我国工业信息安全态势分析与思考

董良遇，赵 冉

(国家工业信息安全发展研究中心，北京 100040)

0 引言

随着制造业从自动化阶段向网络化阶段的加速迈进，基于工业互联网的智能制造已成为工业领域的发展趋势。在此背景下，工业领域的“神经中枢”[1]——工业控制系统也打破了“信息孤岛”的局面，工控网络与企业网一体化程度不断加深，不同网络的互联互通使传统信息安全威胁不断向工业控制系统渗透，而传统的信息安全防护方式又难以有效保障工业控制系统信息安全[2]。

总体上看，全球范围内工业企业面临的工业信息安全总体风险持续攀升。相比于其他国家，我国工业企业安全防护水平普遍较低，难以抵御大规模、有组织的网络安全攻击。而工业互联网、工业大数据、工业云等新兴技术的发展和应用，打通了工业企业内外部各系统之间的信息壁垒，在数据采集、分析处理和存储等环节引入了更多新的风险来源，风险成因更加复杂、多变，造成的安全事件后果更加深远，工业领域的安全形势变得更加严峻。

1 全球工业信息安全总体风险突出

1.1 联网工控设备数量快速增加

随着网络空间与现实物理空间逐步深度融合，网络安全问题对现实社会的影响日益严峻。越来越多的工业控制系统及设备被直接或间接地连入互联网，致使安全风险加剧。根据搜索引擎shodan的监测统计数据发现，截至2018年12月，全球范围内暴露在互联网上的工业控制系统及设备数量已超4万个[3]。国际主流品牌的大量应用于工业制造、能源、市政等重要领域的工业控制系统及设备被暴露在互联网上，信息安全风险已严重威胁到现实物理世界的安全。

1.2 工业信息安全漏洞威胁严重

越来越多的工业控制系统安全漏洞被挖掘出来，黑客攻击难度和成本快速下降，安全威胁不断增加。据统计，工业控制系统漏洞数量自2010年以来总体呈上升趋势(如图1所示)[4]。从2015年起，漏洞数量始终处于高位水平状态，由此带来的安全风险日益凸显。

图1 工业控制系统历年漏洞数量统计

这些漏洞广泛分布于能源、市政、交通、医疗等关乎国计民生的关键信息基础设施领域，且存在相当比例的高危漏洞。据统计，仅2017年全年监测跟踪的漏洞300余个，高危漏洞占比约60%。其中，权限管理漏洞、身份认证漏洞、资源管理漏洞最为常见。工业信息安全漏洞的数量正逐年增高，但其修复工作进度迟缓，无法满足企业及时安装和更新补丁的需求。

1.3 工业信息安全事件层出不穷

自2010年震网(“Stuxnet”)病毒事件发生以来，工控安全事件的发生频率越来越高，随着工业信息安全漏洞数量的不断增多，这种趋势更为明显。勒索软件、分布式拒绝服务攻击、恶意程序等已经成为威胁工业信息安全的罪魁祸首。乌克兰电力系统被植入黑暗力量恶意软件[5]、美国大面积遭受DDoS攻击事件[6]、“WannaCry”勒索软件席卷全球、印度电力系统遭受千万卢布勒索等事件充分表明，来自网络空间的恶意攻击正在逐步瓦解现实物理世界的安全边界，经济利益、社会稳定、甚至国家层面的安全都受到了严重威胁。据统计，自2015年以来，全球每年重大安全事件平均发生数量接近300起(如图2所示)，关键制造、通信、能源、市政、供水等均为安全事件高发领域。

图2 美国ICS-CERT历年安全事件报告数量

2 我国工业信息安全形势更加严峻

2.1 安全意识薄弱，安全管理问题突出

目前我国工业领域存在相当数量的安全管理问题，各地区、各部门、各工业企业对工业信息安全重视程度不够，大量工业企业管理者对网络安全认识不到位，重发展轻安全，安全管理无法落实，安全投入严重不足，安全从业人员匮乏，导致企业存在诸多安全隐患，威胁着工业生产安全和社会正常运转。

据了解，我国工业企业安全管理问题突出的主要原因，是由于工业领域整体对信息安全建设不够重视，工业企业大多对网络安全事件存侥幸心理，导致企业从上至下对工业信息安全工作消极、怠慢，主要体现在以下几点。

(1)企业管理者没有制定完善的网络安全管理制度，没有将安全责任落实具体，致使企业出现工业信息安全管理混乱、工业信息安全责任不明晰、生产数据等敏感信息外泄等问题。

(2)企业安全从业人员缺乏系统的、专业的网络安全知识和技能，一旦企业出现安全问题无法及时采取措施应对。

(3)企业员工没有受到良好的信息安全教育、培训，无法对信息安全责任和义务认识清楚，不仅无法积极帮助企业发现和避免安全风险，甚至存在U盘、WiFi、手机的违规使用，或系统源代码等敏感信息在开源平台泄露公开等现象，致使企业的安全风险加剧。

