工業“激進”轉型，安全“紅線”大考

如今，工業互聯網已進入發展快車道，但安全問題卻給工業互聯網原本晴朗的天空蒙上了一層烏云。 

上個月，美國最大成品油管道運營商Colonial Pipeline因一次勒索軟件攻擊，致使燃油管道系統被迫關閉，并且讓美國17個州及華盛頓特區一度進入緊急狀態，被迫支付440萬美元的贖金以恢復系統正常；

日本相機大廠富士膠片遭勒索軟件攻擊，使部分系統受到影響。有些據點的所有通信，包括電子郵件和經由網絡系統打入的電話都受到了不同程度的影響... 

而國內，許多企業也受到了不同程度的安全威脅。

轟動一時的三一重工泵車失蹤案，因無法傳遞設備工況數據與正常鎖機，導致三一重工技術研發和售后服務大受影響，更有大量客戶惡意拖欠該公司貨款，失聯泵車價值高達10億元；

臺積電三大制造廠區因電腦大規模勒索病毒現象，造成約17.6億元的營收損失... 

在華為安全架構師王雨晨看來，無論國內企業還是國外企業，勒索軟件，蠕蟲，挖礦、APT等是最主要的高級安全攻擊且是威脅最大的。其中，勒索軟件是目前最常見的安全威脅手段。 

顯然，工業互聯網安全問題已成為工業企業發展過程中必要的考慮因素。 

安全或成工業互聯網最大“絆腳石” 

網絡是基礎，安全是保障，平臺是核心。 

工業互聯網是新一代信息通信技術與制造業深度融合所形成的新興業態與新模式。 

自2018年，工業互聯網被首次寫入政府工作報告，到2020年被劃定為新基建的重要組成部分，經過三年時間，工業互聯網已進入發展快車道。據賽迪顧問數據顯示，2020年，中國工業互聯網市場規模總量達到6712.7億元，同比增長10.4%。 

新技術帶來新機遇的同時，往往也會帶來新問題。由于工業互聯網中各種設備互聯，設備種類多，漏洞后門資源多，攻擊路徑多，攻擊性強，所以新問題主要聚焦在安全方面。

這與工業互聯網與生俱來的特性相關，在浪潮工業互聯網副總經理宋志剛看來，工業互聯網先天具有的專業性、復雜性和技術起點高的特點，以及開放性和異構性的特性，加劇了其面臨的安全風險。

圖源：《2020年工業信息安全態勢報告》 

在工業互聯網專有特點的基礎上，百度相關負責人認為，工業互聯網安全威脅事件頻發是由于云計算、人工智能、大數據等技術仍處于不斷創新和高速迭代階段，工業互聯網仍處于摸索階段，諸如工業互聯網安全等許多難題有待進一步攻克。 

目前，工業領域的網絡攻擊事件、工業設備、系統安全漏洞數量呈現逐年遞增之勢。

據《2020年工業信息安全態勢報告》顯示，工業領域因運營成本大、數據價值達、社會影響廣成為了首要攻擊目標，僅2020年工業相關勒索軟件攻擊事件就有33起，遠超2017年至2019年兩年的總合。 

除去工業互聯網專有特性和發展速度來看，華為安全架構師王雨晨認為，工業互聯網安全和傳統IT安全的差異也是安全威脅事件頻發的重要原因。 

• 首先，補丁、殺毒軟件等侵入式安全技術不可實施，終端安全不可接受，漏洞處于開放狀態；

• 其次，互聯網是統一架構，而工業系統架構、業務類型、設備組合千差萬別，通用的威脅情報作用很小；

• 再者，工業互聯網系統是高度自動化，低交互的，基于安全專家的人工運維不可實施。 

而且，工業互聯網中一旦發生事情就是大事，事后處置的損失不可接受，安全手段也絕對不能在業務系統中造成新增故障點，不能引入“安全悖論”。 

所以說，對于工業互聯網安全來說，傳統IT安全架構早已不適用，亟需構建新型的工業互聯網安全架構。 

百度相關負責人也表示，傳統互聯網時代，人們對網絡安全習慣于采取“事后補救”的措施，而這些措施往往是“頭痛醫頭、腳痛醫腳”，不能徹底、全面地解決問題，也無法滿足新型工業互聯網的安全需求。 

