【文章来源:俞林,中国社科院西部发展研究中心副研究员,武汉理工大学法学与人文社会学院兼职教授。赵俊红,贵州财经大学经济学院副教授。】工业信息安全作为国家安全的重要组成部分,事关经济运行、社会稳定和国家安全。当前,随着云计算、大数据、人工智能等新一代信息技术与制造技术加速融合,工业信息安全形势日趋严峻,亟须加快提升工业信息安全保障能力,为工业生产安全和两化融合健康发展撑起“保护伞”,为制造强国和网络强国战略实施筑牢“防护墙”。
一、工业信息安全面临的严峻形势
工业信息安全是工业领域信息安全的总称,从内容来看,工业信息安全泛指工业运行过程中的信息安全,涉及工业领域各个环节,包括工业控制系统信息安全(以下简称工控安全)、工业互联网安全、工业数据安全、工业云安全、工业物联网安全等内容。其核心任务就是要确保工业自动化、信息化、网络化、智能化等基础设施的安全。随着制造业向数字化、网络化、智能化、服务化方向加速发展,在促进两化深度融合、工业转型升级的同时,工业信息安全形势也变得更加复杂严峻,具体表现为,“三大风险”呈现增势,“一项短板”尤为突出。
工业信息安全领域“三大风险”愈演愈烈。一是越来越多的工业控制系统及设备暴露于互联网,极易被黑客探测发现。据国家工业信息安全发展研究中心(以下简称国家工信安全中心)监测发现,全球联网工业控制系统及设备数量持续上升,近两年增幅尤其明显,使得黑客发现攻击目标的难度大大降低。二是工控安全漏洞层出不穷,制造、能源、交通等重要领域首当其冲。据美国工业控制系统网络应急响应小组(ICS-CERT)统计,工控安全相关漏洞数量自2012年以来持续走高,且大量高危漏洞集中于装备制造、交通、能源、智能楼宇等重要领域,极易被黑客利用并发起攻击,严重威胁国家关键信息基础设施安全。三是大规模、高强度工业信息安全事件频发,工业领域成为网络攻击“重灾区”。自2010年“震网”事件爆发以来,德国钢铁厂遭受高级可持续性威胁(APT)攻击、乌克兰断电、美国网络瘫痪等事件屡屡发生,全球工业信息安全事件数量整体呈上升趋势。2018年以来,相继发生“熔断”和“幽灵”漏洞威胁工业控制系统、云服务平台及工业互联网平台安全,金雅拓Safenet软件许可服务产品漏洞对大量工业控制系统造成影响,美国天然气输气管道遭供应链攻击引发系统故障等安全事件,工业信息安全警钟长鸣。
随着我国工业互联网加速发展,加强工业互联网安全保障成为当前工业信息安全工作的前沿与重点。然而,我国工业互联网安全保障能力相对薄弱,成为现阶段工业信息安全工作的一项明显短板。目前,工业互联网标识解析、工业云平台、大数据智能分析等核心技术和产业链关键环节仍然掌控在美欧等发达国家手中,我国工业核心设备及系统自主研发能力不足,安全技术和产品相对匮乏,产业支撑效应不明显,远远难以满足当前工业信息安全发展的现实需求。同时,我国工业信息安全在产业结构、资源配置、市场环境、业态发展等方面明显不足,尚未形成完整的产业链。威胁态势感知与预警、漏洞挖掘、攻击者画像与溯源、容灾备份等核心技术积累不足,仍然处于跟跑状态。
二、 工业信息安全的发展趋势
2013年,德国政府提出“工业4.0”战略,掀起了以智能制造为代表的第四次工业革命,通过充分融合信息与物理系统,使制造业迈向智能化。此后,包括中国、美国在内的制造业大国也相继提出了类似概念,推动全球新一轮科技革命和产业变革。在这个浪潮的冲击下,以前孤立的生产环境开始互联,封闭的制造系统逐步开放,专有的工业技术最终共有,曾经束缚工业发展的枷锁被新技术的铁锤击碎,机器和机器互联,机器与人互联,边界被抹平,隔阂被消弭,万物互联的时代到来。越来越多系统被整合进网络,数据在电缆光纤中奔流,汇成指令的洪流推动制造业巨轮前进,工业世界由模糊变得透明,互联网世界的威胁也开始悄悄入侵,工业信息安全也随之出现新的发展态势。
(一)人才培训和意识宣贯成为行业重点
人才培训和意识宣贯需求猛增,有望成为工业信息安全行业重点。网络安全本质是人与人的攻防对抗,安全防护效果与防护技术体系和人工应急响应能力密切相关。与美国、日本、欧盟等比较,我国网络安全人才培养战略和工业信息安全防护工作起步较晚,整体水平存在一定差距。目前面临企业工业信息安全防护意识薄弱、专业人才紧缺的现实情况,工信部组织国家工业信息安全发展研究中心在2017和2018年度以《工业控制系统信息安全防护指南》和《工业控制系统信息安全行动计划(2018-2020年)》为核心开展宣贯培训。未来一段时间,在顶层设计落实的不断推动下,宣贯培训工作的示范效应有望进一步显现。以企业为主体的人才多元化市场化培训有望增加,工业信息安全意识宣贯和人才培养将成为下一阶段行业重点。
