姜红德
近年来,全球工业信息安全领域的挑战呈现出明显的增长趋势。国家工业信息安全发展研究中心发布的《2019年工业信息安全态势展望》显示,2018年法国、俄罗斯等数百家工业企业成为网络钓鱼的攻击目标,涉及制造业、石油天然气、冶金等行业。2019年,随着制造业转型升级持续推进,工业互联网发展速度加快,海量工业设备泛在连接、企业业务系统云化服务、网络化协调制造的趋势日益明显,工业生产装备、传感器、工业控制系统等极易成为网络攻击的重点目标,工业企业受攻击风险进一步增大。
欧美发达国家一直高度重视工业信息安全,持续强化战略部署。美国出台了《能源行业网络安全多年计划》《2019财年国防授权法案》《2018年国防部网络战略》《国家网络战略》等文件,不断完善制造业、能源、电力、交通等关键信息基础设施领域政策法规体系;欧盟发布《工业4.0网络安全挑战和建议》明确工业4.0和工业物联网带来的安全挑战,并提出具体可行的建议。以色列、英国、法国、俄罗斯等国家也针对工业信息安全进行了研究并提出相应的举措,这些对中国都具备借鉴意义。
自2010年“震网”病毒攻击了伊朗核工厂以后,工业控制系统作为黑客攻击目标引起了重视。芬兰安全研究公司F-Secure发现了一系列针对工控系统的木马攻击,目前主要的攻击目标在欧洲。遭受攻击的欧洲公司包括法国从事技术相关的两家教育研究机构、德国的两家工业应用及机械制造商、 一家法国的机械制造商以及一家俄罗斯的建筑企业。
在网络化、智能化的社会背景下,国家安全边界已经超越地理空间限制,延伸到了信息网络。2018年乌克兰氯气站遭到VPNFilter恶意软件突袭、2019年委内瑞拉停电等安全事件陆续被证实有国家力量的参与,工业控制系统正成为网络空间对抗的主战场。
2018年5月23日,思科公司发布预警,一款名为VPNFilter的最新恶意软件正在全球蔓延,预估有54个国家遭入侵,受感染设备的数量至少为50万台。VPNFilter破坏性较强,可通过烧坏用户的设备来掩盖踪迹,比简单地删除恶意软件痕迹更深入。利用 VPNFilter 恶意软件,攻击者还可以达到多种其他目的,如监视网络流量并拦截敏感网络的凭证;窥探到SCADA设备的网络流量,并部署针对ICS基础设施的专用恶意软件;利用被感染设备组成的僵尸网络来隐藏其他恶意攻击的来源;导致路由器瘫痪并使受攻击的大部分互联网基础设施无法使用。
2019年3月7日至10日,委内瑞拉包括首都加拉加斯在内的23个州全面停电,停电造成学校、医院、工厂、机场等都受到严重影响,手机和网络也无法正常使用。长时间大范围的电力故障给委内瑞拉造成严重损失,这是委内瑞拉自2012年以来历时最长、影响范围最广的停电事件。
2019年4月,据德国电视一台的"每日新闻"报道,拜耳公司向德广联证实,有黑客入侵了该公司的网络系统。拜耳称,公司的网络安全中心在2018年初发现了一种名为“Winnti”的窃密病毒,并开始针对其实施防御措施,但无法溯源获知黑客最早何时进入系统。
从伊朗到乌克兰、委内瑞拉,再到德国,通过网络攻击重要的基础设施,已经成为网络攻防战的重要形式。上述事件提醒我们,必须提升关键领域信息基础设施安全防护能力。
美国、英国、德国、俄罗斯等主要国家纷纷将关键信息基础设施保护作为国家网络安全的重要工作,出台政策法规是当今各国主要的做法。
美国作为最早开展关键信息基础设施保护的国家,除了发布《提升美国关键基础设施网络安全的框架规范》、《增强联邦政府网络与关键性基础设施网络安全》行政令等系列政策法规外,在20多年的探索中形成了较为完整的管理系统和能力体系。组织机构方面,美国构建起以国土安全部为国家领导机构,相关部门和监管机构在各自职责范围内保护国家关键信息基础设施安全的组织架构。运行机制方面,美国对政府掌握的关键基础设施,通过执行联邦信息安全管理法案、实施爱因斯坦等项目部署入侵检测防御系统等措施应对威胁;对私营企业掌握的超过国家80%的关键基础设施,通过公-私协作机制及各类协调委员会机制,处理政府与私营企业之间以及跨部门、跨地区的协作事项。能力体系构建方面,通过与迈克菲、赛门铁克、IBM等知名公司的项目合作,构建起针对关键信息基础设施中威胁的定位和特征描述技术、基于云的网络分析态势感知技术、自动告警预测网络攻击技术等能力体系。
