上個月,美國最大成品油管道運營商Colonial Pipeline因一次勒索軟件攻擊,致使燃油管道系統被迫關閉,并且讓美國17個州及華盛頓特區一度進入緊急狀態,被迫支付440萬美元的贖金以恢復系統正常;
日本相機大廠富士膠片遭勒索軟件攻擊,使部分系統受到影響。有些據點的所有通信,包括電子郵件和經由網絡系統打入的電話都受到了不同程度的影響...
而國內,許多企業也受到了不同程度的安全威脅。
轟動一時的三一重工泵車失蹤案,因無法傳遞設備工況數據與正常鎖機,導致三一重工技術研發和售后服務大受影響,更有大量客戶惡意拖欠該公司貨款,失聯泵車價值高達10億元;
臺積電三大制造廠區因電腦大規模勒索病毒現象,造成約17.6億元的營收損失...
在華為安全架構師王雨晨看來,無論國內企業還是國外企業,勒索軟件,蠕蟲,挖礦、APT等是最主要的高級安全攻擊且是威脅最大的。其中,勒索軟件是目前最常見的安全威脅手段。
顯然,工業互聯網安全問題已成為工業企業發展過程中必要的考慮因素。
安全或成工業互聯網最大“絆腳石”
網絡是基礎,安全是保障,平臺是核心。
工業互聯網是新一代信息通信技術與制造業深度融合所形成的新興業態與新模式。
自2018年,工業互聯網被首次寫入政府工作報告,到2020年被劃定為新基建的重要組成部分,經過三年時間,工業互聯網已進入發展快車道。據賽迪顧問數據顯示,2020年,中國工業互聯網市場規模總量達到6712.7億元,同比增長10.4%。
新技術帶來新機遇的同時,往往也會帶來新問題。由于工業互聯網中各種設備互聯,設備種類多,漏洞后門資源多,攻擊路徑多,攻擊性強,所以新問題主要聚焦在安全方面。
這與工業互聯網與生俱來的特性相關,在浪潮工業互聯網副總經理宋志剛看來,工業互聯網先天具有的專業性、復雜性和技術起點高的特點,以及開放性和異構性的特性,加劇了其面臨的安全風險。
圖源:《2020年工業信息安全態勢報告》
在工業互聯網專有特點的基礎上,百度相關負責人認為,工業互聯網安全威脅事件頻發是由于云計算、人工智能、大數據等技術仍處于不斷創新和高速迭代階段,工業互聯網仍處于摸索階段,諸如工業互聯網安全等許多難題有待進一步攻克。
目前,工業領域的網絡攻擊事件、工業設備、系統安全漏洞數量呈現逐年遞增之勢。
據《2020年工業信息安全態勢報告》顯示,工業領域因運營成本大、數據價值達、社會影響廣成為了首要攻擊目標,僅2020年工業相關勒索軟件攻擊事件就有33起,遠超2017年至2019年兩年的總合。
除去工業互聯網專有特性和發展速度來看,華為安全架構師王雨晨認為,工業互聯網安全和傳統IT安全的差異也是安全威脅事件頻發的重要原因。
首先,補丁、殺毒軟件等侵入式安全技術不可實施,終端安全不可接受,漏洞處于開放狀態;
其次,互聯網是統一架構,而工業系統架構、業務類型、設備組合千差萬別,通用的威脅情報作用很小;
再者,工業互聯網系統是高度自動化,低交互的,基于安全專家的人工運維不可實施。
而且,工業互聯網中一旦發生事情就是大事,事后處置的損失不可接受,安全手段也絕對不能在業務系統中造成新增故障點,不能引入“安全悖論”。
所以說,對于工業互聯網安全來說,傳統IT安全架構早已不適用,亟需構建新型的工業互聯網安全架構。
百度相關負責人也表示,傳統互聯網時代,人們對網絡安全習慣于采取“事后補救”的措施,而這些措施往往是“頭痛醫頭、腳痛醫腳”,不能徹底、全面地解決問題,也無法滿足新型工業互聯網的安全需求。
工業互聯網不止網絡和平臺,安全也是重要的一環。
停留在口頭上的安全,也只是空中樓閣
雖然,安全威脅事件頻發,但工業互聯網的熱度仍吸引了不少企業的入局。
根據IDC中國工業互聯網調研數據顯示,80.3%的受訪用戶表示已經部署或計劃在未來1~3年內部署工業互聯網,包括傳統制造企業海爾、美的等,互聯網巨頭BAT,新興獨角獸企業AI四小龍等,還有一些不起眼的小型企業。
據不完全統計,標識解析體系方面,我國已擁有5個國家頂級節點,90多個二級節點平臺已上線,成為三級節點的企業超一萬家;
