95%工業(yè)控制系統有漏洞 面臨巨大安全風(fēng)險

　　全球近年來(lái)發(fā)生多起重大工業(yè)信息安全事件。一些組織或個(gè)人通過(guò)對工業(yè)設施和工業(yè)系統進(jìn)行網(wǎng)絡(luò )攻擊，謀求達成政治訴求或經(jīng)濟訴求。

（圖片來(lái)源：互聯(lián)網(wǎng)）

　　目前，我國絕大多數工業(yè)控制系統在沒(méi)有防護措施的情況下暴露于互聯(lián)網(wǎng)，且含有系統漏洞，能夠輕易被遠程操控，面臨巨大安全風(fēng)險。

　　95%工業(yè)控制系統含漏洞易受控

　　記者從國家工業(yè)信息安全發(fā)展研究中心了解到，目前該中心監測到的我國3000余個(gè)暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統，95%以上有漏洞，可以輕易被遠程控制，約20%的重要工控系統可被遠程入侵并完全接管。

　　過(guò)去，我國絕大多數工業(yè)系統是封閉系統，也稱(chēng)單機系統，不用考慮聯(lián)網(wǎng)情況，現在隨著(zhù)工業(yè)“互聯(lián)網(wǎng)+”的推進(jìn)，IT和OT（操作技術(shù)）實(shí)現互聯(lián)，必然導致一批系統和設施暴露。

　　“很多系統和設備沒(méi)有防護軟件，也不能安裝殺毒系統，一旦上了網(wǎng)就處于‘裸奔’狀態(tài)。”一位業(yè)內人士告訴記者，通信、能源、水利、電力等關(guān)鍵基礎設施存在安全風(fēng)險，而入侵和控制工控系統也已成為商業(yè)上打壓競爭對手的不法手段。

　　在蘇浙就有消費品加工廠(chǎng)被國外競爭廠(chǎng)家入侵網(wǎng)絡(luò )，破壞設備運行，造成生產(chǎn)斷檔。

　　從全球發(fā)展趨勢來(lái)看，工業(yè)控制系統日益成為黑客攻擊和網(wǎng)絡(luò )戰的重點(diǎn)目標。

　　近年全球重大工業(yè)信息安全事件頻發(fā)：2010年伊朗核設施遭受“震網(wǎng)病毒”攻擊；2016年美國東海岸大面積斷網(wǎng)；2017年“Wanna Cry”勒索病毒肆虐全球……全球工業(yè)網(wǎng)絡(luò )安全總體風(fēng)險持續攀升，呈現高危態(tài)勢。

　　定向攻擊精準性提升迅速。大量工控系統漏洞、攻擊方法可以通過(guò)互聯(lián)網(wǎng)等多種公開(kāi)、半公開(kāi)渠道獲取，許多技術(shù)分析報告給出了網(wǎng)絡(luò )攻擊步驟、攻擊代碼甚至攻擊工具等詳細信息，極易被黑客等不法分子利用。

　　技術(shù)手段復雜化、專(zhuān)業(yè)化。針對工控系統的攻擊已從原來(lái)一個(gè)代碼攻擊一兩種漏洞，進(jìn)化成一個(gè)代碼嵌入數十種底層系統漏洞，絕非一個(gè)業(yè)余愛(ài)好者能夠實(shí)現。

　　美國網(wǎng)絡(luò )武器庫遭泄埋下重大隱患。維基解密、影子經(jīng)紀人等黑客組織公開(kāi)披露了大批網(wǎng)絡(luò )攻擊工具和安全漏洞，可被用于入侵感染工控系統，引發(fā)高頻次、大規模的網(wǎng)絡(luò )攻擊。

　　例如震驚全球的“Wanna Cry”勒索病毒就利用了影子經(jīng)紀人披露的美國國安局“永恒之藍”漏洞進(jìn)行傳播。在一次網(wǎng)絡(luò )攻擊中，中石油等眾多中國工業(yè)企業(yè)中招。

　　意識薄弱、技術(shù)不足、人才匱乏加劇風(fēng)險

　　目前，我國在工業(yè)信息安全方面存在安全防護意識薄弱、技術(shù)水平偏低、人才匱乏等問(wèn)題，形勢較為嚴峻。

　　多地區、部門(mén)、工業(yè)企業(yè)對工控系統信息安全重視不夠，重發(fā)展輕安全，漏洞不重視、修復不及時(shí)現象普遍存在。

　　據360補天漏洞響應平臺統計，所有工控信息系統漏洞中，25.6%的漏洞未進(jìn)行修復，一些行業(yè)漏洞平均修復時(shí)間長(cháng)達數月之久。

　　我國對工業(yè)信息領(lǐng)域安全的認識還處在初級階段。2017年5月“Wanna Cry”勒索病毒事件爆發(fā)，微軟在當年3月就發(fā)布了相應安全漏洞補丁，但我國很多單位一直沒(méi)有打補丁，導致近30萬(wàn)臺主機和電腦被感染。

