隨著(zhù)制造業(yè)的轉型升級��,萬(wàn)物互聯(lián)已經(jīng)成為工業(yè)信息系統中不可逆轉的趨勢�����,在工業(yè)信息系統逐步與互聯(lián)網(wǎng)進(jìn)行融合的過(guò)程中����,安全問(wèn)題也逐漸凸顯出來(lái)���。
日前在成都舉行的2018年網(wǎng)絡(luò )安全周上��,與會(huì )專(zhuān)家和業(yè)內人士紛紛表示��,由于工業(yè)信息系統安全水平相對較低�����,漏洞較多�,這些漏洞極易被黑客利用�。安全漏洞成了工業(yè)互聯(lián)網(wǎng)面臨的首要安全問(wèn)題����。
據我國國家信息安全漏洞共享平臺(CNVD)統計����,2017年新增信息安全漏洞4798個(gè)����,其中工控系統新增漏洞數351個(gè)��,與2016年同期相比�����,新增數量幾乎翻番����,工業(yè)控制系統漏洞呈快速增長(cháng)趨勢�����。未來(lái)�,工業(yè)物聯(lián)網(wǎng)領(lǐng)域的安全事件還會(huì )繼續呈現高發(fā)狀態(tài)�����。
來(lái)自補天平臺的監測數據顯示���,我國工業(yè)互聯(lián)網(wǎng)聯(lián)盟成員中82家工業(yè)企業(yè)的ICS����、SCADA等工控系統里�����,有28.05%都出現過(guò)漏洞���,并且23.2%是高危漏洞���。值得注意的是�,這些漏洞還僅僅是全部系統漏洞的一小部分���,大量的工業(yè)設備暴露在公網(wǎng)上�,因為缺乏基礎的安全保障��,成為黑客甚至是全球不法分子攻擊的目標�。
360企業(yè)安全集團董事長(cháng)齊向東在接受《經(jīng)濟參考報》記者采訪(fǎng)時(shí)說(shuō)�,工業(yè)互聯(lián)網(wǎng)下的信息安全����,暴露出工業(yè)企業(yè)的內部問(wèn)題�。首先�����,工業(yè)設備資產(chǎn)的“底數不清”��,很多工業(yè)協(xié)議���、設備����、系統在設計之初并沒(méi)有考慮到復雜網(wǎng)絡(luò )環(huán)境中的安全性����,系統生命周期長(cháng)�、升級維護少也是巨大的安全隱患��。其次�����,很多工控設備缺乏安全設計���。再次�,設備聯(lián)網(wǎng)機制缺乏安全保障�。另外���,IT和OT系統安全管理相互獨立��,操作困難��,一些智能制造工廠(chǎng)內部生產(chǎn)管理數據等面臨丟失���、泄露����、篡改等安全威脅���。
FOFA系統通過(guò)對1182種工業(yè)互聯(lián)網(wǎng)系統和16種工業(yè)互聯(lián)網(wǎng)協(xié)議進(jìn)行統計�,發(fā)現全網(wǎng)共有195243個(gè)工業(yè)互聯(lián)網(wǎng)系統暴露在外���。其中工業(yè)控制系統中Somfy產(chǎn)品最多����,占62%�����;其次是德國B(niǎo)eck IPC�,占23%��;霍尼韋爾的EnergyICT和Tridium_NiagaraAX各占3%��;其余均低于2%����。這些設備主要針對智能電網(wǎng)����、能源管理����、樓宇自控系統���、工業(yè)控制等領(lǐng)域�����。
北京華順信安科技有限公司安全總監吳明表示���,這些設備沒(méi)有任何的安全防護措施���,大部分也都爆出過(guò)漏洞���,這些漏洞一旦被黑客掌握并加以利用�,則可以直接通過(guò)遠程的方式獲取設備權限�、竊取信息���,甚至還可能導致系統癱瘓����。國家的重要基礎設施一旦被侵入���,將不僅僅涉及民生���,國家安全也將受到極大威脅����。
例如��,2017年影子經(jīng)紀人泄露的NSA網(wǎng)絡(luò )武器庫�,包含眾多工業(yè)互聯(lián)網(wǎng)系統漏洞�,可以實(shí)現對設備的精確打擊����。通過(guò)該方式還可以實(shí)現頻繁的����、大規模的漏洞打擊�。席卷全球的“WannaCry”勒索病毒就利用了影子經(jīng)紀人公布的NSA漏洞——“永恒之藍”漏洞進(jìn)行傳播���。而通過(guò)該漏洞����,中石油�、銀行ATM機����、高校系統等眾政企���、高校中招���。
吳明表示��,對于目前的網(wǎng)絡(luò )安全形勢��,可通過(guò)對全球網(wǎng)絡(luò )對外開(kāi)放服務(wù)的資產(chǎn)進(jìn)行主動(dòng)或被動(dòng)方式探測�����、抓取��、存儲�����,分析整理不同種類(lèi)的網(wǎng)絡(luò )空間資產(chǎn)指紋信息(規則)����,并對符合規則的資產(chǎn)進(jìn)行統計分析�,進(jìn)而快速檢索全球網(wǎng)絡(luò )空間資產(chǎn)�。
多位與會(huì )專(zhuān)家表示���,應建立漏洞管理全流程監督處罰制度�����,制定覆蓋網(wǎng)絡(luò )安全漏洞的發(fā)現�、審核���、披露����、通報���、修復��、追責等全流程管理細則��,強制要求漏洞及時(shí)修復���,對漏洞修復時(shí)間以及違規處罰措施予以明確規定�。此外�����,應建立監督檢查機制和力量����,及時(shí)發(fā)現未及時(shí)修復漏洞的行為����,并追究相關(guān)單位和責任人責任�。
與此同時(shí)����,有專(zhuān)家呼吁���,應該研究制定新一代信息技術(shù)在工業(yè)領(lǐng)域應用的安全架構�,盡快突破一批工業(yè)信息安全關(guān)鍵核心技術(shù)�,重點(diǎn)發(fā)展一批高端產(chǎn)品��,形成具有市場(chǎng)競爭力的產(chǎn)品體系�����。我國現有工業(yè)信息安全產(chǎn)業(yè)(包括產(chǎn)品���、技術(shù)����、服務(wù)等)占整個(gè)IT行業(yè)的比重不足2%�,遠低于歐美發(fā)達國家近10%的水平���。只有做強自主可控的工控系統相關(guān)行業(yè)��,才能夠在安全問(wèn)題上掌握話(huà)語(yǔ)權���。(記者 楊燁 )
轉自:經(jīng)濟參考報
【版權及免責聲明】凡本網(wǎng)所屬版權作品�,轉載時(shí)須獲得授權并注明來(lái)源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責任的權力�。凡轉載文章及企業(yè)宣傳資訊�,僅代表作者個(gè)人觀(guān)點(diǎn)�����,不代表本網(wǎng)觀(guān)點(diǎn)和立場(chǎng)��。版權事宜請聯(lián)系:010-65363056�����。
延伸閱讀
