◆刘泳锐
山西省工业互联网安全威胁分析及应对措施
◆刘泳锐
(国家计算机网络与信息安全管理中心 山西 030002)
近年来,随着国家对工业互联网发展支持力度的不断加大,工业互联网建设正在深度实施。工业互联网能有效推动产业数字化,带动数字产业化,助力山西省转型升级发展。当前山西省工业互联网发展面临一定的威胁和挑战,通过总结监测发现的问题,对共性情况进行分析说明,并提出安全防护建议,为促进山西省工业互联网安全稳定发展提供参考。
工业互联网;新基建;网络安全
自2017年国务院发布《关于深化“互联网+先进制造业”发展工业互联网的指导意见》以来,关于工业互联网的政策密集出台,从2018年“发展工业互联网平台”首次写入政府工作报告,到2019年政府工作报告明确提出“打造工业互联网平台,拓展‘智能﹢’为制造业转型升级赋能”,再到2020年“发展工业互联网,推进智能制造”,进入2021年,“工业互联网”第四次写入政府工作报告,2021年1月13日工信部发布《工业互联网创新发展行动计划(2021-2023年)》,提出了五方面、11项重点行动和10大重点工程,充分显示出国家对工业互联网助力制造业高质量发展的重视程度[1-4]。
2018年8月,山西省人民政府印发了《山西省人民政府关于深化“互联网+先进制造业”发展工业互联网的实施意见》,山西省正处在智能制造加速发展,产业转型升级的关键时期,迫切需要加强工业互联网安全防护能力建设[5]。2021年3月,山西省通信管理局、山西省工业和信息化厅联合印发《关于试行开展山西省工业互联网企业网络安全分级分类管理工作的通知》,通过试行开展工业互联网企业网络安全分类分级管理工作,进一步完善分类分级规则标准、定级流程,提升工业互联网安全防护能力。构造线上线下全面安全体系,打造本地工业控制系统安全保障体系,提升省内工业安全可控水平。
根据《山西互联网网络安全报告(2020)》数据,对暴露在互联网上的核心联网工控设备、联网智能监控设备情况进行分析,发现其分布情况。并对山西省煤炭行业的联网资产网络安全情况进行梳理,分析联网设备类型和Web系统安全漏洞威胁情况[6]。
对山西省联网核心工控设备常用通信协议及端口(例如S7comm、Modbus、BACnet、Fox等)进行识别分析,共发现山西省联网核心工控设备36例,其中忻州和长治联网核心工控设备最多。资产统计分析如图1所示。
图1 山西省联网核心工控设备按地域分布情况
通过探测分析,发现山西省联网智能监控设备24963例,按地市统计,排在前三位的地市分别是太原、长治、吕梁,如图2所示。
图2 山西省智能监控设备按地市分布统计
针对山西省煤炭行业的联网资产网络安全情况进行分析,发现排名前三的联网设备分别是数据安全设备、路由器、交换机,具体情况如图3所示。其中摄像头等物联网设备部署在生产和办公的网络环境中,一旦受控,将使工业控制系统面临“一点突破、全网皆失”的风险。
图3 设备类型统计图
对Web系统漏洞危险等级状况进行分析,发现51个系统存在329个安全漏洞,其中高危漏洞32个、中危漏洞134个、低危漏洞163个,漏洞危险等级情况如图4所示。
图4 WEB系统漏洞等级占比图
工业互联网相关单位基本建立健全了网络安全管理体制机制,成立了网络安全领导小组,明确了安全责任部门和人员,并制定了网络安全相关管理制度,但网络安全管理落实程度参差不齐。部分企业日常网络安全工作未有效开展,应急处置和网络威胁监测发现、应急处置机制较为简单。
在企业内部管理方面,企业网络信息安全部门往往担心承担影响企业生产效率的责任,而未按规定设置相应级别的安全策略,导致安全管理制度和实际安全防护工作“两张皮”。企业网络安全意识淡薄,普遍更加注重生产安全,工业互联网安全建设未得到重视,认为网络安全建设投入大,效果不明显,难以给企业带来收益。缺乏配套资金支持,未及时部署安全措施,未形成系统建设、网络监测预警、运维防护、应急响应、有效处置等网络安全管理机制。
