近日,工業(yè)和信息化部聯(lián)合教育部、人力資源社會(huì)保障部、生態(tài)環(huán)境部、衛(wèi)生健康委員會(huì)、應(yīng)急管理部、國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)、國(guó)家市場(chǎng)監(jiān)管總局、國(guó)家能源局、國(guó)防科技工業(yè)局等十部委共同印發(fā)了《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》(以下簡(jiǎn)稱《安全指導(dǎo)意見》),引起了行業(yè)人士的高度關(guān)注和熱議。首先,十部門聯(lián)合重磅發(fā)文體現(xiàn)了國(guó)家對(duì)工業(yè)互聯(lián)網(wǎng)安全的重視程度之高、力度之大,工業(yè)互聯(lián)網(wǎng)安全已經(jīng)上升到國(guó)家戰(zhàn)略層面。其次,該文件內(nèi)容具體而詳實(shí),可以作為工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)綱領(lǐng)。《安全指導(dǎo)意見》為我國(guó)工業(yè)互聯(lián)網(wǎng)安全設(shè)定了非常具體的總體目標(biāo),圍繞設(shè)備、控制、網(wǎng)絡(luò)、平臺(tái)、數(shù)據(jù)安全,落實(shí)企業(yè)主體責(zé)任、政府監(jiān)管責(zé)任,健全制度機(jī)制、建設(shè)技術(shù)手段、促進(jìn)產(chǎn)業(yè)發(fā)展、強(qiáng)化人才培育,提出了十七項(xiàng)明確的工作任務(wù)和四項(xiàng)保障措施。《安全指導(dǎo)意見》的逐步落實(shí),必將全面提升我國(guó)工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展的安全保障能力和服務(wù)水平,促進(jìn)工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展,推動(dòng)現(xiàn)代化經(jīng)濟(jì)體系建設(shè)。
作為工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的從業(yè)者,本人通讀了幾遍《安全指導(dǎo)意見》,并深入理解和思考,以網(wǎng)絡(luò)安全企業(yè)的視角,從產(chǎn)品技術(shù)的維度,談一談本人的幾點(diǎn)思考,供大家參考和批評(píng)指正。
首先,工業(yè)互聯(lián)網(wǎng)安全保障體系建設(shè),安全能力是基礎(chǔ)。
工業(yè)互聯(lián)網(wǎng)是新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物,是第四次工業(yè)革命的關(guān)鍵支撐,其本身的技術(shù)復(fù)雜度、面臨的潛在安全威脅、安全事件造成的嚴(yán)重危害都對(duì)從事工業(yè)互聯(lián)網(wǎng)安全工作的單位和企業(yè)提出了非常高的安全能力要求。《安全指導(dǎo)意見》高度重視安全能力建設(shè),要求夯實(shí)工業(yè)設(shè)備和控制安全、提升網(wǎng)絡(luò)設(shè)施安全、強(qiáng)化平臺(tái)和工業(yè)應(yīng)用安全、強(qiáng)化企業(yè)數(shù)據(jù)安全防護(hù)能力、建設(shè)工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺(tái)、建設(shè)工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)資源庫(kù)、建設(shè)工業(yè)互聯(lián)網(wǎng)安全測(cè)試驗(yàn)證環(huán)境、加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力、推動(dòng)工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展。這些要求體現(xiàn)在安全能力上包括但不限于:工業(yè)資產(chǎn)探查能力、工業(yè)設(shè)備漏洞挖掘與檢測(cè)能力、工業(yè)控制協(xié)議深度解析能力、攻擊發(fā)現(xiàn)和阻斷能力、高級(jí)持續(xù)威脅(APT)發(fā)現(xiàn)和追蹤溯源能力、網(wǎng)絡(luò)安全攻防對(duì)抗能力、源代碼安全檢測(cè)能力、工業(yè)云平臺(tái)防護(hù)能力、工業(yè)大數(shù)據(jù)安全防護(hù)能力、安全態(tài)勢(shì)感知平臺(tái)建設(shè)能力、大數(shù)據(jù)建模和分析處理能力、功能安全與信息安全融合能力等等。