2.2 工控系统安全防护水平相对落后

根据我国近年来的工业信息安全相关检查工作统计发现，多数企业缺乏针对工业控制系统的有效防护措施，我国工业企业整体防护水平相对落后，工业现场存在大量安全问题亟待解决。例如：工业主机安全管理和防护不到位、工业控制系统网络边界防护措施不足、工业控制系统未建立安全配置、工业控制系统未使用身份认证、部分无效服务默认开启等。

特别是在网络边界防护方面，根据全国重点领域网络安全检查工作统计，近50%的工业控制系统与企业内部网络连接，并且存在无线接入的方式，更有超过六分之一的工业控制系统与互联网连接。例如某钢铁行业公司的生产系统、办公系统、互联网系统相互关联，不同系统间可相互访问，网络纵深防护能力不强，攻击者一旦突破互联网边界，可轻易破坏生产系统。据统计，我国直接接入互联网的工业控制系统数量约3 000余个，且数量在不断上升。缺乏加密、认证等安全措施的工业控制系统，一旦暴露在互联网上，很容易成为攻击者的重点攻击目标。并且有近5%的工业控制系统面向互联网开通了不必要的通用网络服务，存在黑客直接从互联网端渗透进入的风险。若企业内部未及时部署横向隔离防护措施，则存在被恶意软件大规模感染的风险，或被恶意攻击者全盘接管内网的风险。

2.3 核心技术产品自主安全程度偏低

根据各省抽样调查发现，我国约有74%的可编程逻辑控制器(PLC)、71%的数据采集与监控系统(SCADA)以及60%的分布式控制系统(DCS)均为国外品牌，部分企业核心工业控制系统的运行维护等严重依赖国外厂商，国产工业控制系统内置操作系统和控制芯片基本被国外产品垄断，无法全面探查其是否存在漏洞、后门。同时，调研各企业及厂商发现，国外厂商对设备存在的漏洞、后门等风险隐患整改率较低，补丁研发周期较长，“依赖于人、受制于人”的局面尚未得到根本改变，风险难以掌握。

此外，我国工业控制基础软件发展滞后，核心竞争力差，成为提升工控领域自主安全水平的关键症结。我国工业控制基础软件仍然较大程度地依赖从国外引进，尤其是部分涉及国家关键基础设施建设的重要行业，核心技术仍然受制于国外公司，企业自主创新能力仍然不强，如精密采集、精准时钟、智能算法、故障定位、中断调度等。国外品牌占据国内结构化数据库70%以上的市场份额，达梦、神舟、人大金仓等国产数据库仅占据7%的低端市场份额；在非结构化数据库市场，国外品牌占据了一半以上市场份额。部分国产工业控制基础软件仍然缺乏基础编码、软件开发、接口集成、运行维护等接口的标准与规范，导致软件的可扩展性、可配置性、可重构性和互操作性较差，应用效果不佳。

2.4 新技术的发展和应用带来新的安全风险

工业互联网、大数据、云计算等新技术在工业领域的逐步深入应用，新型网络攻击手段的不断出现，导致工业网络与互联网的界限越来越模糊，使传统信息安全防护方式和管理方法无法有效保障当前企业工业信息安全能力，难以抵御大规模、有组织的网络安全威胁，安全风险更加复杂化和多源化。一是风险来源更加多样，新技术的应用打通了工业企业内外部各系统之间的壁垒，在数据采集、分析处理和存储等环节引入了更多新的风险来源；二是风险成因更加复杂，外部威胁、内部泄露、安全漏洞、管理不当等都可能成为造成网络安全事件的因素；三是安全事件造成的后果更加重大深远，新技术的应用使得数据集中化处理和存储、系统互联互通成为必要前提，一旦发生数据泄露、网络攻击等安全事件，造成的后果将更加严重。

与此同时，工业互联网、智能制造等概念给我国工业领域带来巨大发展机遇，也带来前所未有的挑战。据不完全统计，我国搭建的部分工控蜜罐近三年遭受了大量国内外黑客组织的攻击，由于工业互联网实现了全系统、全产业、全生命周期的互联互通，工业大数据和工业云平台实现了系统的远程应用和数据交互，使“智慧”系统特别是智慧工厂、智慧城市等关键信息基础设施成为重点目标。

3 未来工业信息安全发展趋势

3.1 工控系统日益成为网络威胁的重要目标

当前网络威胁日益严重，恐怖主义活动和社会不稳定因素不断增加，未来工业控制系统将进一步成为网络威胁的重要目标以及黑客组织实施攻击破坏的重点对象，防护压力空前增大。如维基解密曝光的一系列CIA机密文档[7]、美国NSA网络武器“永恒之蓝”的勒索蠕虫WannaCry爆发[8]等。据网络安全公司卡巴斯基实验室报告数据显示，仅2017年上半年就发现约18 000种针对工业控制系统的恶意软件。这些网络武器的曝光和传播显著降低了对工业信息领域的攻击门槛。

