工业信息安全寻找加速度

2019-11-20 22:17石菲
中国信息化 2019年10期
关键词:漏洞信息安全联网

石菲

随着云计算、大数据、人工智能等新一代信息技术与制造技术加速融合,工业信息安全经历了从传统制造时代到全新时代的蜕变。而随着制造强国战略的实施,在我国,工业信息安全的重要性也越来越凸显。

以数据安全为例,2018年100余家汽车制造商的关键生产数据遭泄露事件,敲响了工业数据安全防护的警钟。据《2018年数据泄露调查报告》统计,2018年全球制造业的数据泄露事件多达536起,其中涉及大型企业事件375起。

在网络攻击层面,2018年,法国、俄罗斯等数百家工业企业成为网络钓鱼的攻击目标,涉及制造业、石油天然气、冶金等行业。

据国家工信安全中心统计,2017-2018年,工业领域公开报道的勒索病毒攻击事件高达17起,其中制造业是攻击的重点目标。2019年以来,针对制造业的勒索病毒攻击事件已发生5起,涉及多国知名化工、食品、汽车制造企业,直接造成了系统瘫痪、生产停滞、运营中断等严重后果。未来,随着制造业企业价值密度增大、网络依赖性提升,将愈发成为勒索者的“理想目标”。

进入2019年,随着工业企业上云、工业App培育进程的加速,有一些关乎工业企业命脉的海量关键数据会进一步向云平台汇聚,这些数据如果成为不法分子牟取利益的攻击目标,则会引发进一步的工业信息安全危机。而随着物联网的进一步应用,物联网的安全漏洞也会引发对终端安全更深层次的思考。在工业互联网平台快速发展的同时,我们更应该把安全元素放在首位,只有在建设之初就充分考虑到安全因素,工业互联网平台才能充分发挥他的价值。

那么,随着智能制造的加速发展,新时代下工业信息安全会迎来怎样的趋势,又应该向什么方向发展?有哪些短板需要补足?让我们尝试去寻找到工业信息安全发展的加速度,为“智能+”与工业发展的融合打牢基础。

物联网安全风险增加

据Gartner预测,到2020年,全球将有204亿件联网产品投入使用。《2018-2019中国物联网发展年度报告》也显示,2018年我国物联网产业规模已超1.2万亿元,物联网产业将呈现蓬勃发展的态势。

随着工业互联网发展速度加快,海量工业设备泛在连接、企业业务系统云化服务、网络化协调制造的趋势日益明显,工业生产装备、传感器、工业控制系统等极易成为网络攻击的重点目标,在边缘计算的加持下,物联网安全风险更是不断增加,这也导致工业企业受攻击的风险进一步增大。

2018年,国家工信安全中心收集研判工业控制系统、智能设备、物联网等领域的安全漏洞共计432个,主要分布于关键制造、能源、水务化学化工等领域。其中,高危漏洞276个,中危漏洞151个,中高危漏洞占比高达99%。从漏洞类型来看,缓冲区溢出漏洞数量最多,占比20%。排名前五的漏洞类型还有认证错误漏洞、权限控制漏洞、信息泄露漏洞、输入验证漏洞。从漏洞影响领域来看,排名前五的分别是关键制造、能源、水务、医疗健康、食品农业,共占比74%。

由于边缘计算分布广、环境复杂、数量庞大、在计算机存储上资源受限,且很多应用在设计之初并没有充分考虑到安全风险,传统信息安全已不能完全适应边缘计算的防护需求。而在实际应用中部分物联网产品未经权威安全评测就会直接投入使用,产品安全性也存在风险。同时,由于边缘计算的特殊性,大多数用户无法及时察觉他们的设备是否被黑客入侵。而对于服务提供商来说,随着设备数量显著增加,管理难度加大,也很难有效监控所有设备。

因此,物联网安全已经成为工业发展道路上的重要议题。对此,很多人视区块链为解决物联网安全的有效手段。区域链的主要好处是其分散的基础架构,一个访问点出问题不会损害整个系统,并且它能记录与之交互的每个设备的时间戳,可以利用区域链的特性确保只有经过批准的设备才能访问系统,并记录任何违规或未经授权的访问,可以快速有效地对其进行处理。从这个角度来说,区块链或许会成为物联网设备的最佳搭档。但区块链技术的成熟还需要时间,希望工业而企业在进行物聯网设备的安装管理时能够充分考虑到安全问题,提前做好防御规划。

工业互联网走向快车道

众所周知,工业互联网是推动制造业数字化转型的重要抓手。工业互联网的本质是以机器、原材料、控制系统、信息系统、产品及人之间的网络互连为基础,通过对工业数据深度感知、实时传输交换、快速计算处理及高级建模分析,实现智能控制、运营优化和生产组织方式的变革。

目前,我国工业互联网已由理念研究加速走向落地实施,进入发展快车道,各地各类工业互联网应用创新不断涌现。工业互联网已广泛应用于石油石化、钢铁冶金等行业,具有一定影响力的工业互联网平台已超过50家,重点平台平均连接设备数量达到近60万台。但据有关机构对20余家典型工业互联网平台企业进行的安全评估,发现2000多个安全威胁,存在较多的风险隐患。

一直以来,关于工业互联网的政策都非常明确。2017年11月27日,国务院发布了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,第一次对于工业互联网做出全面论述,是规范和指导我国工业互联网发展的纲领性文件。2018年底中央经济会议明确提出:加强人工智能,工业互联网、物联网等新型基础设施建设。各部委文件逐渐由指定纲领进入到引导实施阶段。