大多数工业企业网络安全专职技术人员缺乏,专业技术水平不高,网络安全部门的技术人员数量不足,对于网络安全专业知识掌握不够,分析和解决工业网络安全问题能力较弱。一些企业虽配有网络安全防护产品,但缺乏配置管理和技术应用能力,存在购买了安全设备就能确保网络安全的思想。
工业互联网企业应明确工业互联网安全责任部门和责任人,按照《网络安全法》的相关要求,落实网络安全防护、关键信息基础设施保护、用户信息保护和数据安全等网络安全防护管理,主动开展自主定级、安全建设、风险评估、安全整改和应急保障等工作,加大安全投入,部署有效安全技术防护手段,落实安全防护标准,有效应对网络安全风险,保障工业互联网安全稳定运行,确保企业主体责任落实到位。
积极探索工业互联网设备、控制、网络(含标识解析系统)、平台、数据等重点领域安全标准在山西的落地工作。坚持以工业互联网安全防护为导向,推动标准的有效实施,形成比较系统的安全管理和技术标准规范体系。
企业需要增强网络安全意识,强化网络安全管理体制机制和技术手段建设,在网络安全设备、控制、网络、平台、数据安全等方面加强自身安全防护能力建设,切实做好日常网络安全防护工作,强化网络安全教育培训,提升工业互联网本质安全。
在工业互联网信息系统生命周期中,网络与信息安全要实现“同步规划”、“同步建设”、“同步使用”。只有落实“三同步”,在项目规划、建设阶段中强化落实安全要求,才能避免在后期的运营/使用阶段进行安全整改导致的业务风险大、改造难度大、投入成本高、耗时、耗力等问题,有效形成信息系统的安全防护能力,为做好后续运维工作打下基础。
要强化针对工业APP及工业智能终端设备的定向防护措施,要建立基于工业行业APP安全开发基线和监测评估体系,让安全防护工作贯穿工业APP的全生命周期。同时在工业APP上线前对其进行安全评估和检测,针对平台分层部署安全防护措施;在APP上线后,建立风险评估、安全审计等机制,保障工业互联网安全稳定运行。
加强工业互联网数据安全生命周期管理和防护,包括数据收集、传输、存储、处理等全生命周期的各个环节,在数据用途、数据加密、访问控制、业务隔离、接入认证、数据脱敏等方面加强防护措施,建立工业互联网全产业链数据安全管理体系,加强工业互联网重要数据安全监测和管理,完善重大工业互联网数据泄露事件触发响应机制。
加强对新技术在工业互联网领域的应用场景分析、安全风险分析。加强对物联网安全监测能力建设,统筹考虑物联网(含车联网)与工业互联网在资产发现、安全监测、处置等方面的融合分析,强化工业互联网安全核心技术研究和应用,推进工业互联网安全健康发展。
发展工业互联网已成为制造企业转型升级的必然选择,同时也是数字经济发展的重要部分。随着大量工业设备泛在互联,工业互联网安全隐患日益凸显。本文通过对发现的山西省工业互联网安全情况进行梳理,分析面临的共性问题,有针对性地提出了安全防护建议,为加快推进山西省工业互联网安全技术应用研究和保障能力建设提供参考。
[1]工业互联网专项工作组. 关于印发《工业互联网创新发展行动计划(2021-2023年)》的通知[EB/OL]. http://www.gov.cn/zhengce/zhengceku/2021-01/13/content_5579519.htm.
[2]国家工业信息安全发展研究中心.2020年工业互联网安全态势报告[R].2021.
[3]姚羽.“谛听”工控网络空间:进展与思考[J].网信军民融合,2017(04):35-37.
[4]牛建伟.工业互联网:基础创新研究和关键技术亟待突破[J].网络安全和信息化,2020(12):22-24.
[5]山西省人民政府办公厅. 山西省人民政府关于深化“互联网+先进制造业”发展工业互联网的实施意见[EB/OL].http://www.shanxi.gov.cn/sxszfxxgk/sxsrmzfzcbm/sxszfbgt/flfg_7203/szfgfxwj_7205/201808/t20180830_473656.shtml.
[6]国家计算机网络与信息安全管理中心山西分中心.山西互联网网络安全报告(2020)[R].2020.
国家242信息安全计划基金项目(2018A119)