工業互聯網不止網絡和平臺，安全也是重要的一環。 

停留在口頭上的安全，也只是空中樓閣 

雖然，安全威脅事件頻發，但工業互聯網的熱度仍吸引了不少企業的入局。

根據IDC中國工業互聯網調研數據顯示，80.3%的受訪用戶表示已經部署或計劃在未來1~3年內部署工業互聯網，包括傳統制造企業海爾、美的等，互聯網巨頭BAT，新興獨角獸企業AI四小龍等，還有一些不起眼的小型企業。 

據不完全統計，標識解析體系方面，我國已擁有5個國家頂級節點，90多個二級節點平臺已上線，成為三級節點的企業超一萬家；

工業互聯網平臺方面，我國多層級工業互聯網平臺體系初步形成，國內已涌現出100余個工業互聯網平臺，其中跨行業跨領域平臺達到15個；

工業APP方面，截至3月底，工業互聯網平臺連接工業設備總數達7300萬臺，工業App突破59萬個。

雖然，目前在工業互聯網領域我國已經取得了顯著的成就。但是，三一重工泵車失蹤案、臺積電工廠大面積勒索病毒等事件也說明了企業在安全方面的嚴重缺失。

據相關調研數據顯示，僅有36.5%的工業企業認為自己的工控系統遭受網絡攻擊的可能性很大，57.4%的企業認為基本不會，甚至有6.1%的受調研企業認為，自己完全不會遭到工控網絡攻擊。 

六方云總裁李江力表示，這主要是源于各企業對工業互聯網安全的認知水平不一，有的企業是經歷了安全威脅之后才引起重視，有的企業是根據工信部下發的文件進行著安全實踐，還有一批沒有接入網絡的小型企業并沒有工業互聯網安全方面的考慮。 

李江力坦言，國內的工業互聯網平臺企業超過500家，這些平臺企業在設計時都會有安全因素的考慮，但不同的平臺對安全的理解、設計實現與投入都不一樣，整體看，工業互聯網平臺的安全防護能力還需要提高。 

雖然做的工業安全的企業多越來越多，但是參差不齊的安全認知水平現象愈發嚴重。現如今，從事工業互聯網安全的企業，大部分只重視信息安全，側重于政府、金融行業等傳統領域，但是關于工業領域的生產保護，卻很少有企業專注。 

奇安信工業互聯網安全事業部產品總監王弢這樣說，從調研結果可以看出，表示非常重視工業互聯網安全的企業，僅為40.9%。近六成的企業表示較少重視或完全不關心。這也成為了國內工業互聯網安全建設始終發展較慢的重要原因之一。 

“軟”安全里的“硬”實力

目前，工業互聯網安全究竟做的怎么樣？

經綜合研判，數據顯示，預計2020年我國工業信息安全市場增長率將達23.12%，市場整體規模將增長至122.81億元。

圖源：《2020-2021年度工業信息安全形勢分析》  

反觀去年工業安全事件發生情況，據數據顯示，我國2020年公開報道的工業信息安全事件約70件，裝備制造、能源等行業為遭受網絡攻擊最嚴重領域，占比分別達到27%、22%；2020年新增工業控制系統安全漏洞數達682個，增長率為20%。其中高危漏洞272個，中危漏洞364個，中高危漏洞占比高達93.3%。

一般來說，工業信息安全產業規模和工業安全事件頻呈反比，但是從實際數據上來看，在工業信息安全產業規模增長的同時，工業信息安全事件并沒有減少反倒增加。 

2020年3月，某大型化工集團發現多臺服務器和主機文件被加密，遭受勒索病毒攻擊；

8月，某大型煤礦集團一服務器發現感染挖礦蠕蟲病毒，往同段其它服務器445以及6379端口發送大量感染數據包；嚴重影響正常業務的使用；

10月，某大型汽車制造企業重要服務器感染勒索病毒，導致業務系統無法正常運行；

華為安全架構師王雨晨坦言，“對于工業互聯網安全來說，防不住是正常的，防住是偶然的。”

無論是傳統IT安全還是工業互聯網安全主要分為攻防兩個方面，二者如同硬幣的兩面，哪一方面都不可或缺，因此才出現了“以攻促防”，“未知攻，焉知防”之類的金句。 

但現實往往不盡如人意，實際上我們也只做到了前面一半，后一半則明顯薄弱，最終成了“虎頭蛇尾”，“強弩之末”。歸根結底，安全問題本質是一場人才的較量。 

有專業人士曾透露，目前，網絡安全人才短缺問題日益突出，2020年缺口突破232%，缺口達140萬，2021年缺口飆升至285%...現在安全人才在總數不夠的前提下，防守人才更是極度匱乏，比例嚴重失調。

