彭怡瑶
(北京对外经贸大学)
现如今,随着科技发展的速度日益加快,信息技术在工业中的应用越来越普及,这在一定程度上为工业控制提供了极大便利的同时,也使得工业网络的信息安全面临着重重挑战[1]。由于信息技术的巨大发展及其对整个社会乃至经济发展的深刻影响,传统工业领域为了使得经营效率有所提升,逐渐开始使用更通用、更经济、更成熟的网络通信、大数据存储和处理、人工智能等先进技术[2]。当前,工业互联网的实际发展速度不断提升,随着工业场景之中对于全新技术手段的使用,工业系统以及相关设备承担着较为显著的互联网风险因素,生产设备和工业系统日益增多[3]。
工业控制系统是一个庞大而复杂的系统,同样也是一个系统不断发展的过程,大规模互连也增加了安全风险,使得攻击者可以有更多钻空子的空间和机会来攻击工业控制体系[4]。与传统网络安全相比,工业信息安全自身有着更高水平要求,实际防护开展期间困难程度维持在较高水平[5]。现如今,随着全新信息技术手段的出现致使工业化以及信息化逐渐开展了较为深入的融合,工业信息安全问题日益突出。
时代以进步驱动趋势,生活生产开展期间信息化逐渐深入渗透,群众自身生活也出现了较为显著的转变。随着现阶段信息技术的不断发展,工业应保障自身与时代发展的高度契合,反之将面临被淘汰的风险。2017年,我国指出应将实体经济与人工智能、大数据以及互联网开展全面深入的融合,象征着信息化和工业化融合有了跨阶段的新发展。随着计算机化和工业化深度融合的推进,工业控制系统(ICS)中的设计缺陷使得利用系统漏洞、远程访问盗窃和网络钓鱼成为有害攻击的重要途径。传统的安全防御产品对于当今复杂的多重安全威胁而言有了进一步提升的空间。
2018年,国家工业信息安全中心共收集评估安全漏洞432个,主要集中在关键制造、能源、水利、化工、工业控制系统、智能设备、物联网等领域。其中高危漏洞276个,中危漏洞151个,中高危漏洞所占的比重达到99%。至于漏洞类型,以缓冲区暴露的漏洞最为常见,所占的比重达到20%。排名前五位的漏洞分别是身份验证错误漏洞、权限控制漏洞、信息泄露漏洞和数据验证漏洞。基于漏洞影响领域排名前五的分别是关键制造业、能源、水务、医药与健康、食品与农业,占总数的 74%。
攻击者可以来自四面八方,并且发起攻击的渠道可以通过Internet和无线网络。使用的攻击方法也不同,例如,扫描目标使用的工业控制设备和协议,半路拦截数据包,将数据注入设备更改、更改控制器配置、操纵控制器数据、修改或删除任何文件、窃取敏感信息、欺骗操作员或强迫他们做错事等,如配置、控制数据操纵、修改或删除所有文件、窃取敏感信息、胁迫操作员做出错误或欺诈操作等,它通过恶意响应进行简单或复杂的攻击,通过恶意状态命令进行注入攻击,使用恶意功能码进行代码注入攻击和拥塞攻击等,此外,攻击中还使用了针对特定目标和应用程序的各种病毒,例如勒索病毒、木马病毒和 Stuxnet 病毒等。不仅致使公司的敏感信息被盗,更糟糕的是,它可能会使得设施的运营瘫痪并产生严重的后果。
例如,全世界众多车辆企业自身生产受到“WannaCry”病毒带来的影响,物联网设备受到“IoT_reaper”带来的严重感染,而“Industroyer”则针对电力行业内部控制系统开展了相应攻击。不同网络安全事件的出现表明,相关供给模式与方法手段愈发成熟,若安全层面出现相关事件,则电信、交通、能源等行业将面临较为显著的影响。
我国相关部门报名,全世界范围内呈现在互联网之中的工业设备以及相关控制系统数量不断提升,工业信息安全的风险点也在持续递增。根据卡巴斯基的报告,2018年上半年,越南、阿尔及利亚和摩洛哥是全球工控系统遭受网络攻击最多的三个国家。具体而言,越南承受攻击的工业控制系统具体数量占据其全部系统数量的比例数值为75.1%;阿尔及利亚承受攻击的工业控制系统具体数量占据其全部系统数量的比例数值为71.6%;摩洛哥承受攻击的工业控制系统具体数量占据其全部系统数量的比例数值为64.8%。对于我国而言,相关事件严重程度相比于2017年排名有一定程度的下降,占比为57.4%,排名第六,但占比有所上升。