工業(yè)互聯(lián)網(wǎng)是安全保障的目標(biāo)和對(duì)象,安全保障體系建設(shè)本質(zhì)上是安全能力的建設(shè),全面、系統(tǒng)、有效的安全能力是安全保障體系建設(shè)的基礎(chǔ)。因此,要建設(shè)好工業(yè)互聯(lián)網(wǎng)安全保障體系,必須加大研發(fā)投入,加強(qiáng)技術(shù)創(chuàng)新,提升安全能力,并使安全能力與工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景充分融合,使工業(yè)互聯(lián)網(wǎng)具備自適應(yīng)、自主和自生長(zhǎng)的“內(nèi)生安全”能力。在這點(diǎn)上,我們作為工業(yè)互聯(lián)網(wǎng)安全企業(yè)責(zé)無(wú)旁貸。
其次,工業(yè)互聯(lián)網(wǎng)設(shè)備和控制安全防護(hù),工業(yè)主機(jī)是重點(diǎn)。
《安全指導(dǎo)意見》的第6項(xiàng)主要任務(wù)要求夯實(shí)設(shè)備和控制安全。“督促工業(yè)企業(yè)部署針對(duì)性防護(hù)措施,加強(qiáng)工業(yè)生產(chǎn)、主機(jī)、智能終端等設(shè)備安全接入和防護(hù),強(qiáng)化控制網(wǎng)絡(luò)協(xié)議、裝置裝備、工業(yè)軟件等安全保障,推動(dòng)設(shè)備制造商、自動(dòng)化集成商與安全企業(yè)加強(qiáng)合作,提升設(shè)備和控制系統(tǒng)的本質(zhì)安全”。我們通過(guò)對(duì)大量工業(yè)企業(yè)的安全應(yīng)急響應(yīng)服務(wù)發(fā)現(xiàn),目前對(duì)工業(yè)設(shè)備和工控系統(tǒng)威脅最大的是專門針對(duì)工業(yè)主機(jī)(指工業(yè)控制系統(tǒng)上位機(jī),如操作員站、工程師站、歷史數(shù)據(jù)庫(kù)、實(shí)時(shí)數(shù)據(jù)庫(kù)、MES服務(wù)器、HMI等等)的勒索病毒和網(wǎng)絡(luò)攻擊。工業(yè)主機(jī)往往運(yùn)行常見的操作系統(tǒng),攻擊者很容易獲得并進(jìn)行研究。同時(shí),由于工控系統(tǒng)生命周期較長(zhǎng),現(xiàn)存的工業(yè)主機(jī)大多是Windows7、Windows2000、WindowsXP等老舊的操作系統(tǒng),版本升級(jí)困難,甚至無(wú)法更新,存在大量已知漏洞,美國(guó)服務(wù)器租用,很容易成為病毒和網(wǎng)絡(luò)攻擊的直接目標(biāo)、攻擊入口和關(guān)鍵跳板。工業(yè)主機(jī)是連接信息化系統(tǒng)和工業(yè)控制設(shè)備的“大門”,對(duì)工業(yè)主機(jī)的攻擊可以直接影響工控系統(tǒng)的運(yùn)行狀況,站群服務(wù)器,甚至能夠篡改控制器的操作指令,使信息安全事件轉(zhuǎn)化為影響安全生產(chǎn)的功能安全事件,給工業(yè)企業(yè)甚至國(guó)計(jì)民生造成無(wú)法挽回的損失。我們研究發(fā)現(xiàn)針對(duì)主機(jī)的攻擊方式有:通過(guò)網(wǎng)絡(luò)攻擊取得工業(yè)主機(jī)管理權(quán)限,加密關(guān)鍵文件,進(jìn)行勒索;通過(guò)U盤對(duì)工業(yè)主機(jī)注入病毒篡改控制器上報(bào)數(shù)據(jù),掩蓋控制數(shù)據(jù)異常;通過(guò)魚叉攻擊實(shí)現(xiàn)多臺(tái)工業(yè)主機(jī)提權(quán),篡改下發(fā)控制指令;通過(guò)感染雙網(wǎng)卡工業(yè)主機(jī)跨區(qū)傳播計(jì)算機(jī)病毒;通過(guò)被控制的工業(yè)主機(jī)向控制器下發(fā)網(wǎng)絡(luò)風(fēng)暴數(shù)據(jù),造成控制器運(yùn)行周期異常甚至死機(jī)等。因此,工業(yè)主機(jī)是工業(yè)互聯(lián)網(wǎng)設(shè)備和控制安全防護(hù)的重點(diǎn),也是應(yīng)該最先進(jìn)行安全投資并且投資收益率最大的方向。
再次,工業(yè)互聯(lián)網(wǎng)大數(shù)據(jù)安全防護(hù),內(nèi)生安全是核心。
