近日,工業和信息化部聯合教育部、人力資源社會保障部、生態環境部、衛生健康委員會、應急管理部、國有資產監督管理委員會、國家市場監管總局、國家能源局、國防科技工業局等十部委共同印發了《加強工業互聯網安全工作的指導意見》(以下簡稱《安全指導意見》),引起了行業人士的高度關注和熱議。首先,十部門聯合重磅發文體現了國家對工業互聯網安全的重視程度之高、力度之大,工業互聯網安全已經上升到國家戰略層面。其次,該文件內容具體而詳實,可以作為工業互聯網安全產業發展的指導綱領。《安全指導意見》為我國工業互聯網安全設定了非常具體的總體目標,圍繞設備、控制、網絡、平臺、數據安全,落實企業主體責任、政府監管責任,健全制度機制、建設技術手段、促進產業發展、強化人才培育,提出了十七項明確的工作任務和四項保障措施。《安全指導意見》的逐步落實,必將全面提升我國工業互聯網創新發展的安全保障能力和服務水平,促進工業互聯網高質量發展,推動現代化經濟體系建設。
作為工業互聯網安全產業的從業者,本人通讀了幾遍《安全指導意見》,并深入理解和思考,以網絡安全企業的視角,從產品技術的維度,談一談本人的幾點思考,供大家參考和批評指正。
首先,工業互聯網安全保障體系建設,安全能力是基礎。
工業互聯網是新一代信息技術與制造業深度融合的產物,是第四次工業革命的關鍵支撐,其本身的技術復雜度、面臨的潛在安全威脅、安全事件造成的嚴重危害都對從事工業互聯網安全工作的單位和企業提出了非常高的安全能力要求。《安全指導意見》高度重視安全能力建設,要求夯實工業設備和控制安全、提升網絡設施安全、強化平臺和工業應用安全、強化企業數據安全防護能力、建設工業互聯網安全技術保障平臺、建設工業互聯網安全基礎資源庫、建設工業互聯網安全測試驗證環境、加強工業互聯網安全公共服務能力、推動工業互聯網安全科技創新與產業發展。這些要求體現在安全能力上包括但不限于:工業資產探查能力、工業設備漏洞挖掘與檢測能力、工業控制協議深度解析能力、攻擊發現和阻斷能力、高級持續威脅(APT)發現和追蹤溯源能力、網絡安全攻防對抗能力、源代碼安全檢測能力、工業云平臺防護能力、工業大數據安全防護能力、安全態勢感知平臺建設能力、大數據建模和分析處理能力、功能安全與信息安全融合能力等等。工業互聯網是安全保障的目標和對象,安全保障體系建設本質上是安全能力的建設,全面、系統、有效的安全能力是安全保障體系建設的基礎。因此,要建設好工業互聯網安全保障體系,必須加大研發投入,加強技術創新,提升安全能力,并使安全能力與工業互聯網業務場景充分融合,使工業互聯網具備自適應、自主和自生長的“內生安全”能力。在這點上,我們作為工業互聯網安全企業責無旁貸。
《安全指導意見》的第6項主要任務要求夯實設備和控制安全。“督促工業企業部署針對性防護措施,加強工業生產、主機、智能終端等設備安全接入和防護,強化控制網絡協議、裝置裝備、工業軟件等安全保障,推動設備制造商、自動化集成商與安全企業加強合作,提升設備和控制系統的本質安全”。我們通過對大量工業企業的安全應急響應服務發現,目前對工業設備和工控系統威脅最大的是專門針對工業主機(指工業控制系統上位機,如操作員站、工程師站、歷史數據庫、實時數據庫、MES服務器、HMI等等)的勒索病毒和網絡攻擊。工業主機往往運行常見的操作系統,攻擊者很容易獲得并進行研究。同時,由于工控系統生命周期較長,現存的工業主機大多是Windows7、Windows2000、WindowsXP等老舊的操作系統,版本升級困難,甚至無法更新,存在大量已知漏洞,美國服務器租用,很容易成為病毒和網絡攻擊的直接目標、攻擊入口和關鍵跳板。工業主機是連接信息化系統和工業控制設備的“大門”,對工業主機的攻擊可以直接影響工控系統的運行狀況,站群服務器,甚至能夠篡改控制器的操作指令,使信息安全事件轉化為影響安全生產的功能安全事件,給工業企業甚至國計民生造成無法挽回的損失。我們研究發現針對主機的攻擊方式有:通過網絡攻擊取得工業主機管理權限,加密關鍵文件,進行勒索;通過U盤對工業主機注入病毒篡改控制器上報數據,掩蓋控制數據異常;通過魚叉攻擊實現多臺工業主機提權,篡改下發控制指令;通過感染雙網卡工業主機跨區傳播計算機病毒;通過被控制的工業主機向控制器下發網絡風暴數據,造成控制器運行周期異常甚至死機等。因此,工業主機是工業互聯網設備和控制安全防護的重點,也是應該最先進行安全投資并且投資收益率最大的方向。