　　直到目前，360公司還能監測到每天有近千臺電腦感染此勒索病毒。

　　在企業(yè)中，因私人行為暴露并感染病毒的情況也較為多見(jiàn)，例如個(gè)人通過(guò)工控設備違規上網(wǎng)，或是廠(chǎng)商的維護人員電腦感染后造成設備系統全網(wǎng)感染病毒等。

　　部分工控系統依賴(lài)進(jìn)口，核心產(chǎn)品自主可控度低。

　　國家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟發(fā)布的《2017年工業(yè)信息安全態(tài)勢白皮書(shū)》顯示，國產(chǎn)數據庫僅占據7%的低端市場(chǎng)，數千個(gè)工控系統由外國廠(chǎng)商提供運行維護，大量企業(yè)不具備自主維護能力，同時(shí)缺乏對外國產(chǎn)品和服務(wù)的監管。

　　記者了解到，設備廠(chǎng)商的維保人員對工控系統控制權非常大，在部分企業(yè)，工控系統控制室的門(mén)禁卡甚至都掌握在外方手中。

　　防護技術(shù)較為落后，人才匱乏，難以與網(wǎng)絡(luò )攻擊相抗衡。國家工業(yè)信息安全發(fā)展研究中心通過(guò)安全監測發(fā)現，工業(yè)企業(yè)信息安全應急備災手段不足，約70%的被調查工業(yè)企業(yè)缺少完善應災備災體系。

　　公共信息安全人才是自動(dòng)化和網(wǎng)絡(luò )安全人才的復合型人才，缺口巨大，在高校中沒(méi)有工業(yè)控制領(lǐng)域的碩士、博士培養方向，工業(yè)信息安全從業(yè)人員幾乎都是在實(shí)戰中學(xué)習。

　　如何擰緊工業(yè)網(wǎng)絡(luò )“安全閥”

　　針對工業(yè)安全領(lǐng)域復雜多變的挑戰，須從政策制度、技術(shù)產(chǎn)品研發(fā)、人才培養等方面著(zhù)力，進(jìn)一步開(kāi)展工業(yè)互聯(lián)網(wǎng)安全建設，構建安全保障體系。

　　強化網(wǎng)絡(luò )安全漏洞管理，降低被攻擊風(fēng)險。

　　360集團董事長(cháng)兼CEO周鴻祎認為，應建立漏洞管理全流程監督處罰制度，制定覆蓋網(wǎng)絡(luò )安全漏洞的發(fā)現、審核、披露、通報、修復、追責等全流程管理細則，強制要求漏洞必須及時(shí)修復，對漏洞修復時(shí)間以及違規處罰措施予以明確規定。

　　此外，應建立監督檢查機制和力量，及時(shí)發(fā)現未及時(shí)修復漏洞的行為，追究相關(guān)單位和責任人責任。

　　研究制定新一代信息技術(shù)在工業(yè)領(lǐng)域應用的安全架構，盡快突破一批工業(yè)信息安全關(guān)鍵核心技術(shù)，重點(diǎn)發(fā)展一批高端產(chǎn)品，形成具有市場(chǎng)競爭力的產(chǎn)品體系。

　　我國現有工業(yè)信息安全產(chǎn)業(yè)（包括產(chǎn)品、技術(shù)、服務(wù)等）占整個(gè)IT行業(yè)的比重不足2%，遠低于歐美發(fā)達國家近10%的水平。只有做強自主可控的工控系統相關(guān)行業(yè)，才能夠在安全問(wèn)題上有話(huà)語(yǔ)權。

　　支持相關(guān)教育培訓機構，開(kāi)展網(wǎng)絡(luò )安全學(xué)科聯(lián)合建設，將網(wǎng)絡(luò )安全納入職業(yè)技能鑒定體系，培養一支門(mén)類(lèi)齊全、技術(shù)精湛的專(zhuān)業(yè)人才隊伍。

　　網(wǎng)絡(luò )安全的本質(zhì)在攻防兩端能力的較量。在我國巨大的網(wǎng)絡(luò )安全人才缺口中，90%以上是防御型人才。

　　與進(jìn)攻型、研究型人才不同，防御型人才可以通過(guò)職業(yè)培訓形式大批量培養，依靠社會(huì )力量開(kāi)展職業(yè)教育，可以在短期內彌補網(wǎng)絡(luò )安全人才缺口。

　　轉自：半月談
 

　　【版權及免責聲明】凡本網(wǎng)所屬版權作品，轉載時(shí)須獲得授權并注明來(lái)源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”，違者本網(wǎng)將保留追究其相關(guān)法律責任的權力。凡轉載文章及企業(yè)宣傳資訊，僅代表作者個(gè)人觀(guān)點(diǎn)，不代表本網(wǎng)觀(guān)點(diǎn)和立場(chǎng)。版權事宜請聯(lián)系：010-65363056。

延伸閱讀