【上海儀表三廠 儀表延伸】隨著制造業(yè)的轉(zhuǎn)型升級(jí),萬(wàn)物互聯(lián)已經(jīng)成為工業(yè)信息系統(tǒng)中不可逆轉(zhuǎn)的趨勢(shì),,在工業(yè)信息系統(tǒng)逐步與互聯(lián)網(wǎng)進(jìn)行融合的過(guò)程中,,安全問(wèn)題也逐漸凸顯出來(lái),。由于工業(yè)信息系統(tǒng)安全水平相對(duì)較低,漏洞較多,,這些漏洞極易被黑客利用,。安全漏洞成了工業(yè)互聯(lián)網(wǎng)面臨的首要安全問(wèn)題。
工業(yè)控制系統(tǒng)漏洞呈快速增長(zhǎng)趨勢(shì)
據(jù)前瞻產(chǎn)業(yè)研究院發(fā)布的《工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展前景預(yù)測(cè)與投資戰(zhàn)略規(guī)劃分析報(bào)告》統(tǒng)計(jì)數(shù)據(jù)顯示,,2017年新增信息安全漏洞4798個(gè),,其中工控系統(tǒng)新增漏洞數(shù)351個(gè),與2016年同期相比,,新增數(shù)量幾乎翻番,,工業(yè)控制系統(tǒng)漏洞呈快速增長(zhǎng)趨勢(shì)。未來(lái),,工業(yè)物聯(lián)網(wǎng)領(lǐng)域的安全事件還會(huì)繼續(xù)呈現(xiàn)高發(fā)狀態(tài),。
我國(guó)工業(yè)互聯(lián)網(wǎng)聯(lián)盟成員中82家工業(yè)企業(yè)的ICS、SCADA等工控系統(tǒng)里,,有28.05%都出現(xiàn)過(guò)漏洞,,并且23.2%是高危漏洞。值得注意的是,,這些漏洞還僅僅是全部系統(tǒng)漏洞的一小部分,,大量的工業(yè)設(shè)備暴露在公網(wǎng)上,因?yàn)槿狈A(chǔ)的安全保障,,成為黑客甚至是全球不法分子攻擊的目標(biāo),。
工業(yè)互聯(lián)網(wǎng)下信息安全暴露
工業(yè)互聯(lián)網(wǎng)下的信息安全,暴露出工業(yè)企業(yè)的內(nèi)部問(wèn)題,。首先,,工業(yè)設(shè)備資產(chǎn)的“底數(shù)不清”,很多工業(yè)協(xié)議,、設(shè)備,、系統(tǒng)在設(shè)計(jì)之初并沒(méi)有考慮到復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性,系統(tǒng)生命周期長(zhǎng),、升級(jí)維護(hù)少也是巨大的安全隱患,。
其次,很多工控設(shè)備缺乏安全設(shè)計(jì),。
再次,,設(shè)備聯(lián)網(wǎng)機(jī)制缺乏安全保障。另外,,IT和OT系統(tǒng)安全管理相互獨(dú)立,,操作困難,,一些智能制造工廠內(nèi)部生產(chǎn)管理數(shù)據(jù)等面臨丟失、泄露,、篡改等安全威脅,。
通過(guò)對(duì)1182種工業(yè)互聯(lián)網(wǎng)系統(tǒng)和16種工業(yè)互聯(lián)網(wǎng)協(xié)議進(jìn)行統(tǒng)計(jì),發(fā)現(xiàn)全網(wǎng)共有195243個(gè)工業(yè)互聯(lián)網(wǎng)系統(tǒng)暴露在外,。其中工業(yè)控制系統(tǒng)中Somfy產(chǎn)品最多,,占62%;其次是德國(guó)Beck IPC,,占23%,;霍尼韋爾的EnergyICT和Tridium_NiagaraAX各占3%;其余均低于2%,。這些設(shè)備主要針對(duì)智能電網(wǎng),、能源管理、樓宇自控系統(tǒng),、工業(yè)控制等領(lǐng)域,。
這些設(shè)備沒(méi)有任何的安全防護(hù)措施,大部分也都爆出過(guò)漏洞,,這些漏洞一旦被黑客掌握并加以利用,,則可以直接通過(guò)遠(yuǎn)程的方式獲取設(shè)備權(quán)限、竊取信息,,甚至還可能導(dǎo)致系統(tǒng)癱瘓,。國(guó)家的重要基礎(chǔ)設(shè)施一旦被侵入,將不僅僅涉及民生,,國(guó)家安全也將受到極大威脅,。
亟待制定新一代信息技術(shù)安全架構(gòu)
對(duì)于目前的網(wǎng)絡(luò)安全形勢(shì),可通過(guò)對(duì)全球網(wǎng)絡(luò)對(duì)外開(kāi)放服務(wù)的資產(chǎn)進(jìn)行主動(dòng)或被動(dòng)方式探測(cè),、抓取,、存儲(chǔ),分析整理不同種類的網(wǎng)絡(luò)空間資產(chǎn)指紋信息(規(guī)則),,并對(duì)符合規(guī)則的資產(chǎn)進(jìn)行統(tǒng)計(jì)分析,,進(jìn)而快速檢索全球網(wǎng)絡(luò)空間資產(chǎn)。
應(yīng)建立漏洞管理全流程監(jiān)督處罰制度,,制定覆蓋網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn),、審核、披露,、通報(bào),、修復(fù)、追責(zé)等全流程管理細(xì)則,,強(qiáng)制要求漏洞及時(shí)修復(fù),,對(duì)漏洞修復(fù)時(shí)間以及違規(guī)處罰措施予以明確規(guī)定,。此外,應(yīng)建立監(jiān)督檢查機(jī)制和力量,,及時(shí)發(fā)現(xiàn)未及時(shí)修復(fù)漏洞的行為,,并追究相關(guān)單位和責(zé)任人責(zé)任。
與此同時(shí),,應(yīng)該研究制定新一代信息技術(shù)在工業(yè)領(lǐng)域應(yīng)用的安全架構(gòu),,盡快突破一批工業(yè)信息安全關(guān)鍵核心技術(shù),重點(diǎn)發(fā)展一批高端產(chǎn)品,,形成具有市場(chǎng)競(jìng)爭(zhēng)力的產(chǎn)品體系。我國(guó)現(xiàn)有工業(yè)信息安全產(chǎn)業(yè)(包括產(chǎn)品,、技術(shù),、服務(wù)等)占整個(gè)IT行業(yè)的比重不足2%,遠(yuǎn)低于歐美發(fā)達(dá)國(guó)家近10%的水平,。只有做強(qiáng)自主可控的工控系統(tǒng)相關(guān)行業(yè),,才能夠在安全問(wèn)題上掌握話語(yǔ)權(quán)。
上海儀表三廠整理發(fā)布
客服1