻擊最嚴重的三個國家為越南、阿爾及利亞和摩洛哥,遭攻擊工控系統數量占本國總量比例分別為 75.1%、71.6% 和 64.8%,中國工控系統遭受攻擊嚴重程度排在第六位,比例達 57.4%,較 2017 年排名有所降低, 但比例有所增長。
另據國家工信安全中心監測發現,2017 年以來,全球多個國家的 IP 地址對我國工控設備及系統發起過網絡探測與攻擊, 對我國工業信息安全造成極大威脅。
1.3 各國高度重視、多措并舉,不斷加強工業信息安全保障能力建設面對嚴峻的工業信息安全形勢
美國、歐盟、日本、英國等國家和地區高度重視、積極行動,紛紛采取成立機構、實施戰略、制定法律標準、投入資金、加強技術研究等諸多舉措以加強工業信息安全保障能力。如在成立機構方面:
美國擁有數量龐大的網絡安全研究機構,愛達荷國家實驗室(INL)、桑迪亞國家實驗室(SNL)、西北太平洋國家實驗室(PNNL)等均是美國網絡安全研究的重要力量;
英國于 1996 年和 2014 年成立了網絡應急響應小組;2016 年 11 月,英國設立國內首個網絡安全學院,旨在培養下一代密碼破解者;
日本控制系統安全中心(CSSC) 專門負責工業信息安全防護研究,包括控制系統高級安全技術、系統安全驗證技術、可控安全測試床等方面的研究與開發,截至 2017 年 5月,其會員單位已由成立時的 8 家增加至 31 家。2017 年,日本控制系統安全中心開展一系列的網絡安全研討會,如 2 月 6 日至 10 日舉辦“控制設備安全開發流程,設計與驗證研討會”, 10 月 13 日舉辦關于關鍵基礎設施“系統防御技術”網絡安全研討會。
德國于 1991 年成立了信息安全聯邦安全辦公室,
法國于 1994 年成立了法國網絡與信息安全局。
現今,上述各機構業務領域均已涵蓋工業信息安全內容。
在戰略實施方面:
2013 年初,美國發布《維護關鍵信息基礎設施安全性和可恢復性》總統令和《加強關鍵基礎設施網絡安全》行政令, 就關鍵信息基礎設施安全保障的相關事宜明確了部門職責及工作內容等;
同年,歐盟發布《歐盟網絡安全戰略》《關鍵基礎設施保護計劃》等戰略規劃,明確了對歐盟關鍵基礎設施的網絡安全管理內容和計劃;
2014 年 12 月,歐洲網絡與信息安全局發布《ICS/SCADA 專業人員的網絡安全技能認證》報告,探討了如何在工業控制網絡中應用現有信息安全技術及手段,明確了工控安全面臨的挑戰并提出了一系列的發展建議;
同年,新加坡發布了《國家網絡安全總體規劃》,強調了應對國家關鍵基礎設施網絡攻擊的緊迫性和重要性;
2018 年,美軍方發布《美軍網絡司令部愿景:實現并維持網絡空間優勢》戰略文件,提出了美在網絡空間新的指導思想和作戰方式,勾勒出美網絡司令部的未來發展路線圖。
在法律保障方面:
美國自克林頓政府以來, 出臺了大量相關法律法規文件,如第 13010 號行政令、第 63 號總統令、《愛國者法案》《國土安全法》、第 7 號國家安全總統令、第 13636號行政命令、第 21 號總統令、《網絡安全法》等,2014 年,美國發布《國家網絡安全保護法案》,從法律層面提出要加強關鍵基礎設施信息共享、標準制定、教育培訓以及技術隊伍建設;
2017 年 5 月,美國總統特朗普簽署《增強聯邦政府網絡與關鍵基礎設施網絡安全》行政令, 要求采取一系列措施來增強聯邦政府及關鍵基礎設施的網絡安全,該行政令從聯邦政府網絡、關鍵基礎設施和國家網絡安全三個方面提出增強網絡安全的措施。
2016 年 7 月,歐盟正式通過《網絡和信息系統安全指令》,明確規范了基礎服務運營者、數字服務提供者的網絡風險管理、網絡安全事故應對與通知等義務,以更好地應對和處置電力供應、空中交通管制等關鍵基礎設施遭受的網絡攻擊。
在標準制定方面:
2017 年 7 月,英國滲透測試認證機構 CREST 發布的報告《工業控制系統—技術安全保障意見書》指出,隨著工業信息安全形勢不斷惡化,設立工控安全技術保障標準的需求日趨迫切;
各國際標準組織和國家針對工業信息安全測試和性能評估、重點工業行業領域等也積極開展標準制定和完善工作。國際自動化協會(ISA)制定的《工業自動化控制系統(IACS)安全》(ISA/IEC 62443) 系列標準是工控安全領域最為全面的國際通用標準,
美國國家標準與技術研究院(NIST)針對工控安全先是發布《工業控制系統安全指南》(NIST SP 800-82), 對工控安全防護提供指導,又于 2017 年 9 月發布《網絡安全框架制造簡 介 》(Cybersecurity Framework Manufacturing Profile),為制造環境中開發網絡安全框架(CSF) 提供實施細節,提高制造領域的網絡安全風險管理能力 [8]。
在資金投入方面:
2016 年 4 月,澳大利亞政府計劃拿出 2.3 億澳元用于國家重要基礎設施的網絡安全防護建設;
同年,美國新增 140 億美元的預算專門用于網絡安全的研究和發展;
2017 年 4 月,美國國防部計劃投資 7000 萬美元建立新的網絡安全計劃,專門打擊針對電網設施的黑客攻擊;
同年 8 月,英國宣布在未來三年內投資 1900 萬美元創立網絡安全創新中心, 用于培養網絡安全人才和研發改進網絡安全技術;
2018 年,美國表示將在未來 5 年投入更多預算用于提高其在網絡空間的防御能力、恢復能力和網絡整合能力,以鞏固競爭優勢。
在技術研究方面:
各國研究機構及專家學者在工業控制系統風險評估、安全防御策略選擇和安全測試床研發等方面相繼開展并不斷加強研究工作。
Chittester[9]、Miller[10] 和 Francial[11] 等利用全息建模、攻擊樹建模、CORAS、層次 分析和模糊評判集等數學方法分別建立了定性的工控安全風險評估框架模型,并在 SCADA 系統中進行了分析應用和風險綜合評價,取得了較好效果;McQueen[12]、Baiardi[13]、Patel[14] 等則基于危害圖、攻擊路徑、攻擊事件演化圖和“信息安全程度”指標等評估手段,從定量的風險評估角度來研究工控安全風險水平,并對其風險情況進行了量化分析;
Hewett R[15]、徐洪華 [16]、趙恒博 [17] 等對工控安全防御策略進行了相關研究,并基于多 Agent、博弈論等技術理論,設計了針對工控系統的安全防御模型,并提出了從企業網絡和工控網絡兩方面進行安全防護的有效手段;
愛達荷國家實驗室、亞利桑那大學等研究機構對工控系統進行信息安全攻擊實驗, 分析各種攻擊對系統造成的影響,并驗證不同安全解決方案的有效性,從全實物復制測試床、半實物仿真測試床和軟件聯合仿真測試床三個方面對工控安全測試床開展了研究,并進行了典型案例的試用測試。
此外,在工控安全防護架構設計 [18-23]、安全防御體系 [24]、網絡空間靶場 [25] 等方面也已開展相應研究工作。
近年來,我國也高度重視工業信息安全,積極部署。
2016 年底,國家互聯網信息辦公室發布了《國家網絡空間安全戰略》,明確了網絡安全的具體工作要求,為做好網絡安全工作提供了行動指南 [26];
2017 年 6 月,《中華人民共和國網絡安全法》正式實施,對關鍵信息基礎設施保護做出了具體的法律規定,為開展工業信息安全工作提供了法律保障 [27];2017 年 11 月,國務院印發了《關于深化“互聯網 + 先進制造業”發展工業互聯網的指導意見》,為建立較為完備可靠的工業互聯網安全保障體系設立了發展目標并明確了實現路徑;
同年,國務院印發了《關于推動國防科技工業軍民融合深度發展的意見》,進一步推動國防科技工業軍民深度融合,大力發展網絡和信息安全技術、產品和產業。此外,國務院還發布了《關于大力推進信息化發展和切實保障信息安全的若干意見》《關于印發新一代人工智能發展規劃的通知》等相關政策文件。
