隨著制造業(yè)的轉(zhuǎn)型升級���,萬物互聯(lián)已經(jīng)成為工業(yè)信息系統(tǒng)中不可逆轉(zhuǎn)的趨勢,在工業(yè)信息系統(tǒng)逐步與互聯(lián)網(wǎng)進(jìn)行融合的過程中��,安全問題也逐漸凸顯出來����。
日前在成都舉行的2018年網(wǎng)絡(luò)安全周上,與會專家和業(yè)內(nèi)人士紛紛表示��,由于工業(yè)信息系統(tǒng)安全水平相對較低�,漏洞較多,這些漏洞極易被黑客利用。安全漏洞成了工業(yè)互聯(lián)網(wǎng)面臨的首要安全問題����。
據(jù)我國國家信息安全漏洞共享平臺(CNVD)統(tǒng)計(jì),2017年新增信息安全漏洞4798個(gè)�,其中工控系統(tǒng)新增漏洞數(shù)351個(gè),與2016年同期相比����,新增數(shù)量幾乎翻番�����,工業(yè)控制系統(tǒng)漏洞呈快速增長趨勢�。未來,工業(yè)物聯(lián)網(wǎng)領(lǐng)域的安全事件還會繼續(xù)呈現(xiàn)高發(fā)狀態(tài)���。
來自補(bǔ)天平臺的監(jiān)測數(shù)據(jù)顯示���,我國工業(yè)互聯(lián)網(wǎng)聯(lián)盟成員中82家工業(yè)企業(yè)的ICS、SCADA等工控系統(tǒng)里���,有28.05%都出現(xiàn)過漏洞���,并且23.2%是高危漏洞�����。值得注意的是�����,這些漏洞還僅僅是全部系統(tǒng)漏洞的一小部分����,大量的工業(yè)設(shè)備暴露在公網(wǎng)上��,因?yàn)槿狈A(chǔ)的安全保障����,成為黑客甚至是全球不法分子攻擊的目標(biāo)。
360企業(yè)安全集團(tuán)董事長齊向東在接受《經(jīng)濟(jì)參考報(bào)》記者采訪時(shí)說�,工業(yè)互聯(lián)網(wǎng)下的信息安全,暴露出工業(yè)企業(yè)的內(nèi)部問題����。首先,工業(yè)設(shè)備資產(chǎn)的“底數(shù)不清”���,很多工業(yè)協(xié)議�、設(shè)備、系統(tǒng)在設(shè)計(jì)之初并沒有考慮到復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性�����,系統(tǒng)生命周期長��、升級維護(hù)少也是巨大的安全隱患���。其次��,很多工控設(shè)備缺乏安全設(shè)計(jì)�。再次����,設(shè)備聯(lián)網(wǎng)機(jī)制缺乏安全保障�����。另外���,IT和OT系統(tǒng)安全管理相互獨(dú)立����,操作困難,一些智能制造工廠內(nèi)部生產(chǎn)管理數(shù)據(jù)等面臨丟失�、泄露、篡改等安全威脅�。
FOFA系統(tǒng)通過對1182種工業(yè)互聯(lián)網(wǎng)系統(tǒng)和16種工業(yè)互聯(lián)網(wǎng)協(xié)議進(jìn)行統(tǒng)計(jì),發(fā)現(xiàn)全網(wǎng)共有195243個(gè)工業(yè)互聯(lián)網(wǎng)系統(tǒng)暴露在外����。其中工業(yè)控制系統(tǒng)中Somfy產(chǎn)品最多,占62%���;其次是德國Beck IPC���,占23%;霍尼韋爾的EnergyICT和Tridium_NiagaraAX各占3%�����;其余均低于2%�����。這些設(shè)備主要針對智能電網(wǎng)�����、能源管理、樓宇自控系統(tǒng)�、工業(yè)控制等領(lǐng)域。
北京華順信安科技有限公司安全總監(jiān)吳明表示��,這些設(shè)備沒有任何的安全防護(hù)措施��,大部分也都爆出過漏洞���,這些漏洞一旦被黑客掌握并加以利用�,則可以直接通過遠(yuǎn)程的方式獲取設(shè)備權(quán)限��、竊取信息���,甚至還可能導(dǎo)致系統(tǒng)癱瘓��。國家的重要基礎(chǔ)設(shè)施一旦被侵入,將不僅僅涉及民生�,國家安全也將受到極大威脅。
例如���,2017年影子經(jīng)紀(jì)人泄露的NSA網(wǎng)絡(luò)武器庫�����,包含眾多工業(yè)互聯(lián)網(wǎng)系統(tǒng)漏洞���,可以實(shí)現(xiàn)對設(shè)備的精確打擊�。通過該方式還可以實(shí)現(xiàn)頻繁的��、大規(guī)模的漏洞打擊����。席卷全球的“WannaCry”勒索病毒就利用了影子經(jīng)紀(jì)人公布的NSA漏洞——“永恒之藍(lán)”漏洞進(jìn)行傳播。而通過該漏洞����,中石油、銀行ATM機(jī)�����、高校系統(tǒng)等眾政企�����、高校中招��。
吳明表示,對于目前的網(wǎng)絡(luò)安全形勢��,可通過對全球網(wǎng)絡(luò)對外開放服務(wù)的資產(chǎn)進(jìn)行主動或被動方式探測���、抓取�����、存儲�,分析整理不同種類的網(wǎng)絡(luò)空間資產(chǎn)指紋信息(規(guī)則)�,并對符合規(guī)則的資產(chǎn)進(jìn)行統(tǒng)計(jì)分析,進(jìn)而快速檢索全球網(wǎng)絡(luò)空間資產(chǎn)����。
多位與會專家表示,應(yīng)建立漏洞管理全流程監(jiān)督處罰制度�,制定覆蓋網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)、審核���、披露�����、通報(bào)�����、修復(fù)��、追責(zé)等全流程管理細(xì)則���,強(qiáng)制要求漏洞及時(shí)修復(fù),對漏洞修復(fù)時(shí)間以及違規(guī)處罰措施予以明確規(guī)定�����。此外�,應(yīng)建立監(jiān)督檢查機(jī)制和力量,及時(shí)發(fā)現(xiàn)未及時(shí)修復(fù)漏洞的行為����,并追究相關(guān)單位和責(zé)任人責(zé)任。
與此同時(shí)���,有專家呼吁��,應(yīng)該研究制定新一代信息技術(shù)在工業(yè)領(lǐng)域應(yīng)用的安全架構(gòu)��,盡快突破一批工業(yè)信息安全關(guān)鍵核心技術(shù)����,重點(diǎn)發(fā)展一批高端產(chǎn)品,形成具有市場競爭力的產(chǎn)品體系��。我國現(xiàn)有工業(yè)信息安全產(chǎn)業(yè)(包括產(chǎn)品���、技術(shù)�����、服務(wù)等)占整個(gè)IT行業(yè)的比重不足2%��,遠(yuǎn)低于歐美發(fā)達(dá)國家近10%的水平����。只有做強(qiáng)自主可控的工控系統(tǒng)相關(guān)行業(yè)���,才能夠在安全問題上掌握話語權(quán)�。(記者 楊燁 )
轉(zhuǎn)自:經(jīng)濟(jì)參考報(bào)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力���。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊��,僅代表作者個(gè)人觀點(diǎn)����,不代表本網(wǎng)觀點(diǎn)和立場。版權(quán)事宜請聯(lián)系:010-65363056��。
延伸閱讀