工業互聯網平臺方面,我國多層級工業互聯網平臺體系初步形成,國內已涌現出100余個工業互聯網平臺,其中跨行業跨領域平臺達到15個;
工業APP方面,截至3月底,工業互聯網平臺連接工業設備總數達7300萬臺,工業App突破59萬個。
雖然,目前在工業互聯網領域我國已經取得了顯著的成就。但是,三一重工泵車失蹤案、臺積電工廠大面積勒索病毒等事件也說明了企業在安全方面的嚴重缺失。
據相關調研數據顯示,僅有36.5%的工業企業認為自己的工控系統遭受網絡攻擊的可能性很大,57.4%的企業認為基本不會,甚至有6.1%的受調研企業認為,自己完全不會遭到工控網絡攻擊。
六方云總裁李江力表示,這主要是源于各企業對工業互聯網安全的認知水平不一,有的企業是經歷了安全威脅之后才引起重視,有的企業是根據工信部下發的文件進行著安全實踐,還有一批沒有接入網絡的小型企業并沒有工業互聯網安全方面的考慮。
李江力坦言,國內的工業互聯網平臺企業超過500家,這些平臺企業在設計時都會有安全因素的考慮,但不同的平臺對安全的理解、設計實現與投入都不一樣,整體看,工業互聯網平臺的安全防護能力還需要提高。
雖然做的工業安全的企業多越來越多,但是參差不齊的安全認知水平現象愈發嚴重。現如今,從事工業互聯網安全的企業,大部分只重視信息安全,側重于政府、金融行業等傳統領域,但是關于工業領域的生產保護,卻很少有企業專注。
奇安信工業互聯網安全事業部產品總監王弢這樣說,從調研結果可以看出,表示非常重視工業互聯網安全的企業,僅為40.9%。近六成的企業表示較少重視或完全不關心。這也成為了國內工業互聯網安全建設始終發展較慢的重要原因之一。
“軟”安全里的“硬”實力
目前,工業互聯網安全究竟做的怎么樣?
經綜合研判,數據顯示,預計2020年我國工業信息安全市場增長率將達23.12%,市場整體規模將增長至122.81億元。
圖源:《2020-2021年度工業信息安全形勢分析》
反觀去年工業安全事件發生情況,據數據顯示,我國2020年公開報道的工業信息安全事件約70件,裝備制造、能源等行業為遭受網絡攻擊最嚴重領域,占比分別達到27%、22%;2020年新增工業控制系統安全漏洞數達682個,增長率為20%。其中高危漏洞272個,中危漏洞364個,中高危漏洞占比高達93.3%。
一般來說,工業信息安全產業規模和工業安全事件頻呈反比,但是從實際數據上來看,在工業信息安全產業規模增長的同時,工業信息安全事件并沒有減少反倒增加。
2020年3月,某大型化工集團發現多臺服務器和主機文件被加密,遭受勒索病毒攻擊;
8月,某大型煤礦集團一服務器發現感染挖礦蠕蟲病毒,往同段其它服務器445以及6379端口發送大量感染數據包;嚴重影響正常業務的使用;
10月,某大型汽車制造企業重要服務器感染勒索病毒,導致業務系統無法正常運行;
華為安全架構師王雨晨坦言,“對于工業互聯網安全來說,防不住是正常的,防住是偶然的。”
無論是傳統IT安全還是工業互聯網安全主要分為攻防兩個方面,二者如同硬幣的兩面,哪一方面都不可或缺,因此才出現了“以攻促防”,“未知攻,焉知防”之類的金句。
但現實往往不盡如人意,實際上我們也只做到了前面一半,后一半則明顯薄弱,最終成了“虎頭蛇尾”,“強弩之末”。歸根結底,安全問題本質是一場人才的較量。
有專業人士曾透露,目前,網絡安全人才短缺問題日益突出,2020年缺口突破232%,缺口達140萬,2021年缺口飆升至285%...現在安全人才在總數不夠的前提下,防守人才更是極度匱乏,比例嚴重失調。
據奇安信發布的《2020工業互聯網安全發展與實踐分析報告》顯示,僅有40.3%的企業設置了專職的工業網絡安全部門或崗位;21.0%的企業表示正在規劃,但現在沒有專職負責人員;38.7%的企業即沒有專職人員,也沒有相關的安全規劃。
華為安全架構師王雨晨認為,一方面,我國網絡安全從業人員也就幾萬人,極度匱乏,而且他們都在重復做防火墻,態勢感知,很少有人能掌握關鍵技術,都在做安全方面的應用。