(二)基础组件的先天缺陷催生本体安全的建设
最近几年针对计算机系统的组件暴露的漏洞日益增多,最近Intel、AMD和ARM的CPU的两个新的侧信道攻击漏洞“Spectre”和“Meltdown”被爆出,虽然相关公司已经提供了固件和软件更新,但专家们认为自1995年以来几乎所有的英特尔处理器都受到影响。相关公司,如微软、谷歌、红帽、VMware等开始发布软件更新和解决方案来解决漏洞。看似全球的科技公司都在为相关漏洞积极寻找解决办法,但是对于我国工业企业,控制系统的工程师站和操作员站以及嵌入式设备大量使用基于Intel、AMD、ARM的CPU,同时却无法针对此问题进行有效的固件和软件更新,所带来的风险是无法预估和防御的。因此,工业控制系统本体安全的研究和工程化,成为解决工控安全架构安全的途径和方式之一。
(三)以业务数据为核心的安全体系建立
新一代信息技术的大量应用,包括工业领域新技术的不断快速迭代,大数据、工业云等技术的不断试水,工业企业更加强调了高效、低耗、业务联动的特点,端到端的定制化需求要求信息流要快速而准确。而信息流中的业务内容、强调时效性的数据表达了客户需求、产品特点、原材料物流、生产排班、定制生产、产品配送等关键信息,这些信息所表达的数据形式、内容的关键程度较为重要。数据的准确度、时效性以及认证程度等,防篡改、防抖动的需求是极为迫切的,因为,生产的输入和输出,完全基于数据的信息流的完整程度和准确程度。因此,结合工业工艺的业务数据,同时也包括基于工业企业资产的数据,就成为工业企业安全体系建立的核心,也是技术和管理双向保障企业安全的基础。
(四)由重边界防护向全流程监管方向发展
工业生产环境,大部分还是处于隔离的状态,即互联互通的需求存在,也是需要在边界建立强保护措施,例如电力的生产控制大区和管理信息大区的单向隔离要求达到或者接近物理隔离的水平、石化行业的数采网和信息网同样增加了网闸进行隔离。这种措施确实是可以有效保障安全威胁因缺少边界防护从办公信息网渗透到生产网络环境中,但也同时形成了企业人员认为隔离即是安全的固定思维,再加上生产环境中的针对信息安全的保障制度和保障措施的执行缺失,工业控制系统“带病工作”的现象极为普遍。企业为保障生产任务,又不能彻底解决安全问题,周而复始积累了大量的安全隐患。因此,从政府及行业监管和企业自身安全需求的双向驱动下,企业安全建设不能再停留在只重边界防护建设的思想之上,同时工业信息安全防内大于防外的认识会不断完善,风险管理的体系会逐渐形成,企业的全流程安全监管成为主要的保障措施。
(五)由强调静态安全产品建设向服务+产品的动态保障转变
从信息安全发展角度来看,解决系统的架构安全、建立被动防御体系、形成积极防御力量,再到基于威胁情报的保障体系,需要逐步完善。但在工业信息安全领域,面临的问题往往是架构安全、被动防御、积极防御和威胁情报需要并行发展、完善和工程化。因此,在企业逐渐认识到安全是相对的、动态的和持续投入的,单纯的、静态的安全防护体系不是一条有效的解决途径后,会提出基于业务安全的持续性安全保障措施——安全运营。安全运营,是在与业务紧密贴合的前提下,承认系统架构安全的脆弱性,建立纵深防御后,采取数据采集、监控和应急处置的联动方式,快速、及时地保障生产安全。采取的方式是安全运营人员+产品工具+安全数据分析+闭环管控的动态保障模式,就会形成安全防护产品建设、安全运营体系、应急保障体系的联动机制,更加贴近企业的实际情况,更有效地保障工业信息安全。
三、保障工业信息安全的措施建议
目前,通过扎实推进工业信息安全各项工作,工业信息安全管理体系、评估体系、应急体系、技术支撑体系初步构建,工业信息安全国家级技术队伍建设初具规模,工业信息安全“产、学、研、用”协作模式初步形成。但是面对日益严峻的工业信息安全形势,必须牢固树立正确的网络安全观,坚持网络安全和信息化发展并重的理念,提高认识,找准方法,一手抓监督管理,一手抓技术支撑,切实落实企业安全防护主体责任。从政策标准、技术创新、综合防护、生态构建等方面入手,既注重“物理隔离+可管可控”等本体安全、又注重“服务+产品”等防御安全,采取“人防+物防+技防”等综合手段,进行全流程监管,不断完善工业信息安全保障体系。
