侯彬炳
“工业控制系统多应用于国家关键基础设施,一旦遭受网络攻击,会造成较为严重的损失。”近日,奇安信行业安全研究中心联合工业控制系统安全国家地方联合工程实验室(以下简称联合实验室),发布了《2021工业互联网安全发展与实践分析报告》(以下简称《报告》)。
根据《报告》的统计,2021年,Common Vulnerabilities & Exposures(CVE)、National Vulnerability Database(NVD)、中国国家信息安全漏洞共享平台(CNVD)以及国家信息安全漏洞库(CNNVD)国内外四大漏洞平台共计新收录工业系统安全漏洞636个,较2020年的804个下降了20.9 %。但新增超高危漏洞明显增加,达到16个,相较于2020年增长了166.7 %。总体而言,工业系统安全漏洞总数明显下降,但超高危漏洞一旦被攻击者利用可能造成的重大损失和严重后果,仍然不容小觑。
在与工业互联网相关的各个行业中,制造业面临的网络安全风险最大,88.7 %的新增工业系统安全漏洞会对制造业产生影响。《报告》显示,四大漏洞平台收录的工业控制系统安全漏洞多数分布在制造业、能源、水务、商业设施、石化、医疗、交通、农业、信息技术和航空等关键基础设施行业。在636个漏洞中,有564个漏洞涉及到制造业,是占比最高的行业,其次是能源行业,漏洞数量高达508个。对比2020年数据,制造业和能源行业的工业安全建设仍然是需要关注的重点。
从应急响应形势层面分析,2021年,奇安信安服团队共处置国内的网络安全事件1 097起,与工业互联网相关的安全事件90起,占比8.2 %。在这90起安全事件中,46.7 %发生在制造业。值得注意的是,勒索事件在奇安信安服团队处置的90起应急响应事件中占比最高,达到了57.6 %。而《报告》针对勒索攻击引发的工业互联网应急响应事件进行行业分析发现,制造业仍然占比最高,高达52.8 %。综合上述数据来看,勒索软件仍然是工业互联网网络安全的最大威胁,制造业则深受其害。
此外,数据安全问题也是困扰工业互联网发展的重要威胁,成为工业互联网安全建设的新痛点。《报告》的数据显示,根据应急响应事件的损失类型,直接与工业数据相关的事件占比达到了42.1 %,包括数据丢失(23.3 %)、数据损坏(11.1 %)、数据泄漏(4.4 %)、数据篡改(3.3 %)。另外,系统/网络不可用(7.8 %)和破坏性攻击(6.7 %)也会间接导致工业数据的安全问题。
《报告》分析指出,从统计数据来看,我国工业互联网安全形势依然严峻,特别是制造业的安全防护能力薄弱,安全事件高发。需要提高整个行业的安全防范意识,加强日常安全巡检制度,定期对系统配置、网络设备及安全策略进行检查,主动发现目前系统、应用存在的安全隐患,保障工业互联网的安全稳健运行。
“建立健全的工业互联网安全标准体系对网络安全建设具有重要的指导意义,也进一步推进了我国工业互联网建设落地工作。”《报告》提到,2021年,《工業互联网创新发展行动计划(2021-2023年)》《工业互联网企业网络安全分类分级管理指南(试行)》《工业互联网标识管理办法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》等相关法律法规发布。
与此同时,2021年新发布了多项与工业互联网安全相关的国家标准,包括《信息安全技术安全处理器技术要求》《信息安全技术恶意软件事件预防和处理指南》《信息安全技术工业控制系统安全防护技术要求和测试评价方法》《工业自动化和控制系统安全IACS服务提供商的安全程序要求》在内的多项国家标准发布,健全了我国工业互联网安全标准体系的建设,从而加快工业网络安全建设工作的落实。
《报告》详细列举了2021年发布的政策法规和国家标准,2021年是“十四五”开局之年,我国工业互联网创新发展新格局加速构建,政策法规和技术标准体系进一步健全完善,展现出新型工业化进程的强劲动力和壮阔前景。
2021年,工业互联网的发展延续了近几年来的趋势,正处在创新活跃期、战略窗口期和关键发展期。结合奇安信在工业互联网安全研究、建设和服务实践中掌握的漏洞、安全威胁以及应急事件等信息分析,《报告》总结了工业互联网安全发展趋势,具体包含以下3个方面。
其一,工业数据安全风险日益高涨。针对数据层面的攻击方式类型多样,端口开放、漏洞未修复、接口未认证等问题成为黑客便捷入侵的攻击点,新一代信息技术应用带来新的数据安全风险;
其二,车联网安全关注度显著增加。车联网安全风险日益凸显,车联网安全保障体系亟须健全完善,为此,奇安信成立了专注车联网安全的星舆实验室,实验室致力于新四化(智能、网联、电动和共享)汽车安全研究,漏洞挖掘,渗透测试和攻防演练等工作;
其三,5G+工业互联网安全能力亟需提升。网络开放打破了传统工业封闭的生产环境,带来了包括技术融合带来新风险、安全运营能力不足带来新风险、数据采集难度增加、供应链安全能力不足、亟需加快国产化进程在内的诸多安全挑战。
此外,《报告》还选取2021年奇安信安服团队处理过的具有代表性的工业互联网安全应急响应事件典型案例、2021工业互联网安全重大事件、2021年新公开工业互联网超高危漏洞及相关防护解决方案。
综合上述内容,可以看到《报告》从工业互联网安全态势、政策法规建设与发展、典型案例及安全发展趋势等层面,深度还原了工业互联网安全现状和发展变化趋势,为网络安全企业、工业互联网相关行业的安全建设提供了一定的参考价值。