近日,在世界工业互联网大会——工业互联网安全分论坛上,中国信通院安全研究所柯皓仁出席会议并发表《工业互联网安全发展新形势展望》专题演讲。
我国制造业经历了几十年的一个发展历程,现在已经全面进入到数字化的新阶段。2017年以后,我国在推进工业互联网发展的过程中,取得卓越成效。但同时,在安全方面,仍然存在一些问题亟待解决。新基建发展战略提出后,工业互联网的发展再一次加速,形成新技术加速融合、新生态加速形成的良好局面。
工业互联网攻击的两大特点
柯皓仁表示,互联网攻防从之前到现在发生了很大的变化。过去,黑客主要针对的是个人隐私,是以经济行为作为目的的攻击。而如今随着工业信息化的发展,工业领域里发生了很多网络安全事件。互联网攻击已经由原来针对经济目的转变为针对一些特定组织,造成一系列社会安全以及国家安全事件。
工业互联网安全事件近几年发生较多,安全形势不容乐观,针对工业互联网的攻击主要表现为以下两类:
- 第一个是攻击的专业化。现在的攻击手段日趋复杂,表现为工具化、规模化、自动化;攻击类型从原来的短时突发攻击发展到现在的高级别、持久性攻击,其中也包括现在针对特定工业场景,特定系统,特定设备进行专业化的一种攻击。
- 第二个是攻击行为的国家化。现在很多大型公共事件可能会被作为一些国家之间网络安全的直接对抗,被视为第三战场。针对国家重要能源电力等领域的攻击,关联比较严重。
工业互联网五方面安全风险
在新基建发展战略提出以后,我国工业互联网建设发展按下了快进键。产业发展的同时,安全风险也随着进一步增大。IT技术和工业领域深度融合放大了工业互联安全保障能力与不断提高的安全需求之间的差距。
IT,OT融合以后,暴露出很多安全风险。柯皓仁总结为五个方面:
- 第一,是传统网络安全的防护机制需要升级。我国工业互联网是在强调人机数据的全面互联,把原来封闭的OT网络进行打通,导致边界逐渐模糊。传统的基于边界防护机制,难以有效应对现在新的安全风险。
- 第二,是终端设备安全资源相对不足。传统的一些PC,包括智能设备,智能装备,已经成为我国互联网安全的重灾区。
- 第三,是存量的控制系统协议存在很多安全漏洞。包括可能存在的直接明文去传输相关的控制指令,严重影响生产安全。另外,就是整个供应链安全不可控,存在相应的安全隐患。
- 第四,是工业互联网平台安全基础设施较弱。我国工业互联网防护手段比较初级,实际上有相当一部分企业,平台安全意识相对比较淡薄。
- 第五,是工业数据的泄露风险较大。过去,没有专门去针对做相应安全保护的防护措施,且现在工业数据可能应用的点越来越多,针对性的安全防护措施比较缺乏,发生了很多类似的泄露事件。
工信部发布安全指南 为工业互联网安全护航
目前,很多安全厂商还是以互联网思维去做工业互联网安全,这种体系存在一定缺陷。对于提升安全防护能力,发现相应的安全风险和安全漏洞方面仍存在不足。为应对这一问题,去年年底,工信部发布《工业互联网企业网络安全分类分级指南(试行)》(以下简称指南),从国家战略层面上对工业互联网安全发展提供基础支撑。
指南是落实安全防护,提升安全团队的重要依据和实际的抓手。目前随着近几年国家顶层设计逐渐完善,一部分行业对工业互联网安全工作的重视,使得整个管理体系逐渐完善。用户对公共安全从一个不接受不认可的状态转变为如今网络安全意识已经基本形成。
柯皓仁安全管理指南的一些定位和目标进行分析。他指出,安全管理者是以企业为主体,以工业互联网企业的网络安全分类分级为核心,去调动地方主管部门、产业协会、第三方机构的多方力量去加强企业的差异化,精细化的管理,推动整个企业落实网络安全的主体责任,提升相应的能力和水平。指南中的实施附件中,配套的标准规范对推动形成国标,社会规范具有重要的作用,其中并对工业数据、安全防护规范进行单独的设定。