與此同時,工業和信息化部(以下簡稱工信部)等部門也積極貫徹落實國家戰略法規要求,不斷推動工業信息安全建設。
2016 年11 月始, 工信部先后制定發布了《工業控制系統信息安全防護指南》《工業控制系統信息安全事件應急管理工作指南》《工業控制系統信息安全防護能力評估工作管理辦法》《工業控制系統信息安全行動計劃(2018—2020 年)》等政策文件, 工業信息安全政策體系逐步完善 [28-31]。
隨著一系列政策文件的發布和逐步落實,工業信息安全也被提升到一個前所未有的高度。
2017 年,國家工業安全中心正式成立,統籌加強工業信息安全仿真測試、在線監測、攻防演練、應急處置等技術手段建設。借此契機,工控安全檢查、防護能力評估、能力建設、風險通報與應急保障、意識教育、產業促進等一系列相關工作有序開展,取得顯著成效。
同年,在工信部指導下, 工業信息安全產業發展聯盟正式成立,全面推動產學研用集成創新及融合發展;全國范圍內工控安全培訓首次開展,不斷推動工業信息安全意識普及;國家級工業信息安全技能大賽首次成功舉辦,促進加強對專業人才的選拔和培養力度。
2、我國工業信息安全面臨的主要挑戰
我國工業信息安全面臨的問題與挑戰涉及工業生產和管理的方方面面。
一方面,網絡安全問題不斷從傳統領域滲透到工業領域,傳統的防護手段已經無法有效保障工業信息安全;
另一方面,由于問題矛盾的不斷發展,當前的工業信息安全管理機制、技術能力以及產業支撐力、企業安全責任意識都存在不足,具有較大安全隱患。
2.1 工業信息安全管理機制不健全
大多數工控系統在初始設計、建設、運營等過程中均未考慮網絡安全問題,導致工控系統聯網后安全風險嚴重,相對應的安全建設面臨很大挑戰。
我國對工業信息安全的管理相對薄弱,管理機制很不健全,嚴重滯后于工業互聯應用推廣的步伐,難以適應當前工業信息安全形勢發展的需要。
一方面,我國各行業工業企業數量眾多,體制及管理機制關系復雜,許多核心工業領域的工控系統涵蓋了大量國外的工控系統產品,在對行業和產品的管理上,主管部門在制度建設和法規制定中,缺乏系統的、完善的法律體制和管理機制。
另一方面,在具有復雜管理機制的一些混合所有制或私有制企業中,地區、行業主管部門的安全管理政策無法對企業和社會進行有效的統籌管理,無法有效指導大多數工業企業建立和執行較為完善的信息安全管理制度,相關問題持續困擾工業信息安全的健康有序發展。
綜合來看,各地區、各部門、各工業企業對工業信息安全問題重視程度依舊不足,工業信息安全管理機制尚不健全,亟需探索建立行之有效的工作機制和管理體系。
2.2 工業信息安全隱患凸顯
傳統信息安全防護方式難以有效保障工業信息安全工控系統在發展之初相對封閉和獨立。但隨著工業生產環境對管理和控制一體化需求的不斷升級,以及網絡、通訊等信息技術應用的指數型增長,工控系統正日益走向開放、互聯、互通,從而使得工控系統原有相對封閉的使用環境逐漸被打破,導致工控系統設備、網絡、控制、數據等方面的安全隱患充分暴露、風險凸顯。
兩化融合的深度發展和工業互聯網的不斷推進,使得業務系統之間的信息壁壘被打通, 工業網絡與企業內網、互聯網的界限越來越模糊,傳統信息安全威脅迅速擴散至工業控制領域,且攻擊者常常利用病毒、漏洞等實施攻擊, 工控系統日益面臨與互聯網相似的、乃至更為嚴峻的安全形勢,工業控制環境所面臨的安全威脅挑戰不斷升級。
工控系統使用環境基本以內網為主,形成內部工控系統局域網,并通常是以孤島形式存在,導致傳統殺毒軟件或防火墻無法有效解決工控安全問題。
傳統信息安全保護范圍主要是信息系統,未建立專門針對工控系統的安全防護手段,現有防護方式缺乏針對性且不能全覆蓋。而以往采用的物理隔離等安全防護方式在日益集成、開放、一體化的工業生產環境中已不再適用,且隨著通過便攜式媒介等實現入侵的新型攻擊手段不斷涌現,單純依靠物理隔離已無法規避安全風險。