此外,在国家工业信息安全中心的监管下,我国互联网可识别工业控制系统和智能设备达10000余台,其中包括全国31个省(区、市)。而广东、浙江、北京的数量位居前列,所占比重为37%。暴露的互联网系统和设备最常用于市政、能源和智能制造,其中 SCADA 软件和 Modbus设备最为常见。根据调研和评估案例统计,没有采取有效的安全措施的设备和系统在89%左右,被攻击的风险较高,对我国的工业信息安全构成很大威胁。
随着现阶段网络信息技术的不断发展,不同产业之间的关联愈发紧密。现有的网络威胁,如病毒和木马不断传播到工业控制系统中,勒索软件攻击持续增加,安全事件频繁暴露出现,安全层面实际形式极为严峻。2010年后,全世界行业信息安全事件频繁出现,对于国家自身安全带来了较为显著的负面影响,同时国家社会、经济发展起到严重阻碍。比如:
伊朗于2010年受到“震网”病毒的攻击,全国范围内受到影响的网络终端实际数量超出30000个。
2012年4月,由于源自不明网络病毒针对伊朗石油公司开展的攻击,致使一些用户数据失窃。
波兰航空公司于2015年年中受到黑客攻击,其自身地面操作系统面临较为显著的影响,系统实际停运时间超出5小时,取消了至少10个航班,最终滞留的游客数量超出1400人。
2015年年末,黑客针对乌克兰电力供应系统开展攻击,最终致使三个区域出现了数小时的停电。
2016年2月,一个代号为“沙尘暴”的黑客攻击了日本的一个主要基础设施,日本境内交通、电力、能源等众多领域网络面临显著影响。
乌克兰于2017年年中受到“Petwrap”病毒的攻击,全国电信、运输、电力等众多行业都面临着较为显著的影响。
同年之内,东欧国家受到“Bad Rabbit”病毒的攻击,所受影响范围极为广泛,实际涵盖政府机构、交通系统等,其均遭到源自网络的恶意攻击。
2017年12月,位于中东的一家能源企业自身安全仪表面临外界共计,导致其被迫停产维护。
2018年年中,由于系统漏洞的存在,导致三一重工自身泵车出现失踪状况,企业实际承担的经济损失超出10亿元。
台湾电路制造行业于2018年受到勒索病毒攻击,实际损失金额超出17.6亿元,市值缩水78亿元。
众多数字控制系统设计、构建以及运作期间均未能针对网络安全问题进行细致考虑,致使系统接入网络之后将面临较为显著安全风险,安全设计存在较为显著的风险因素。国内工业信息安全管理较为不足,实际管理机制存在一定缺失,工业互联应用速度严重落后,难以适应当前工业信息安全形势的需要。另一方面,在我国各行各业的实业公司数量较多,管理机制以及体制具备较为繁杂的内在关联。众多重点行业以及相关管理部门针对规章制度开展设计不具备较为全面、系统的法律法规作为自身基础。同时,针对部分管理较为复杂的私有或混合制企业而言,相关管理部门构建的安全管理制度未能针对社会以及企业进行合理整合与系统化管理,未能保障不同企业的实际实施。相关问题的出现对于信息安全长期稳定的发展带来了较为显著的负面影响。整体而言,相关部门、企业针对行业信息安全问题的关注程度还不够,行业信息安全管理机制有待完善,构建行之有效的工作机制和管理体系是当务之急。
工控系统最开始构建的时候自身状态较为独立封闭,但由于信息、网络技术的飞速发展以及企业所处环境的逐渐转变,工业控制系统开放程度逐渐提升,传统工业控制系统实际使用环境逐渐消失。此种现状的出现导致系统自身数据、控制、网络等不同层面风险因素愈发显现,风险也越来越显著。
工控系统的运行环境主要是内网,而局域网是内网的具体构成,普遍通过信息孤岛模式存在,所以,工业控制漏洞无法通过传统病毒防护手段进行合理解决。信息系统是传统信息防护开展期间核心目标,未能针对工控系统开展安全防护举措设计,现阶段方法手段无法实现病毒的精准消杀,同时无法保障其实际覆盖范围。但是,随着工业生产环境的不断发展与转变,传统安全方法手段已经无法保障自身效用的合理体现,同时随着时间推移,攻击方法手段也不断转变,单纯凭借物理手段针对安全风险开展规避已经无法实现。同时,工程控制系统自身实时性、实用性同样具备较高水平需求,实际运作环境也更为苛刻。所以,针对工控安全防护方法手段开展构建期间应与系统实际特点高度契合,保障系统可实现实时运作与监控,以免系统中断,从而避免诸如业务中断,工业控制。系统与主业具备紧密关联,系统自身较为复杂,同时相关协议数量众多,无法获取全面适用的安全防护方法手段,所以,应以工业控制协议自身特点为基础,通过最终目标合理制定安全防护手段。所以,传统信息安全防护手段无法针对工业信息安全进行合理有效的保障,应在相关问题解决期间针对全新理念开展合理有效的使用。