另一方面,在人散小而全的安全人才架構下,安全防御理論和技術手段均處于初級階段,在對抗威脅時,存在嚴重的攻防不對稱現象。產業、產品的能力都遠遠不能應對威脅挑戰的要求,在此種條件下,防不住是必然的。
工業數字化轉型,缺少“主角”的光輝
失去工業互聯網安全,工業數字化轉型就失去了金鐘罩。
“通過互聯網就可以導致工業生產癱瘓,而且,當我們未來實現更深度的數字化轉型,會更容易被攻擊。”360集團首席安全官杜躍進博士這樣說。
如今,工業互聯網已成為工業制造業自動化、數字化、智能化轉型的重要載體。在工業互聯網與5G、大數據、人工智能等新一代信息技術的共同作用下,大量企業開始了數字化轉型的探索。
工業數字化轉型主要是通過IT與OT的充分融合來創造更大的價值,但正是二者的深度融合使工業的產業結構和體系建設發生了巨變,由此而來的“勒索事件”等安全“黑天鵝”情況在工業領域頻發。
對于工業數字化轉型面對的安全威脅,奇安信工業互聯網安全事業部產品總監王弢這樣解釋,工業數字化轉型中,個性化定制、網絡化協同以及服務化延伸,生產連續性、可靠性以及核心數據都將面臨更為嚴重的網絡安全威脅。例如有制造企業生產系統聯網后,大量計算機病毒涌入系統,導致大規模停產。
不言而喻,工業互聯網安全建設的好壞,將直接影響工業數字化轉型的快慢。
如果工業互聯網安全沒有建設好,一方面,遭受網絡攻擊不僅單個企業受損,還可延伸至全產業鏈、全價值鏈,引發大規模物理設備損壞、生產停滯,影響經濟社會的穩定運行。另一方面,工業生產、設計、工藝、經營管理等敏感信息保護不當將損害企業核心利益、影響行業發展,重要工業數據泄露還將導致國家利益受損。
對此,六方云總裁李江力表示,工業互聯網的本質與核心是利用信息化數字化手段提高工業生產效率,但信息化手段提升效率的同時也帶來了安全隱患,保障信息安全是工業互聯網業務發展的前提,沒有安全就沒有發展。
其實,國家早就認識到了工業互聯網安全對工業數字化轉型的重要性。近年來,相繼下發了多部政策文件,以推進工業互聯網安全綜合保障能力提升工程,完善網絡安全分類分級管理制度,提升工業企業本質安全水平。
任何一項產業的出現和發展,都少不了國家政策的支持,但是產業發展的好壞直接關乎著企業的經濟效益,所以主體還是企業,在工業互聯網安全領域亦是如此。
在奇安信工業互聯網安全事業部產品總監王弢看來,工業互聯網安全事件頻發表明工業互聯網領域的威脅越來越嚴重,黑產和黑客組織越來越多的關注到工業領域,主要原因在于企業工業互聯網安全投入不足,不能有效面對威脅。
調研數據顯示,國內相關企業在工業互聯網安全方面的投入總體規模仍然較小。在工業互聯網安全方面的年投入超過100萬元的企業,不足被調研企業的三成,僅為27.6%。
華為安全架構師王雨晨認為,除了國家的政策引導和規范要求外,更重要的是企業要跟根據自身面臨的安全威脅切實重視安全,加大安全投入,加強企業自身安全建設。
“工業互聯網安全是工業化的基礎,‘沒有網絡安全就沒有國家安全’這句話對于工業數字化轉型尤其重要。沒有安全保障的工業數字化轉型就是把萬丈高樓建立在沙灘上,對整個工業化都是非常危險的。”
(雷鋒網 雷鋒網雷鋒網)
]]>那么對于中國而言,工業互聯網就是制造業數字化轉型的重要手段。
據全球移動通信系統協會預測,2016年至2025年間,工業互聯網設備聯網數量將從24億增加到138億,預計到2023年將超過消費物聯網設備聯網數量。
可見,工業互聯網大潮已席卷全球。
安全是發展工業互聯網的先決條件
眾所周知,安全是工業互聯網的重要保障,工業互聯網的高速發展需要完善的安全體系為其保駕護航。
作為“新基建”的重要部分,“工業互聯網”是新一代信息通信技術與先進制造業深度融合所形成的新興業態與新模式。新技術帶來新機遇的同時,往往也會帶來新問題。工業互聯網中各種設備互聯,設備種類多、數量多,漏洞后門資源多,攻擊路徑多,攻擊可達性強,所以新問題主要聚焦于安全方面的問題。
資料來源:中商產業研究院
目前,在工業互聯網的發展過程中主要面臨著設備、網絡、控制、數據以及應用五方面的安全風險問題:
1)設備安全風險
傳統工業設備更多注重業務連續性需求,日常運行維護主要也是針對安全生產內容開展相關工作,各個環節對網絡安全內容涉及較少,基本不具備防護各種網絡攻擊的能力。但是,工業互聯網將越來越多的智能化設備引入到工業控制系統中,直接參與生產,使得工業控制系統面臨嚴重的設備安全風險。
2)網絡安全風險
網絡IP化、無線化、組網靈活化,給工業互聯網環境下的工業控制系統帶來更大的安全風險。TCP/IP 等通用的網絡協議在工業網絡中的應用,大大降低了網絡攻擊門檻,傳統的工業控制系統防護策略無法抵御多數網絡攻擊。為了滿足生產需要,無線通信網絡在各工業生產場景下得到廣泛使用,趨于單一的安全防護機制讓攻擊者極易通過無線網絡入侵,并實施網絡攻擊。同時,網絡的互相融合,使得工業組網越來越靈活復雜,傳統的防護策略面臨攻擊手段動態化的嚴峻挑戰。
3)控制安全風險
傳統控制過程、控制軟件主要注重功能安全,并且基于IT 和OT 技術相對隔離、可信的基礎上進行設計。同時,為了滿足工業控制系統實時性和高可靠性需求,對于身份認證、傳輸加密、授權訪問等方面安全功能進行極大地弱化甚至丟棄,導致工業控制系統面臨極大的控制安全風險。
4)數據安全風險
工業互聯網業務結構復雜,工業數據更是種類多樣、體量巨大、流向復雜,而且涉及大量用戶隱私數據,導致工業數據保護難度增大。
5)應用安全風險
隨著工業互聯網不斷催生新的商業模式和工業產業生態,工業互聯網相關應用無論從數量還是種類將會出現迅速增長。這對工業互聯網安全防護在應用方面提出了更高的要求,以應對工業互聯網應用種類多樣化、數量巨大化和程序復雜化帶來的挑戰。
解決安全問題,需多方齊心協力
針對工業互聯網發展過程中所遇到的安全風險,早在2019年,工信部就聯合十部委引發了《關于印發加強工業互聯網安全工作的指導意見的通知》,并明確了工作目標和工作方向:
兩個時間節點:到2020年底,工業互聯網安全保障體系初步建立;到2025年,制度機制健全完善,技術手段能力顯著提升,安全產業形成規模,基本建立起較為完備可靠的工業互聯網安全保障體系;
一個標準:建立工業互聯網安全標準體系;
一個監測:建設安全威脅態勢感知平臺;
三級平臺:建設國家、省、企業三級協同的工業互聯網安全技術保障平臺;
四個要求:設備和控制安全;提升網絡設施安全;強化平臺安全;建立健全工業APP應用前安全檢測機制,強化應用過程中用戶信息和數據安全保護。
經過兩年時間,目前我國在工業互聯網安全產業也取得了初步成效:
頂層設計方面,我國工業互聯網安全政策和標準日益完善,垂直行業工業信息安全建設提速,工業企業安全意識全面增強,工業信息安全保障技術水平顯著提升,推動了工業互聯網安全產業的全面發展。
技術創新方面,工業互聯網安全產品體系正在逐步完善,以邊界防護、終端防護、監測審計為代表的安全產品種類增多、功能性能增強,基于 AI、大數據、商用密碼的安全新產品也在加快研發。
應用場景方面,工業互聯網平臺已成為工業企業構建網絡化協同、規模化定制、服務型制造等新模式、新業態、新動能的重要支撐,工業互聯網安全的產業市場正在從防護、管理等產品型向評估、培訓等服務型轉變。目前,工業互聯網安全解決方案已在能源、電力、制造業、交通、石油石化、航空、航天、核工業等領域得到廣泛應用。
投融資方面,工業互聯網產業政策利好,網絡安全社會關注度持續上升,相關企業和投資機構不斷加大對工業互聯網安全市場的投融資力度。例如,奇安信、六方云等企業不斷加大投入,積極推進工業互聯網安全技術研發和突破。截至 2020 年上半年,我國在工業互聯網方面的投融資規模累計達 15 億元,其中工業互聯網安全、數據安全、云安全等方向成為市場投融資熱點 。
區域布局方面,我國主要經濟區域,諸如京津冀、長三角地區、粵港澳大灣區、長江中上游地區、東北地區以及西北地區根據自身工業和網絡安全產業發展條件,出臺了相應的發展規劃和政策,引導工業互聯網安全產業的區域布局。
工業互聯網安全,差在哪?