此外,工控系統對可用性、實時性要求較高,其操作環境更為嚴格,因此工控安全防護手段必須適應系統特點,且應嚴格保證不會影響工控系統的實時響應能力,以免造成系統宕機、業務中斷等嚴重后果;工控系統與行業的關鍵業務緊密相關, 系統復雜,且工控協議眾多,很難有統一適用的安全防護方法,需針對各類工業控制協議的特點采取有針對性的安全防護措施。
因此,傳統的信息安全防護手段已不足以有效地保障工業信息安全,需要采取全新的理念來解決工業信息安全問題。
2.3 工業信息安全技術和產業支撐能力不足
自主可控的設備產品、技術和服務是保障重點行業工業信息安全的基石,工業信息安全技術和產業支撐能力的欠缺將很大程度上限制工業信息安全保障能力的提升。
從市場情況來看,當前我國工業行業所運用的重要關鍵設備和基礎軟件絕大多數屬國外產品,以工業可編程邏輯控制器(PLC)為例,西門子、三菱、歐姆龍、羅克韋爾、施耐德等國外廠商占據國內超過 80% 的市場份額,受制于人的局面尚未得到根本改變;
從技術能力來看,我國工業信息安全測試、評估、驗證等共性技術能力不強且分散,經過實踐檢驗的工業級信息安全技術產品缺乏,企業工業信息安全防護水平普遍不高。技術、產品、服務的核心技術受制于人,安全防護技術和產品欠缺,導致我們難以從根源處著手處理安全問題,難以支撐我國工業生產和應對安全威脅挑戰,我國工業信息安全領域存在著核心技術掌控能力與日趨嚴峻的安全風險形勢無法適應的困境。
此外,我國工業信息安全產業發展不充分,嚴重滯后于工業信息安全發展的需求。我國工業信息安全在產業結構、資源配置、市場環境、業態發展等方面存在明顯不足,仍未形成良性發展的產業鏈;安全防護產品尚未實現產業化應用、相關技術積累不足、專業技術人才缺乏、宣傳教育培訓工作不到位等問題也嚴重影響了工業信息安全產業的發展。
2.4 工業企業信息安全主體意識薄弱
據近幾年全國工控安全檢查工作發現,在被檢查的幾千家工業企業中,部分企業的信息安全意識仍顯薄弱:
一是信息安全管理制度不夠完善、現行制度未能有效執行,出現工業信息安全管理混亂、責任不明、生產數據等敏感信息外泄等問題,嚴重制約企業工業信息安全整體水平的健康發展:
二是工業企業信息安全人才力量不足,擁有信息安全專業背景和技術能力的人員嚴重匱乏。一方面制約著信息安全意識和技術的提升;另一方面也造成一定程度的安全風險,一旦企業出現工業信息安全問題,將很可能無法及時采取有效應對措施。
三是宣傳培訓教育工作不到位,員工的信息安全意識相對欠缺,既無法在日常工作中采取措施降低安全風險,也缺乏意識和手段及時發現企業存在的安全隱患。四是大量業務系統、數據庫使用弱口令,大大降低了黑客等不法分子突破企業邊界的難度,使企業被攻擊的安全風險急劇上升。
3、加強我國工業信息安全的對策建議
針對我國當前存在的工業信息安全管理機制不健全、關鍵核心技術能力不足、產業發展基礎薄弱、工業企業安全意識不強等問題和短板,綜合安全與發展,建議從以下四個方面做好新時期新形勢下的工業信息安全工作,切實為制造強國和網絡強國戰略的有效實施保駕護航。
3.1 建立健全工業信息安全頂層設計
政策文件、標準指南等頂層設計是工業信息安全發展的指路明燈,要加強政府監督和指導,持續完善工業信息安全政策制度和標準體系建設。
制定《工業信息安全管理辦法》《工業互聯網安全指導意見》《工業信息安全風險信息報送與通報管理辦法》《工業信息安全產業發展指導意見》等政策文件,建立健全工業信息安全責任制,完善風險通報、產業發展等安全指導和管理制度,進一步加強工業信息安全頂層設計。
堅持安全是發展的前提,重點研究新一代信息技術與工業生產活動融合產生的安全保障需求,適時發布工業互聯網、工業云、工業大數據等領域相關的信息安全指導性政策文件。