针对现阶段工控国家安全检查工作实际开展状况而言,全部受访企业之中一些企业自身信息安全理念存在较为显著的缺失,主要表现在以下几个方面。
(1)信息安全管理制度不健全,现阶段制度未能获取较为全面的落实,行业内部存在较为多样的问题因素,一定程度上使得企业的工业信息安全整个层面的良好有序发展面临着较为显著的限制。(2)相关企业信息安全层面人才极度缺失,而具备信息安全以及信息防护专业知识、背景的人员更为稀缺。此种现状不仅对信息安全理念发展以及技能进步带来影响,同时安全层面也将出现相应风险因素。当企业发生行业信息安全问题时,自身将会出现应对手段不足的不良状况。(3)宣传教育培训工作存在一定缺失,工作人员信息安全理念较为不足,实际经营开展期间无法通过相关行动实现安全风险的相应下降,未能针对安全风险开展及时的探寻。(4)很多业务系统和数据库使用弱密码,很大程度上致使黑客开展攻击的困难程度明显下降,企业也因此承担着更为显著的风险因素。
政策文件、标准指南等顶层设计是工业信息安全发展的方向指引。强化国家监督管理,对于行业内部相关制度、标准开展合理构建与不断完善。针对不同政策文件开展相应制定,合理构建系统化、完善化的行业信息安全责任追溯制度,同时针对行业发展安全指引管理体系开展持续完善,持续强化安全层面相关设计。以安全为自身核心基础,针对安全层面相关需求合理制定相应政策性文件制度,对于大数据、工业云、互联网等信息进行相应结合。对于顶层设计而言,标准体系是其达成的核心基础,基于不同层面相关需求针对标准体系设计研究开展不断强化,同时针对国家层面相关标准制度的构建进行合理促进,最终达成工业信息安全标准体系系统化、完善化的构建。
区块链技术一度成为人们热议的话题,它的出现建立了新的共识和互信机制。简而言之,区块链自身具备可编程、真实化、去中心化等特点,其本质为普遍使用的数据库与账簿。相关特点致使区块链技术手段可在工业互联网信息安全层面合理体现自身效用。
详细依然,针对交易历史开展记录的能力可对数据追踪起到合理协助。针对区块链而言,全部交易信息均被全面记录,同时可通过相关技术针对全部信息开展追溯。同时由于其自身具备分布式共享特点,在信息输入区块链之中后,便无法在整个可追溯过程中进行随意操纵,并且会留下痕迹。所以,基于区块链技术妥善合理地使用可实现工业互联网自身信息可追溯性的显著提升,进而达成企业数据防护能力的相应增强。但是,由于区块链技术自身位于发展最初阶段,仍然存在很多未解决的短板,如隐私问题、数据存储容量等。针对区块链技术开展使用期间,同时应对其导致的相关问题因素进行细致考虑,对于相关技术实际可行性与可用性进行合理增强,最终达成工业互联网信息安全妥善合理的保障。
“安全为重、责任至上”工业信息安全保障要求工业公司基于以下几个方面对其可以执行的大部分安全责任:(1)针对国家制定的相关政策文件开展全面深入的学习,公司将按照文件要求,做好行业信息安全保护工作。(2)合理构建规范化、制度化工作机制,在各个城市组织开展工控安全检查评价工作。(3)坚持企业参与和社会监督、第三方评估和政府持续监督相结合,不断推进工业产品和服务的网络安全审查任务。(4)加强行业信息安全意识培训和基本技能,推动举办行业信息安全意识培训、赛事实践、技能大赛等活动,使得行业信息安全责任制全面实施到位,切实保障行业意识和责任感的加强。(5)加强人才培养,对于工业领域人力资源的加以重视,填补工业互联网人才缺口。由专家对其进行统一管控,杜绝在操作过程中出现不当行为造成安全隐患。
相对于大数据和工业互联网,工业信息安全的重要性与日俱增。为保障工业互联网的设计,解决日益深化的信息安全问题,工业企业首先要具备安全意识,建立和积累相应的知识和技能,并以国际和国家标准为遵循原则,为工业互联网建立纵深防御体系。在全生命周期框架内针对工业企业人员、资产、环境和生产活动的信息安全予以防护,进一步开创工业信息安全新格局,为制造业人才和网络力量建设贡献一份保障力量。