3.2 针对工业控制领域的攻击将愈发普遍

当前勒索软件威胁已经形成比较完整的地下黑色产业链，不法分子在商业利益驱使下，将勒索软件与最新网络武器相结合，给全球工业系统带来了严重威胁，也给世人敲响了警钟。在匿名网络“暗网”和虚拟货币“比特币”的加持下，勒索软件黑色产业链逐渐成熟，威胁将持续发酵。除此之外，定向攻击、僵尸网络等攻击方式也愈发常见，且造成的后果也愈加严重。虽然目前针对工业控制系统的攻击还不多见，但工业控制系统关乎国计民生，关键业务数据具备极高价值，可以预见，针对工业领域的勒索软件、定向攻击和僵尸网络将愈发普遍。

3.3 企业信息安全投入加大带来发展机遇

当前工业信息安全已愈发受到政府与产业界的关注，各行业针对工业信息安全防护的资金投入不断加大，预计未来将在政策引导和激励下将加速发展。2017年11月国务院发布的《关于深化“互联网+先进制造业”发展工业互联网的指导意见》，明确提出要打造与我国经济发展相适应的工业互联网生态体系的总体目标[9]。未来，随着工业信息安全产业发展环境的不断优化、发展规模的继续稳步提升、相关厂商和服务商在工业信息安全领域业务的积极开拓，我国工业信息安全产业发展将持续向好。

4 工业信息安全建议和意见

“网络安全和信息化是一体之两翼、驱动之双轮”、“网络安全与信息化发展并重”，面对当前工业信息安全的严峻形势，必须正确审视安全的重要位置，处理好安全与发展的关系。为进一步提高对工业信息安全的重视，特建议如下：

(1)加强政策引导力度，提升工业企业安全防护意识。

我国高度重视工业信息安全工作，近年来已出台了多个相关法律和政策文件。但在构建工业信息安全技术体系、突破关键核心产品、培养骨干企业、优化产业生态环境等方面，相关指导性文件尚未将网络安全责任逐级分解、按责规划，致使基层部门和地方企业没有将工业信息安全真正重视起来。因此，建议加强工业互联网安全、工业云安全、工业大数据安全等新兴领域的政策制定，从顶层设计、安全要求、产业发展等方面建立新兴领域安全管理政策体系，规范和指导新技术新应用，实现安全发展。加强政策宣贯、技术指导、人才培养等，强化工业企业安全意识，提升工业企业安全防护水平。

(2)强调工业信息安全独立性，落实企业安全保障职责。

“没有网络安全，就没有国家安全”，特别在工业企业等涉及国家安全、国计民生、社会安定的重点行业领域，必须落实好工业信息安全责任义务。因此，建议在涉及工业互联网、智能制造、智慧城市、关键信息基础设施等项目的规划、建设、运营过程中，要联合具备相关工业信息安全资质的单位共同推进网络安全建设，并与项目建设同步部署、同步规划、同步实施；在工业企业正常生产运营过程中，应通过工业控制系统信息安全防护能力评估、信息安全等级保护测评等手段，加强地方工业企业网络安全部署和责任规划，并鼓励企业将网络安全和信息化分别由不同责任主体承担，细化企业安全保障职责，强化网络安全事件独立处理能力，提升网络安全保障能力。

(3)攻关核心技术与产品研发，提升工业信息安全可控能力。

为了应对当前我国关键技术、核心芯片、精密算法、重要产品严重依赖国外进口，自主安全能力较弱的现状，建议瞄准工业信息安全基础技术、共性关键技术和前沿技术，研究制定新一代信息技术在工业领域应用的安全架构，着力构建安全可控的工业信息安全产品、技术体系，尽快突破一批工业信息安全关键核心技术，进行创新成果转化，重点发展一批高端产品，形成具有市场竞争力的产品体系，提升我国在关键核心技术产品方面的国际竞争力。同时，加大工业信息安全人才队伍的培养与建设，引导科研院所及高校开展具备主动安全防护功能的工业控制系统产品研发，布局工业互联网、工业云、工业大数据等新兴技术应用市场，推动市场化机制的建立，全方位推动我国工业信息安全相关产业尽快步入健康发展的快车道。

5 结论

随着近年来我国在工业信息安全方面做出的不懈努力，我国的工业信息安全防护体系已基本建立，整体来说，安全综合防护能力显著提升。但面对如此复杂多变的工业信息安全形势，机遇与挑战并存，我国亟需在稳固工业信息安全的基础上，努力建设适应我国国情和现实需求的工业信息安全防护体系和市场应用框架，通过“政、产、学、研、用”各界通力合作、共同面对，使我国真正成为一个现代化的“工业强国”，使“中国制造”真正成为世界瞩目的品牌。