據奇安信發布的《2020工業互聯網安全發展與實踐分析報告》顯示，僅有40.3%的企業設置了專職的工業網絡安全部門或崗位；21.0%的企業表示正在規劃，但現在沒有專職負責人員；38.7%的企業即沒有專職人員，也沒有相關的安全規劃。

華為安全架構師王雨晨認為，一方面，我國網絡安全從業人員也就幾萬人，極度匱乏，而且他們都在重復做防火墻，態勢感知，很少有人能掌握關鍵技術，都在做安全方面的應用。

另一方面，在人散小而全的安全人才架構下，安全防御理論和技術手段均處于初級階段，在對抗威脅時，存在嚴重的攻防不對稱現象。產業、產品的能力都遠遠不能應對威脅挑戰的要求，在此種條件下，防不住是必然的。 

工業數字化轉型，缺少“主角”的光輝

失去工業互聯網安全，工業數字化轉型就失去了金鐘罩。 

“通過互聯網就可以導致工業生產癱瘓，而且，當我們未來實現更深度的數字化轉型，會更容易被攻擊。”360集團首席安全官杜躍進博士這樣說。

如今，工業互聯網已成為工業制造業自動化、數字化、智能化轉型的重要載體。在工業互聯網與5G、大數據、人工智能等新一代信息技術的共同作用下，大量企業開始了數字化轉型的探索。 

工業數字化轉型主要是通過IT與OT的充分融合來創造更大的價值，但正是二者的深度融合使工業的產業結構和體系建設發生了巨變，由此而來的“勒索事件”等安全“黑天鵝”情況在工業領域頻發。 

對于工業數字化轉型面對的安全威脅，奇安信工業互聯網安全事業部產品總監王弢這樣解釋，工業數字化轉型中，個性化定制、網絡化協同以及服務化延伸，生產連續性、可靠性以及核心數據都將面臨更為嚴重的網絡安全威脅。例如有制造企業生產系統聯網后，大量計算機病毒涌入系統，導致大規模停產。 

不言而喻，工業互聯網安全建設的好壞，將直接影響工業數字化轉型的快慢。 

如果工業互聯網安全沒有建設好，一方面，遭受網絡攻擊不僅單個企業受損，還可延伸至全產業鏈、全價值鏈，引發大規模物理設備損壞、生產停滯，影響經濟社會的穩定運行。另一方面，工業生產、設計、工藝、經營管理等敏感信息保護不當將損害企業核心利益、影響行業發展，重要工業數據泄露還將導致國家利益受損。 

對此，六方云總裁李江力表示，工業互聯網的本質與核心是利用信息化數字化手段提高工業生產效率，但信息化手段提升效率的同時也帶來了安全隱患，保障信息安全是工業互聯網業務發展的前提，沒有安全就沒有發展。

其實，國家早就認識到了工業互聯網安全對工業數字化轉型的重要性。近年來，相繼下發了多部政策文件，以推進工業互聯網安全綜合保障能力提升工程，完善網絡安全分類分級管理制度，提升工業企業本質安全水平。 

任何一項產業的出現和發展，都少不了國家政策的支持，但是產業發展的好壞直接關乎著企業的經濟效益，所以主體還是企業，在工業互聯網安全領域亦是如此。 

在奇安信工業互聯網安全事業部產品總監王弢看來，工業互聯網安全事件頻發表明工業互聯網領域的威脅越來越嚴重，黑產和黑客組織越來越多的關注到工業領域，主要原因在于企業工業互聯網安全投入不足，不能有效面對威脅。 

調研數據顯示，國內相關企業在工業互聯網安全方面的投入總體規模仍然較小。在工業互聯網安全方面的年投入超過100萬元的企業，不足被調研企業的三成，僅為27.6%。 

華為安全架構師王雨晨認為，除了國家的政策引導和規范要求外，更重要的是企業要跟根據自身面臨的安全威脅切實重視安全，加大安全投入，加強企業自身安全建設。 

“工業互聯網安全是工業化的基礎，‘沒有網絡安全就沒有國家安全’這句話對于工業數字化轉型尤其重要。沒有安全保障的工業數字化轉型就是把萬丈高樓建立在沙灘上，對整個工業化都是非常危險的。”

（雷鋒網 雷鋒網雷鋒網）

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。