其中,关于工业互联网安全领域,政府和主管部门也都投注了足够的重视。近日,工业和信息化部、教育部、人力资源和社会保障部、生态环境部、国家卫生健康委员会、应急管理部、国务院国有资产监督管理委员会、国家市场监督管理总局、国家能源局、国家国防科技工业局联合印发了加强工业互联网安全工作的指导意见。《加强工业互联网安全工作的指导意见》从指导思想、基本原则、总体目标三个层面上对我国工业互联网的发展方向进行了清晰的规划。

工业互联网的建设不是单纯的企业行为,而是一项重大的国家发展战略。因此,工业互联网的发展是需要多方力量汇聚的结果。工业互联网的安全体系建设要获得集聚发展,各地相关部门需要结合本地工业互联网的发展特征,制定相应的政府支持机制和发展策略,为企业安全技术创新和应用推广方面提供充分的支持条件。

《指导意见》中强调了通过部门协同、部省协作提高工业互联网安全体系建设的运作效率,面向企业的安全需求,充分发挥市场引导、政府支持作用,形成政产学研用多方力量的有效汇聚。通过开展安全宣传教育、安全竞赛演练、安全人才培养等一系列工作,优化工业互联网安全体系建设的人才培育和生态环境。工业互联网的安全体系建设关乎我国制造业转型发展过程的稳定性与持续性。工业互联网融合、跨越、系统的工程特征要求其安全体系的建设需要政府部门、企业、市场多方的统筹协作,树立全局观念,通过分类分级、突出重点、鼓励创新,营造工业互联网稳定安全的开放发展环境,才能够实现安全与发展的同步运行。

“增强免疫力”替代“打补丁”

除了工业领域的特殊性,呈几何倍数增长的新科技在进行产业升级的同时也带来了不可避免的安全问题。这些新技术都需要在发展的同时注入安全基因,比如在人工智能领域,2019年8月底,2019世界人工智能安全高端对话联合2019世界人工智能大会法治论坛发布了《人工智能安全与法治导则(2019)》。该导则从算法安全、数据安全、知识产权、社会就业和法律责任等五大方面,对人工智能发展的安全风险作出了预判,提出了人工智能未来发展的安全与法治应对策略。

随着人工智能在工业领域的不断深入应用,随之而来的安全风险的确应该引起人们的足够重视。在算法安全方面,如果在研究算法的同时考虑到安全因素,可以避免很多不必要的安全漏洞;数据安全方面,在民用领域数据隐私保护已经引发了人们的重视,但还缺乏相关配套的法律法规。而在工业领域,数据安全危机造成的损害更为重大,理应受到企业、供应商和政府部门各方的高度重视;在法律责任方面,我们还应期待政府出台更多的相关规范,完善人工智能及其在工业领域进一步应用的法律规范。

一方面,由“万物互联”、智能系统等引发的新安全问题(如车联网安全、能源网安全、工控系统安全等)带来的挑战日益凸显。另一方面,智能制造的加速发展又必须建立在安全保障的基础之上。

因此,在全新的IT架构下,我们应该重新审视信息安全漏洞,用最新的技术和应用构建一个全新的安全规则和防护体系,并建立应急响应体系。在工业信息安全领域也是如此,未来信息安全保障机制需要由“打补丁”式的被动检测防护向以“增强免疫力”为目标的预测引导防护方向演进,最终实现全新时代下的防护理念、技术思想和产业思维的全面升级。所以,只有以主动防御技术为核心基础,构建全方位、一体化的纵深防护体系,并根据各行业实际应用提供因地制宜的整体解决方案,才能够解决工业信息安全的关键需求。

我们看到在政策层面,近年来工业和信息化部作为工业信息安全主管部门,一直在持续完善政策和标准体系,陆续发布了《工业控制系统信息安全防护指南》《工业控制系统信息安全行动计划(2018-2020年)》等政策文件,指导开展工控安全标准体系建设,通过贯彻落实相关政策标准,促使企业以较低成本实现重大安全风险的防范。工业和信息化部发布的多份文件对工业互联网安全提出了一系列要求,为我国工业互联网安全保障工作提供了强有力的政策支撑。国家能源局、公安部、水利部也相继出台网络安全相关政策,进一步提升重点领域关键信息基础设施网络安全保障能力。同时,工控安全、工业互联网安全、电力系统安全检查等方面多份标准也相继发布,安全标准体系持续完善。

此外,在國际环境中,对工业互联网的重视也在同步加强。欧美发达国家高度重视工业信息安全,持续强化战略部署。比如美国出台《能源行业网络安全多年计划》《2019财年国防授权法案》《2018年国防部网络战略》《国家网络战略》等文件,不断完善制造业、能源、电力、交通等关键信息基础设施领域政策法规体系。欧盟也发布了《工业4.0网络安全挑战和建议》明确新形势下的智能制造和工业物联网带来的安全挑战,并提出了具体可行的建议。

综上所述,工业信息安全已经迎来了快速发展的机遇,同时也存在技术和管理方面的挑战。在机遇与挑战当中,如何找到适合自己的发展加速度,补足短板,快速发展是我们应该深度思考并快速落实的重要问题。

猜你喜欢
漏洞信息安全联网
“身联网”等五则
信息安全不止单纯的技术问题
漏洞在哪里
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
风口之上,车联网系统将是“另一个”手机系统?
侦探推理游戏(二)
漏洞在哪儿
中国移动物联网连接规模超6000万
2014第十五届中国信息安全大会奖项