相較于歐美,日韓等工業起步較早的國家,我國工業互聯網安全發展仍處于起步階段,產業布局尚不完善,面臨著諸多嚴峻挑戰:政策體系尚不健全,區域間發展不均衡現象普遍存在;安全標準體系尚未建立,重點行業領域布局不到位,工業互聯網設備和安全產品在通信協議、配套規范等方面未統一;資金、設備等資源要素保障能力缺乏,中小企業發展動力不足,專業人才缺失嚴重等。
“十四五”時期是我國深入實施工業互聯網創新發展戰略的關鍵期、工業互聯網建設的快速成長期,為了科學高效地應對工業互聯網安全困難挑戰,應從以下幾方面布局:
1)完善政策體系、標準體系,統籌區域均衡發展
完善適應安全產業發展的政策體系,解決相關領域融合滲透面臨的政策和制度瓶頸,秉承創新、自主可控的發展思路,營造良好的發展環境;
健全垂直行業安全標準規范,超前布局能源、電力、交通、航空、航天等重點領域安全標準的研究制定;構建涵蓋各部委、省市、企業,多方協同的工業互聯網安全服務和保障支撐平臺,統籌總體系統架構建設,建立全國統一的系統準入標準與接口,制定安全融合應用系列指南;
加強各類資源統籌協調,在不同區域、行業、企業間促進安全產業均衡發展,形成東西部協調、南北方平衡、全國各區域優化發展的產業布局。
2)加大自主研發力度,提高自主創新能力
以構建國家戰略科技力量需求為導向,推動建設工業互聯網安全國家重點實驗室、國家技術創新中心等創新載體,打造支撐工業互聯網安全高水平創新的基礎設施和平臺環境;加快推進設備安全、網絡安全、控制安全、應用安全、數據安全等關鍵核心技術和基礎理論的創新突破,充分利用衛星物聯網、北斗衛星導航系統等新一代技術裝備,輔助提升工業互聯網安全防護能力;自主研制具有國際競爭力的安全新技術、新產品、新服務,加強自主成果應用和推廣。
3)加大扶持力度,激發中小企業發展活力
重視和鼓勵工業安全領域中小企業改革創新,加大對中小企業的政策和資金的扶持力度;支持中小企業開展基礎研究和科技創新,參與關鍵核心技術研發和國家重大科技項目攻關;鼓勵和支持在相關地區實施幫扶策略,以項目方式為中小企業提供改造升級和創新活動的技術支持、服務轉型、技術指導;引導和幫助中小企業配套軟硬件設備、培訓相關專業人員、引進先進創新成果,逐步培養中小企業核心競爭力,打造各類型企業協同發展的優勢格局。
4)加強政府引導,壯大工業安全人才隊伍
加強頂層規劃,建立并完善我國工業互聯網安全產業體系,引導地方政府、科研機構、安全企業等在產業體系中找準定位、精準發力、協同發展,共同支撐構建我國工業安全產業生態;依托產業聯盟、高端智庫等力量,推動“政產學研用”深度融合,培育一批具有產業整合能力的龍頭和特色企業;制定工業互聯網安全人才發展規劃,建立安全人才庫、專家庫,創新聯合培養機制,挖掘和培養國家和企業亟需的復合型、實戰型專有人才。(雷鋒網 雷鋒網 雷鋒網)
]]>