1.2 工业控制网络安全趋势分析
工业控制领域正在发生重大的变革,德国和美国相继提出“工业4.0”“工业互联网”概念,我国也提出了“中国制造2025”战略,在两化深度融合的基础上继续进行产业结构调整和升级转型。作为工业控制网络重要的组成部分,工业控制网络安全深刻地影响着工业控制网络及相关产业的发展,具有极强的产业关联度和产业渗透能力,因此工业控制网络安全产业得到了各国的极大关注。本节将对国内工业控制网络安全趋势进行简单介绍与分析。
从国家战略方面来看,我国政府高度重视工控系统的安全性。2021年1月,中共中央办公厅、国务院办公厅印发了《建设高标准市场体系行动方案》。方案中提出强化市场基础设施建设要求;要求推动市场基础设施互联互通;持续完善综合立体交通网络;加强新一代信息技术在铁路、公路、水运、民航、邮政等领域的应用,提升综合运行效能;加大新型基础设施投资力度,推动第五代移动通信、物联网、工业互联网等通信网络基础设施,人工智能、云计算、区块链等新技术基础设施,数据中心、智能计算中心等算力基础设施建设。
2021年1月中国信通院发布了《大数据平台安全研究报告》。中国信通院在2020年发起了卓信大数据平台安全专项行动,行动中发现企业大数据平台在建设和运维方面存在一定的安全隐患。《大数据平台安全研究报告》以本次专项行动中积累的安全检测数据为基础,从平台配置安全隐患和安全漏洞的分布规律、产生原因、危害影响、修复难度等维度分析了大数据平台的安全现状。同时,详细分析了形成该安全现状的问题根源,并给出了相应的解决方案建议。最后,从监管、标准、技术研究等方面提出了大数据平台安全未来的工作方向。
2021年3月11日,十三届全国人大四次会议表决通过了《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》。纲要提出要培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业,提升通信设备、核心电子元器件、关键软件等产业水平;健全国家网络安全法律法规和制度标准,加强重要领域数据资源、重要网络和信息系统安全保障;建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力;加强网络安全风险评估和审查;加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力;加强网络安全关键技术研发,加快人工智能安全技术创新,提升网络安全产业综合竞争力;加强网络安全宣传教育和人才培养。
2021年6月10日,国家主席习近平签署了第八十四号主席令,《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过,自2021年9月1日起施行。《数据安全法》明确提出国家需要负责推进数据基础设施的建设,数据基础设施包括数据和承载数据的设施两个部分,像5G、工业互联网、大数据中心等都属于承载数据的基础设施部分。工业互联网作为我国新基建的一部分,是工业企业数字化转型的重要手段,是工业企业数据流转过程中必不可少的一个环节。《数据安全法》的出台将为各领域制定相应的配套制度、标准和规范指明方向,为工业互联网行业的健康发展提供监管和评判依据,让工业企业能够有保障地使用工业互联网平台所提供的各类数据服务。
2021年7月30日,国务院总理李克强签署中华人民共和国国务院令第745号,公布《关键信息基础设施安全保护条例》,该条例自2021年9月1日起施行,明确关键信息基础设施范围和保护工作原则与目标。《条例》明确重点行业和领域的重要网络设施、信息系统属于关键信息基础设施,国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治违法犯罪活动。保护工作应当坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
