中国9成工控系统在裸奔,工业互联网安全如何破局?

OFweek工控网 中字

随着新基建逐步深入,互联网+、大数据、云计算等新一代信息技术与工业生产进一步深度融合,工业控制系统作为工业领域“神经中枢”,呈现互联互通趋势,在享受新一代信息技术的成果的同时,传统工业控制系统的安全性问题愈发突出,工业互联网也成为黑客攻击和网络战的重要目标。工业互联网的平台安全、数据安全和联网智能设备的安全问题都备受关注。

自2010年伊朗”震网“事件爆发以来,全球工业信息安全事件屡屡发生,对全球国家的经济、社会及至国家安全造成重大冲击。

放眼全球,数据显示,2019全球各地大约有329件工控安全问题事件,据网上公开资料显示,安全事故涉及的领域众多,包括天然气、制造、能源、电力、汽车、化工等。高于2018年的320件,从2012年开始工控安全事件报告数量逐年上升。

中国9成工控系统在裸奔,工业互联网安全如何破局?

数据来源:中国产业信息,OFweek工控网整理

聚集我国,工控安全问题同样严峻,不容小觑。根据我国国家工业信息安全产业发展联盟统计的数据显示,中国工控系统95%以上仍存在漏洞,65%属于中高危漏洞,33%属于高危漏洞,可以轻易被远程控制。

万物互联背后的潜藏危机

工业互联网是“互联网+”与工业系统的深度融合,是智能制造的基石,也是企业提质增效的必由之路。随着万物互联的深入发展,企业工控系统全部上云后,由于我国的很多工业设备是国外进口或者是来自于第三方,没有做到自主可控,这里就存在一个很大的安全问题,因为这些设备存在后门,而后门存在不能解决的漏洞,黑客或者恶意人员可以随意进出操作,数据显示,我国约2成的重要工控系统可被远程入侵并完全接管。

近端设计攻击是针对一些控制系统设备进行攻击,控制系统设备主要是针对DCS、针对控制环路以及它的控制参数进行攻击。在一个环路的参数中,稍微调整一下并不会及时产生一些可能出现的风险,但是它会长期产生振荡。而振荡情况下,会使得控制系统执行机构长期产生疲劳,使得控制系统得到最后的损坏。这是相关三类攻击,近端攻击往往在工控领域产生影响最大。

业内人士表示,由于网络安全事件具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏了几年都不被发现,结果往往是“谁进来了不知道、是敌是友不知道、干了什么不知道”,隐患长期潜伏。针对工业互联网的攻击已从原有的一个代码攻击一两种漏洞,进化成一个攻击代码可以嵌入数十种底层系统漏洞。

多数工业系统在设计之初是封闭的“单机系统”,没有考虑联网需求,现在随着工业“互联网+”的推进,将必然导致一批系统和设施暴露。很多的系统和设备没有防护软件,也不能安装杀毒系统,一旦上了网就是“裸奔”状态。

360创始人、董事长兼CEO曾在接受采访时表示,“我们遇到的很多现场设备比较老旧,有的还在使用十几年前的操作系统,没有任何安全防护软件,这样就可能存在很大的安全风险,而系统维护人员还没有认识到。很多系统带毒运行,有的主机甚至有三千多个病毒。一旦感染的恶意软件在某个特定触发条件下发作,就会对企业造成严重影响。”

目前,绝大多数的企业没有能力识别或应对这些入侵和攻击。陈旧的工业系统、落后的安全意识、工控系统攻击工具的进化,都极大拉低了工控系统攻击的门槛,使工控系统当下和未来一段时间,都面临着巨大的安全威胁。

工业互联网安全如何破局?

随着IPv6下一代互联网技术的部署和5G时代的到来,工业互联网将面临更为复杂多变的挑战。加强工业信息安全建设、加快构建全方位的安全保障体系,是制造大国迈向制造强国的基础。主要从以下五方面着手:

一、建立和强化安全意识。工业互联网的安全问题首先要建立起安全意识,上到国家下至企业,从上而下都要强化工控安全问题。企目前从国家来看,近年来国家对安全生产的重视程度逐步提升。国家安全监管总局发布的《安全生产信息化总体建设方案及相关技术文件的通知》明确指出,到2020年实现全国安全生产信息化“一张网(安监网)、一张图、一张表、一盘棋”的基本格局,尤其今年推出全国安全生产专项治理三年行动计划中,强调了2021年之前建立企业的一张网信息化管控系统,推进重点行业和领域的机械化、信息化和智能化建设。

业尤其需要重视并承担起主体责任,工业互联网不仅带来经济利益,也有相应的社会责任。

二、进一步加强安全信息在制造业的应用,包括可信计算、密码应用、5G和区块链相关技术与工业相结合,加快应用落地。

三、开展等级保护2.0,现在等级保护2.0能够基本解决目前来说工控系统裸奔相关的问题。

四、加快实现工控重点关键控制设备国产化替代进程。只有工业控制系统自主可控,才能从根本上解决工控安全问题,逐步解决卡脖子的关键核心零部件、工业软件等技术问题,才能解决国外进口设备存在的后门问题,避免黑客长驱直入。

五、加强人才培养。工业控制系统的安全实质是人与人的对抗,不是购买和部署一批网络安全设备、安装一批软件就能解决的。工控网络安全更需要专业安全运维人员来做分析、规划、态势研判、响应和处置。有专家建议从整体产业角度推动人才培养和建设,支持相关教育培训机构开展网络安全学科联合建设,将工业网络安全纳入职业技能鉴定体系,培养一支门类齐全、技术精湛的专业人才队伍。

结语

5G、大数据、工业互联网等新技术的出现,对于工业来说,说是一把双刃剑比较贴切。新技术不仅让工业更智能,同时也存在安全隐患,工控系统的“裸奔”现状不容忽视,在享受新一代信息技术带来便利的同时,企业要充分考虑安全问题,提前布局才能让工控系统安全告别“裸奔”。路漫漫其修远兮,但仍需不断上下而求索之。

声明: 本网站所刊载信息,不代表OFweek观点。刊用本站稿件,务经书面授权。未经授权禁止转载、摘编、复制、翻译及建立镜像,违者将依法追究法律责任。
侵权投诉

下载OFweek,一手掌握高科技全行业资讯

还不是OFweek会员,马上注册
打开app,查看更多精彩资讯 >
  • 长按识别二维码
  • 进入OFweek阅读全文
长按图片进行保存