今日頭條
官方微信
官方抖音
資訊頻道基于信息技術(shù)與工業(yè)技術(shù)深度融合的工業(yè)互聯(lián)網(wǎng),正在改變現(xiàn)代工業(yè)的設(shè)計、生產(chǎn)和應(yīng)用模式,以及我們的生活方式,已上升為我國建設(shè)制造強國的國家戰(zhàn)略。目前網(wǎng)絡(luò)空間的對抗已演變成大國間對抗的首選戰(zhàn)場,工業(yè)互聯(lián)網(wǎng)廣泛涉及到能源、智能制造、交通、電子與通信等眾多重要行業(yè)或領(lǐng)域,其安全關(guān)乎國計民生、公共利益和國家安全。震網(wǎng)病毒、烏克蘭和委內(nèi)瑞拉電網(wǎng)事件等說明工業(yè)互聯(lián)網(wǎng)已經(jīng)成為國家間對抗的重要目標,工業(yè)互聯(lián)網(wǎng)安全形勢不容樂觀。工信部等十部門于2019年8月28日印發(fā)《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》(簡稱《指導(dǎo)意見》)是非常必要、非常及時的,為我國工業(yè)互聯(lián)網(wǎng)安全指明了階段目標和實施策略。
工業(yè)互聯(lián)網(wǎng)安全涉及到諸多行業(yè)和領(lǐng)域,與數(shù)千家工業(yè)互聯(lián)網(wǎng)企業(yè)、管理機構(gòu)、用戶單位緊密相關(guān)。《指導(dǎo)意見》的落地是一個大的系統(tǒng)工程,如何結(jié)合我國具體情況與國際形勢進一步落實《指導(dǎo)意見》,值得我們每一個工業(yè)互聯(lián)網(wǎng)安全從業(yè)者深入思考和探討。
我國工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀令人堪憂。
第一,我國基礎(chǔ)設(shè)施和高端制造企業(yè)中存在大量的國外工業(yè)設(shè)備,這些工業(yè)系統(tǒng)在相當長的時間內(nèi)還會繼續(xù)使用;同時,由于技術(shù)水平和制造能力的限制,國內(nèi)高端數(shù)控機床、高端發(fā)動機、發(fā)電控制系統(tǒng),以及高端PLC器件等工控設(shè)備依賴國外發(fā)達國家,這些核心元器件和設(shè)備的內(nèi)部機理和通信協(xié)議往往不被我們掌握,以及自身存在設(shè)計漏洞和被植入后門的問題,造成重要工業(yè)資產(chǎn)和裝備制造信息可能被國外非法收集。在國際開發(fā)、合作的大環(huán)境下,如何保證現(xiàn)有進口工控設(shè)備的安全成為我國工業(yè)互聯(lián)網(wǎng)安全必須面對的重要核心問題之一。
第二,我國的工業(yè)技術(shù)和安全技術(shù)與國際最發(fā)達國家存在一定的差距,工業(yè)互聯(lián)網(wǎng)設(shè)備及其安全產(chǎn)品的研發(fā)能力亟待提高。工業(yè)互聯(lián)網(wǎng)建設(shè)與安全保障需要大量的工業(yè)互聯(lián)網(wǎng)安全專業(yè)人才,然而我國目前這方面的安全人才缺口很大,工業(yè)互聯(lián)網(wǎng)安全涉及到工業(yè)控制與自動化、電子信息通信、網(wǎng)絡(luò)安全等多個學(xué)科,這種多學(xué)科交叉對工業(yè)互聯(lián)網(wǎng)安全人才的培養(yǎng)增加了難度。
第三,工業(yè)互聯(lián)網(wǎng)涉及不同行業(yè)的重要程度和安全需求不同,其安全防護水平和優(yōu)先級也要區(qū)別對待。例如軍工高端制造和能源電力(發(fā)電與電網(wǎng))等行業(yè)涉及到國家安全,也是其它工業(yè)互聯(lián)網(wǎng)行業(yè)的基礎(chǔ)和支撐。因此,此類行業(yè)的安全應(yīng)成為首要考慮和關(guān)注的重點。
如何使工業(yè)互聯(lián)網(wǎng)安全的指導(dǎo)意見發(fā)揮作用,我們作為安全科研機構(gòu)結(jié)合自己的基礎(chǔ)積累和研發(fā)經(jīng)驗,提出如下建議:
第一,遵照《指導(dǎo)意見》中提出的工業(yè)互聯(lián)網(wǎng)安全要有頂層設(shè)計的指導(dǎo)原則,結(jié)合我國工業(yè)互聯(lián)網(wǎng)的現(xiàn)狀和技術(shù)水平,“從外到內(nèi)、從表到里”地分階段實施。受限于同時掌握工控系統(tǒng)和安全知識的研發(fā)人員很少,現(xiàn)有工控互聯(lián)網(wǎng)安全產(chǎn)品基本處于初始階段,目前工業(yè)互聯(lián)網(wǎng)的安全方案主要是外部威脅圍堵式或網(wǎng)絡(luò)流表面式的防護,很少深入到工業(yè)互聯(lián)網(wǎng)的核心部件,這應(yīng)逐漸深入到PLC、工控組態(tài)軟件和數(shù)控機床等核心元器件的安全,把工控系統(tǒng)的功能安全與信息安全結(jié)合起來,實現(xiàn)工業(yè)互聯(lián)網(wǎng)的內(nèi)置安全。
第二,工業(yè)互聯(lián)網(wǎng)安全的首要任務(wù)是建立安全檢查和風險識別的能力。開放、合作、博弈、對抗的國際環(huán)境下,針對現(xiàn)階段我國關(guān)鍵基礎(chǔ)設(shè)施,特別是采用國外工控設(shè)備的重要設(shè)施和高端制造企業(yè),如何檢測是否已被攻擊、發(fā)現(xiàn)現(xiàn)有系統(tǒng)存在安全隱患,是各個工業(yè)互聯(lián)網(wǎng)企業(yè)首先要解決心頭之患的問題。對重要基礎(chǔ)設(shè)施的攻擊往往是國家級的高隱蔽行為,如何發(fā)現(xiàn)高隱蔽攻擊或未知攻擊是一個有挑戰(zhàn)性的難題,需要多維度的協(xié)同才能發(fā)現(xiàn)高隱蔽攻擊。其中,高仿真、高交互的專用工業(yè)入侵誘捕系統(tǒng)(蜜罐/蜜網(wǎng))是在工控企業(yè)發(fā)現(xiàn)未知攻擊的一種最有效工具。然而當前只有少量工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)部署工控蜜罐,而且其對蜜罐數(shù)據(jù)深入分析發(fā)現(xiàn)攻擊的能力也急需加強。同時,應(yīng)加強企業(yè)內(nèi)部、行業(yè)、全國甚至全球工控安全態(tài)勢的的感知和分析能力,通過在全球互聯(lián)網(wǎng)上大量部署多類型的蜜罐系統(tǒng),有助于主動監(jiān)測和被動誘捕相結(jié)合地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊活動情況和未知攻擊樣本特征。
第三,《指導(dǎo)意見》要求對重點行業(yè)和領(lǐng)域要高度重視重點布局,發(fā)電行業(yè)、電網(wǎng)系統(tǒng)、軍工制造企業(yè)、軌道交通、三峽水利等是工業(yè)互聯(lián)網(wǎng)安全防護的重中之重,需要多部門相互協(xié)助,進行針對性的技術(shù)攻關(guān),具備發(fā)現(xiàn)高等級網(wǎng)絡(luò)攻擊的能力,提出多種深度安全防護的體系化方案。
第四,針對多個重要工業(yè)互聯(lián)網(wǎng)行業(yè),分別構(gòu)建特定的工業(yè)互聯(lián)網(wǎng)攻防演練靶場和仿真測試平臺,為工控漏洞挖掘、安全威脅感知、網(wǎng)絡(luò)攻防對抗與安全防護等關(guān)鍵技術(shù)研究提供符合真實現(xiàn)場實際的基礎(chǔ)科研平臺。同時,加強工業(yè)互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全復(fù)合型高端人才的培養(yǎng),建立一批工業(yè)互聯(lián)網(wǎng)安全重點實驗室,在研究生學(xué)科建設(shè)中增加工業(yè)聯(lián)網(wǎng)安全方向,加大工業(yè)互聯(lián)網(wǎng)人才的培養(yǎng)力度。
第五,構(gòu)建工業(yè)互聯(lián)網(wǎng)安全資源庫,如工業(yè)協(xié)議庫、安全漏洞庫、惡意代碼病毒庫和安全威脅信息庫等,以及安全應(yīng)急處置、安全事件現(xiàn)場取證等工具集。由于工業(yè)互聯(lián)網(wǎng)行業(yè)眾多,控制協(xié)議、設(shè)備類型和網(wǎng)絡(luò)形態(tài)差異很大,不同行業(yè)在考慮工業(yè)互聯(lián)網(wǎng)通用需求情況下要構(gòu)建本行業(yè)專用安全資源庫和安全工具集,并在行業(yè)內(nèi)培訓(xùn)和推廣應(yīng)用的同時,注意安全資源庫自身的安全和防泄漏問題。(作者孫利民博士系中國科學(xué)院信息工程研究所研究員,博士生導(dǎo)師,物聯(lián)網(wǎng)安全北京市重點實驗室主任,中國工業(yè)互聯(lián)網(wǎng)研究院特邀專家)
來源:人民網(wǎng)
北京市公安局海淀分局備案號:11010802023656號