2021年8月1日《网络关键设备安全通用要求》正式实施,该标准是继GB 17859—1999《计算机信息系统安全保护等级划分准则》标准之后的又一个网络安全领域的强制性标准。标准规定了对网络关键设备的设备标识安全、备份恢复与异常监测、漏洞与恶意程序防范、预装软件启动与更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全、密码要求等功能的要求,以及设计和开发、生产和交付、运行和维护等方面的安全保障要求。标准的发布可在提升网络关键设备安全性、可控性,减少用户在使用产品中的各种风险等方面发挥重要作用。
2021年10月工业和信息化部印发《物联网基础安全标准体系建设指南(2021版)》,提出到2022年,初步建立物联网基础安全标准体系,研制重点行业标准10项以上,明确物联网终端、网关、平台等关键基础环节安全要求,满足物联网基础安全保障需要,促进物联网基础安全能力提升。到2025年,推动形成较为完善的物联网基础安全标准体系,研制行业标准30项以上,提升标准在细分行业及领域的覆盖程度,提高跨行业物联网应用安全水平,保障消费者的安全使用。
2021年11月14日,国家互联网信息办公室发布了《网络安全数据管理条例》(征求意见稿)(以下简称《条例》),共九章七十五条。《条例》在《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三部上位法的基础上制定,在实施细则、责任界定、规范要求、惩罚措施等方面更加清晰和细致,同时也增加了一些新的内容,进一步强化和落实数据处理者的主体责任,共同保护重要数据和个人信息的安全。具体包括数据分类与保护、重要数据安全、数据跨境安全、网络安全审查、个人信息保护、互联网平台监管等方面的内容。《条例》的出台进一步提升了企业和社会对数据安全的认知水平,进一步巩固了国家数据主权,体现出我国对数据安全这个大前提不动摇的战略决心。
2021年11月30日,工业和信息化部对外发布《“十四五”信息化和工业化深度融合发展规划》(以下简称《规划》)。《规划》指出,信息化和工业化深度融合是中国特色新型工业化道路的集中体现,是新发展阶段制造业数字化、网络化、智能化发展的必由之路,也是数字经济时代建设制造强国、网络强国和数字中国的扣合点。推动两化深度融合,对于加快新一代信息技术在制造业的深度融合,打造数据驱动、软件定义、平台支撑、服务增值、智能主导的现代化产业体系,推进制造强国、网络强国以及数字中国建设具有重要意义。“十四五”时期是建设制造强国、构建现代化产业体系和实现经济高质量发展的重要阶段,两化深度融合面临新的机遇和挑战。《规划》同时明确了“十四五”两化深度融合的发展目标。到2025年,信息化和工业化在更广范围、更深程度、更高水平上实现融合发展,新一代信息技术向制造业各领域加速渗透,制造业数字化转型步伐明显加快,全国两化融合发展指数达到105,企业经营管理数字化普及率达80%,数字化研发设计工具普及率达85%,关键工序数控化率达68%,工业互联网平台普及率达45%。
当前,我国关键信息基础设施面临的网络安全形势严峻且复杂。根据东北大学“谛听”网络安全团队的数据显示,全球存在大量暴露在因特网上的工业控制系统,其中占比较多的包括电力行业、石油石化行业及先进制造业,这些都与国家的发展密切相关。随着5G网络的不断普及、物联网设备的应用和工业互联网的发展,传统设备渐渐被智能化设备取代,工控设备遭受的攻击更多,工控系统安全事件频发。工控设备遭受攻击的形式越来越多样,其中,最常见的攻击方式就是利用工控系统的漏洞。PLC(Programmable Logic Controller,可编程逻辑控制器)、DCS(Distributed Control System,分布式控制系统)、SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制)乃至应用软件均被发现存在大量信息安全漏洞。许多工业控制系统厂商的产品也被发现包含各种信息安全漏洞。
越是工业发达的地区,工控系统的暴露数量越多,也就越容易成为首要攻击的目标,需引起高度重视。工业控制网络与企业办公网络的联系愈加紧密,因此逐渐从封闭转为开放系统,但其设计上对互联互通所需的通信安全缺乏考虑,因此在开放工业控制网络系统的过程中,安全隐患问题凸显。