德国很早就通过《德国网络安全法》,其重點是加强对关键信息基础设施的保护力度,明确了“关键基础设施”运营者的责任、扩大网络监管权、确定网络安全报告制度和增设电信运营商的义务。该法明确凡是涉及水资源、能源、通信、医疗、交通、金融、保险等与德国民众日常生活紧密相关的行业或企业均属于关键基础设施的保护范围。《德国网络安全法》为关键基础设施的运营商设置了两项具体的报告义务:一项是最低网络安全标准报告义务;另一项是网络安全事件动态报告义务。
最低网络安全标准报告义务指《德国网络安全法》中规定的所有关键基础设施的运营商应当根据本部门实际情况,在规定的时间内向联邦信息安全办公室(BSI)上交一份网络安全方面报告,该报告主要内容是本单位为应对网络攻击而安装相关系统的情况。
网络安全事件动态报告义务是指电信运营商应当主动收集、储存用户的通信业务信息,且储存周期不应少于6个月。警方为了侦查犯罪的需要可以从电信运营商处依法获取这些数据。此外,为了保证用户的数据信息不被非法使用,《德国网络安全法》规定,当电信运营商的链接或数据信息被泄漏或滥用时,电信运营商负有及时通知本单位客户的义务。
英国早期的互联网立法,侧重保护关键性信息基础设施,随着网络的不断发展,后期在加强信息基础设施保护的同时,也开始强调网络信息的安全。英国国家基础设施保护中心(简称CPNI)是一家为英国企业和组织的基础设施提供安全咨询保护的英国政府部门,由前英国国家基础设施安全协调中心和英国国家安全咨询中心合并而来。其职责是减少英国基础设施被恐怖主义破坏和其他威胁,保护英国基本服务安全(通信,应急服务,能源,金融,食品,政府,医疗,交通和水务)。
近年来,我国工业信息安全顶层设计逐步加强,标准规范进一步完善。工信部发布的多份文件对工业互联网安全提出一系列要求,为我国工业互联网安全保障工作提供了强有力的政策支撑。国家能源局、公安部、水利部相继出台网络安全相关政策,进一步提升重点领域关键信息基础设施网络安全保障能力。同时,工控安全、工业互联网安全、电力系统安全检查等方面多份标准相继发布,安全标准体系持续完善。
一方面,全球各国针对工业信息领域的技术创新在不断提升;另一方面,在各项资源的支持下,各国在工业信息安全整体实力上也有了很大提升。
在不断增加的安全威胁下,以及威胁更加复杂化和多样化的状况下,工業企业用户不断升级的安全需求驱动了全球工业信息安全技术的迭代和创新。积极防御、威胁情报、态势感知、数据驱动安全、安全可视视化等新理念在工业信息安全领域不断推广应用,大数据、人工智能等新技术从概念走向落地。从国际工业信息安全企业技术和产品的布局上来看,全球工业信息安全技术主要聚焦在主动防御、安全自动化、新兴互联网技术在工业信息安全领域的融合应用以及内嵌安全设计等方面。
工业信息安全技术的创新和应用,给各国的工业安全产业发展带来了巨大的机遇。
目前美国的工业控制系统数量最多,且在互联网的新时代背景下,美国倡导工业互联网,将智能设备、人和数据连接起来,实现内外服务的网络化。而且美国在工业信息安全领域具有绝对的优势,行业上市企业在全球占比达6成以上,有多个著名的工业信息安全厂商。
以色列已经成为全球信息安全生态系统的领导者,共有166家信息安全创业公司,其中16家募集了超过5000万美元的风险投资,另有18家募集了3000多万美元。成功的将人才教育体系、国际国内的产业力量、风险投资结合并辅以大力的税收等政策支持,使得网络安全生态系统成为支撑以色列网络安全产业发展的重要机制。
互联网将地球变成了“地球村”,万物互联是发展趋势,信息安全特别是工业领域的安全是全球各国面临的共同挑战。无论是从政策、技术还是产业市场方面,欧美等国家的一些做法值得我们学习,同样“中国经验”也可以输出到国外,数字时代的安全需要大家共同来维护。