標準體系是頂層設計落地實施的重要基礎, 圍繞評估、監測、預警、響應、處置等需求,加強標準體系建設研究,推動編制《工業信息安全標準體系建設指南》《工業控制系統信息安全防護能力評價方法》等相關國家標準,建立完善工業信息安全標準體系。
3.2 督促落實工業信息安全主體責任
“安全為重,責任為先”,工業信息安全保障需要工業企業切實肩負起安全主體責任。
一是深入學習貫徹《國務院關于深化“互聯網 + 先進制造業”發展工業互聯網的指導意見》《工業控制系統信息安全行動計劃(2018—2020 年)》
《工業控制系統信息安全防護指南》等政策文件, 依據文件要求指導企業開展工業信息安全防護工作;
二是建立“以查促建、以查促改、以查促防” 的常態化工作機制,在全國范圍內組織開展工控安全檢查評估工作;
三是堅持企業承諾與社會監督相結合;第三方評價與政府持續監管相結合,持續推動工業產品和服務的網絡安全審查工作;
四是強化開展工業信息安全意識和基本技能培訓,推動工業信息安全意識培訓、事件演練、技能競賽等活動舉辦,全面深入貫徹落實工業信息安全責任制,切實加強工業企業安全意識和責任義務。
3.3 著力加強工業信息安全保障能力
支持國家級工業信息安全專業技術機構,不斷強化覆蓋工業生產全生命周期的態勢感知、仿真演練、應急響應、信息共享與通報以及綜合保障等能力。
一是深化態勢感知能力,建設工業信息安全態勢感知監測網絡,通過情報收集、主動監測、被動誘捕等技術手段,實現全天候全方位態勢感知。
二是增強仿真演練能力, 建設工業信息安全靶場、仿真測試等共性技術平臺,研發工業信息安全防護技術工具集,加強分區隔離、安全交換、協議管控等關鍵技術攻關。
三是提升應急響應能力,支持建設應急資源庫,實現信息采集、輔助決策、預案演練等功能。
四是加強信息共享與通報能力,建設工控安全信息通報預警平臺,及時發布風險預警信息,跟蹤風險防范工作進展,形成快速高效、各方聯動的信息通報預警體系。
五是建設國家工業信息安全綜合保障網絡,指導地方 / 行業技術支撐機構、重點工業企業建設區域級 / 行業級的工業信息安全保障分平臺或防護分平臺, 實現與國家級保障平臺的信息交互共享,打造威脅風險隱患的群防共治能力。
3.4 全方位提升工業互聯網安全水平
支持建設以國家工信安全中心為核心節點,橫向連接行業、縱向連接地區,定點連接企業的工業互聯網安全保障體系,分步驟、分階段開展設備接入安全、平臺運行安全、應用服務安全、標識解析系統安全和數據安全等保障能力建設。
貫徹落實《國務院關于深化“互聯網 + 先進制造業”發展工業互聯網的指導意見》要求,從提升安全防護能力、建立數據安全保護體系、推動安全技術手段建設三方面,構建覆蓋平臺安全、設備安全、控制安全、數據安全和網絡安全的工業互聯網安全保障體系,指導企業提升工業互聯網安全防護水平。
3.5 大力推動工業信息安全產業發展
良好健康的工業信息安全產業,對國家工業信息安全發展起著巨大的推動作用。
一是堅持政府引導與市場機制相結合,建立健全工業信息安全市場服務體系,為產業發展創造良好的市場環境;
二是推動建設 3 ~ 5 家國家新型工業化產業示范基地(工業信息安全),促進產業集聚發展;培育一批核心技術能力突出、市場競爭力強、輻射帶動面廣的工業信息安全龍頭企業,增強安全產品和服務供給能力;
三是加快自主可控的工業信息安全產品研發,組織開展產品示范應用,推動產品規模化、產業化應用。四是加強工業信息安全產業“走出去”, 以與“一帶一路”沿線國家合作為切入點,構建工業信息安全國際治理體系,建設工業信息安全命運共同體。
4、結語
黨的十八大以來,我國就大力振興制造業、加快制造強國和網絡強國建設提出了一系列新論述,引領和推動工業和信息化發展取得了大量輝煌成就。