(一)完善政策和标准规范,做好顶层设计。在整个网络安全被提升到国家层面的情况下,标准和政策对于工业信息安全行业的发展方向有着牵一发而动全身的影响。贯彻落实《中华人民共和国网络安全法》,编制工业信息安全领域实施细则、指南及司法解释,研究出台工业信息安全管理办法等规章制度,明确主体责任,指导相关工作,监督工业领域关键信息基础设施运行安全保护,防范、制止和惩治破坏工业信息安全的行为。贯彻落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》《工业控制系统信息安全行动计划(2018—2020年)》《工业控制系统信息安全防护指南》等政策文件,推动信息安全与信息化建设同步规划、同步建设、同步运行,建立健全监督检查、监测预警、事件通报、应急处置等工作机制。持续完善工业信息安全政策制度,建立完善检查评估、产品和服务安全审查、检测认证、数据跨境评估等机制,加强工业互联网安全、工业控制系统安全、工业企业及数据分级分类保护、关键基础设施保护等标准规范和管理要求。面向工业控制系统、工业互联网平台、工业数据等安全防护需求,研究制定工业企业设备层、网络层、管理层等的安全防护、测试验证等标准,加强设备接入安全认证、工业控制系统协议解析、企业内外网流量监测、数据全生命周期安全防护。
(二)打造工业信息安全专业队伍,做好“人防”保障。做好工业信息安全工作,人才是关键。我国工业信息安全人才缺口较大,亟须加快人才队伍建设。依托国家级工业信息安全技术机构,建立完善工业信息安全培训认证体系,加快培养领军人才、复合型人才,加强漏洞挖掘、渗透测试等技术人才储备。充分发挥产业联盟“产学研用”合作基础优势,开展意识教育、产业促进等培训,打造梯队健全、技术精湛、听从指挥、响应迅速的工业信息安全队伍。推动网络安全、自动化等工业信息安全相关学科交叉融合建设,加强产教结合,鼓励企业建立实训基地,培养一批工业信息安全专业型、复合型人才。同时,落实工业信息安全责任制,强化企业安全责任和义务,加大企业投入,积极主动开展防护能力评估。
(三)培育工业信息安全产业生态,做好“物防”保障。推动建设国家新型工业化产业示范基地(工业信息安全),促进产业集聚发展。培育一批核心技术能力突出、辐射带动面广的工业信息安全龙头企业,增强安全产品和服务供给能力。加快自主可控工业信息安全产品研发,组织开展产品示范应用,推动规模化、产业化应用。优化产业发展环境,发挥产业联盟作用,增强产业链协同互动,构建协调发展的产业生态系统。围绕工业企业访问认证、数据加密、权限管理、日志审计等安全需求,着力推动研发工业信息安全防护技术工具集,加强设备特征智能提取、网络和数据分区隔离、流量审计与清洗、实时动态阻拦等关键技术攻关,强化面向多种工业场景、兼容不同生产设备种类的工业系统威胁防护、监测预警等技术方案供给。积极探索在工业场景中使用拟态安全、可信计算、欺骗防御等主动防御理念和手段,着力推动高可靠低资源占用的漏洞自动挖掘、自动攻防技术和新型密码算法研发,提升工业信息系统风险防范能力。
(四)筑牢工业信息安全技术防线,做好“技防”保障。大力支持国家级工业信息安全技术机构建设全国工控安全监测网络、应急资源库、仿真测试平台、信息共享平台、信息通报平台(一网一库三平台),着力提升态势感知、隐患排查、攻击发现、应急处置等技术能力。着力提升隐患排查、攻击发现、应急处置和攻击溯源等能力,实现整体安全态势感知、威胁信息共享和重大突发事件协同处置。推动建设国家级攻防技术演练、标准试验验证、公共服务、众测众研等平台和环境。推动产学研用合作,研究适合当前我国工业互联网发展的安全防护解决方案,利用工业信息安全关键技术研发形成攻击防护、漏洞挖掘、入侵检测、态势感知、安全审计、可信芯片等安全产品,推动创新应用。加快工业信息安全攻防靶场建设,模拟真实工业生产环境有效开展攻防技术试验验证、生产系统安全检测和风险评估、攻防演练等,提升各类生产场景下的识别、防护、检测、响应和恢复的针对性和有效性,切实保障工业信息安全。
香港国际网络电视台
责任编辑:邢小龙