1)暴露的摄像头。在暴露的工控设备中,工业控制SCADA系统和联网安保摄像头占据了绝大部分。其中,中国暴露的SCADA系统中占比较多的行业有水利、市政、环境保护、工业制造、电力、医疗卫生、交通、煤炭和石油化工。这些重要基础设施互相关联,构成复杂、庞大的体系,为国防安全、经济运行提供不可替代的物质和服务。而对于其中的SCADA系统来说,一旦出现攻击,造成的损失可能是无法估量的。在联网安保摄像头方面,暴露在因特网上的安保摄像头中有70%以上使用默认密码,使用默认密码的安保摄像头中50%左右用来监控工业控制系统相关设备厂房,通过这些摄像头可以清晰地看到厂房监控设备和工业生产过程。
2)勒索软件攻击频发。2021年上半年勒索软件层出不穷,导致安全领域大事件频发,全球勒索软件攻击事件逾1000起,并且攻击目标及影响程度进一步升级,其中政府实体、大型企业及关键基础设施被攻击事件骇人听闻。作为网络攻击的一种新兴模式,勒索软件除了给企业经营带来直接的数据泄露、业务瘫痪等运营威胁外,为防范安全风险,不断提高的网安预算也导致企业承担的软硬件成本压力快速提升。更为重要的是,互联网技术与企业生产经营的深度结合使得单次风险不再局限于个别企业,基础性的安全漏洞可能进一步通过供应链或工控系统直接威胁生产安全。
3)工业云平台应用导致的安全威胁。随着云计算等新兴科技的发展,不同类型企业间的关联越来越多,它们之间的业务边界已被打破,企业上云已经是大势所趋。但是,云计算应用在改变企业IT资源不集中状况的同时,数据中心内存储的大量数据信息也成了黑客的攻击目标。尽管企业上云能够带来很多便利,但云计算基础架构与业务云化之后,企业将会面临新的虚拟化安全问题、数据集中的安全问题、云平台可用性问题和云平台遭受攻击的问题,如网络恶意攻击、云资产管理混乱、系统漏洞、数据丢失、数据泄露。
4)供应链安全欠缺。数字经济时代,保障供应链安全与工控安全已成为企业生产安全的重要组成部分。工业企业在数字化转型时,不断将上下游供应链链条拉长拉通、互联互通,导致企业的受攻击面增大,尤其针对供应商、渠道商、服务商以及运维商的攻击已成为趋势,在产品开发、设计、生产、采购、交付、运行、使用、运维等各个环节频发安全事件。
由此可见,我国工控系统网络安全面临严峻的挑战,开展关键信息基础设施网络安全检查,是从涉及国计民生的关键业务入手,厘清可能影响关键业务运转的信息系统和工业控制系统,准确掌握我国关键信息基础设施的安全状况,科学评估面临的网络安全风险的一项重要工作。通过该项检查,以查促管、以查促防、以查促改、以查促建,为构建关键信息基础设施安全保障体系提供重要的基础性数据。
一批国内外厂商致力于工控系统网络安全的发展,提出了一些工控安全的解决方案:IBM的混合多云安全解决方案保留了用户的云数据加密密钥,因此在环境中拥有访问权限级别的人员无须移动数据即可连接到数据,实现数据连接自动化;360云端安全大脑核心体系本地化部署的开放式统一安全平台,通过360云端安全大脑的赋能获得超越传统态势感知的大网全局视野和高位安全能力,可以帮助客户应对在安全运营中“看不见的高级威胁”和“告警风暴”两大核心挑战,全面提高预警、检测、分析、研判、响应、评估的质量;绿盟的威胁防御解决方案NGTP可以有效地针对包括APT攻击在内的威胁进行检测和防御,并通过绿盟全球威胁情报系统(NTI)实现威胁信息的共享与实时推送,对来自终端、安全网关、操作系统的告警信息进行综合分析、可视化呈现和管控;网藤科技通过构建工控安全管理平台,实现了资产监控与管理、安全策略集中管理、安全日志管理、安全事件分析、网络拓扑管理等功能;天融信工控安全态势感知系统可以对企业工控网络进行整体安全监控与态势分析,系统通过收集网内资产、流量、日志、设备运行状态等相关的安全数据,经过处理、存储、分析后形成安全态势及告警,辅助用户了解所管辖工业控制网络安全态势并对告警进行协同处置;咏圣达的“圣瞳”工业安全智能感知平台(AIISI)以计算机视觉、机器学习和多维感知技术为核心,实现工业空间中“人、物、料”的数字孪生和实时感知,整合现有安全生产数据、平台和系统,构建企业级和行业级工业互联网安全生产监管平台;威努特自主设计开发的WISGAP安全隔离与信息交换系统集文件交换、数据库访问和同步、视频交换、组播代理、访问交换、工业控制等功能模块于一体,保障用户信息系统安全性的同时,保障了使用的便捷性。