在新時代,要以黨的十九大和習近平總書記關于網絡安全的重要論述和精神為指引,積極貫徹落實國家網絡安全重要戰略政策文件,全面開創工業信息安全工作新局面, 為制造強國和網絡強國建設保駕護航。
參考文獻:
[1]苗圩 . 制造強國和網絡強國建設邁出堅實步伐——黨的十八大以來我國工業和信息化發展新成就 , http://www.miit.gov.cn/n1146290/n1146397/c5863624/content.html,2017.
[2]懷進鵬 . 深化制造業與互聯網融合發展加快制造強國建設 [J]. 科協論壇 , 2016(10):17-19.
[3]鄔賀銓 . 新一代信息技術的發展機遇與挑戰[J]. 中國發展觀察 , 2016(4):11-13.
[4]宮亞峰 , 張格 , 程宇 . 維護工業控制系統網絡安全是實現強國目標的重要保證 [J]. 自動化博覽 , 2017,34(2):28-33.
[5]李揚 . 新形勢下工業信息安全現狀分析與建議 [J]. 保密科學技術 , 2017(7).
[6]NCCIC/ICS-CERT. Industrial Control Systems Assessment Summary Report, https://ics-cert. us-cert.gov/Information-Products.
[7]NCCIC/ICS-CERT. 2016 Annual Vulnerability Coordination Report, https://ics-cert.us-cert. gov/Information-Products.
[8]陶耀東 , 李寧 , 曾廣圣 . 工業控制系統安全綜述 [J]. 計算機工程與應用 ,2016,52(13):8-18.
[9]Chittester C G, Haimes Y Y. Risks of Terrorism to Information Technology and to Critical Interdependent Infrastructures[J]. Journal of Homeland Security & Emergency Management, 2004,1(4):185-186.
[10]Miller. The use of attack trees in assessing vulnerabilities in SCADA systems, Proceedings of the International Infrastructure Survivability Workshop, 2004.
[11]Guillermo A. Francia, David Thornton, Joshua Dawson Security Best Practices and Risk Assessment of SCADA and Industrial Control Systems.
[12]Mcqueen M A, Boyer W F, Flynn M A, et al. Quantitative Cyber Risk Reduction EstimationMethodology for a Small Scada Control System[C]. Hawaii International Conference on System Sciences. IEEE, 2006.
[13]Baiardi F, Telmon C, Sgandurra D. Hierarchical, model-based risk management of critical infrastructures[J]. Reliability Engineering & System Safety, 2009,94(9):1403-1415.
[14]Patel S C, Graham J H, Ralston P A S. Quantitatively assessing the vulnerability of critical information systems: A new method for evaluating security enhancements[J]. International Journal of Information Management, 2008,28(6):0-491.
[15]Hewett R, Rudrapattana S, Kijsanayothin P. Cybersecurity analysis of smart grid SCADA systems with game models[J]. 2014:109-112.
[16]趙恒博 , 曹謝東 . 基于 FNN 的多 Agent SCADA 安全防御模型 [J]. 微型機與應用 , 2016(7):9-11.
[17]徐洪華 , 張旭 . 網絡化 SCADA 系統安全防御策略 [J]. 中國安全生產科學技術 , 2011,07(11).
[18]Genge B, Haller P, Kiss I. Cyber-Security- Aware Network Design of Industrial Control Systems[J]. IEEE Systems Journal, 2015,1-12.
[19]Omkar A. Harshe, N. Teja Chiluvuri, CameronD. Patterson and William T. Baumann. Design and implementation of a security framework for industrial control systems[A]. Proceedings in 2015 International Conference on Industrial Instrumentation and Control[C].IEEE,2015,127-132.
[20]Cheminod M, Bertolotti IC, Durante L, et al. Automatic analysis of security policies in industrial networks[A]. IEEE International Works hop on Factory Communication Systems[C]. IEEE,2010,109-118.
[21]Cheung S, Dutertre B, Fong M, et al. Using Model-based Intrusion Detection for SCADA Networks[J]. Proceedings of the Scada Security Scientific Symposium, 2006.
[22]Liu N,Zhang J,Zhang H, et al. Security Assessment for Communication Networks of Power Control Systems Using Attack Graph and MCDM[J]. IEEE Transactions on Power Delivery, 2010,25(3):1492-1500.
[23]Matti Mantere, Mirko Sailio and Sami Noponen. Network Traffic Features for Anomaly Detection in Specfic Industrial Control System Network[J]. Future Internet, 2013,5:460-473.
[24]蔣寧 , 林滸 , 尹震宇等 . 工業控制網絡的信息安全及縱深防御體系結構研究 [J]. 小型微型計算機系統 , 2017,38(4):830-833.
[25]方濱興 , 賈焰 , 李愛平等 . 網絡空間靶場技術研究 [J]. 信息安全學報 ,2016,1(3):1-9.
[26]中國網信網 . 國家網絡空間安全戰略 ( 全文 ) [J]. 中國信息安全 , 2017(1):26-31.
[27]《 中華人民共和國網絡法》,http://www.cac.gov.cn/2016-11/07/c_1119867116. htm,2016.
[28]工業和信息化部關于印發《工業控制系統信息安全防護指南》的通知 , http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4062056/c5338092/content.html,2016.
[27]國務院印發《關于深化“互聯網 + 先進制造業”發展工業互聯網的指導意見》,http://www.gov.cn/xinwen/201711/27/content_5242603.htm,2017.
[28]工業和信息化部關于印發《工業控制系統信息安全行動計劃(2018—2020 年)》的通知 ,http://www.miit.gov.cn/newweb/n1146290/n4388791/c5996116/content.html,2017。
[29]工業和信息化部關于印發《工業控制系統信息安全防護能力評估工作管理辦法》的通知, http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4062056/c5760743/content. html,2017.
[30]梁秀璟 . 《工業信息安全防護指南》為工控信息安全產業發展注入強勁動力 [J]. 自動化博覽 ,2017(1):72-73.
[31]工業和信息化部印發《工業信息安全事件應急管理工作指南》, http://www.miit.gov.cn/n1146290/n4388791/c5690361/content.html.
[32]趙 恒 博 , 曹 謝 東 . 基 于 FNN 的 多 Agent SCADA 安全防御模型 [J]. 微型機與應用 , 2016(7):9-11.
來源:信息安全與通信保密雜志社
北京市公安局海淀分局備案號:11010802023656號