近日,工業和信息化部聯合教育部、人力資源社會保障部、生態環境部、衛生健康委員會、應急管理部、國有資產監督管理委員會、國家市場監管總局、國家能源局、國防科技工業局等十部委共同印發了《加強工業互聯網安全工作的指導意見》(以下簡稱《安全指導意見》),引起了行業人士的高度關注和熱議。首先,十部門聯合重磅發文體現了國家對工業互聯網安全的重視程度之高、力度之大,工業互聯網安全已經上升到國家戰略層面。其次,該文件內容具體而詳實,可以作為工業互聯網安全產業發展的指導綱領。《安全指導意見》為我國工業互聯網安全設定了非常具體的總體目標,圍繞設備、控制、網絡、平臺、數據安全,落實企業主體責任、政府監管責任,健全制度機制、建設技術手段、促進產業發展、強化人才培育,提出了十七項明確的工作任務和四項保障措施。《安全指導意見》的逐步落實,必將全面提升我國工業互聯網創新發展的安全保障能力和服務水平,促進工業互聯網高質量發展,推動現代化經濟體系建設。
作為工業互聯網安全產業的從業者,本人通讀了幾遍《安全指導意見》,並深入理解和思考,以網絡安全企業的視角,從產品技術的維度,談一談本人的幾點思考,供大家參考和批評指正。
首先,工業互聯網安全保障體系建設,安全能力是基礎。
工業互聯網是新一代信息技術與製造業深度融合的產物,是第四次工業革命的關鍵支撐,其本身的技術複雜度、面臨的潛在安全威脅、安全事件造成的嚴重危害都對從事工業互聯網安全工作的單位和企業提出了非常高的安全能力要求。《安全指導意見》高度重視安全能力建設,要求夯實工業設備和控制安全、提升網絡設施安全、強化平臺和工業應用安全、強化企業數據安全防護能力、建設工業互聯網安全技術保障平臺、建設工業互聯網安全基礎資源庫、建設工業互聯網安全測試驗證環境、加強工業互聯網安全公共服務能力、推動工業互聯網安全科技創新與產業發展。這些要求體現在安全能力上包括但不限於:工業資產探查能力、工業設備漏洞挖掘與檢測能力、工業控制協議深度解析能力、攻擊發現和阻斷能力、高級持續威脅(APT)發現和追蹤溯源能力、網絡安全攻防對抗能力、源代碼安全檢測能力、工業雲平臺防護能力、工業大數據安全防護能力、安全態勢感知平臺建設能力、大數據建模和分析處理能力、功能安全與信息安全融合能力等等。工業互聯網是安全保障的目標和對象,安全保障體系建設本質上是安全能力的建設,全面、系統、有效的安全能力是安全保障體系建設的基礎。因此,要建設好工業互聯網安全保障體系,必須加大研發投入,加強技術創新,提升安全能力,並使安全能力與工業互聯網業務場景充分融合,使工業互聯網具備自適應、自主和自生長的“內生安全”能力。在這點上,我們作為工業互聯網安全企業責無旁貸。
其次,工業互聯網設備和控制安全防護,工業主機是重點。
《安全指導意見》的第6項主要任務要求夯實設備和控制安全。“督促工業企業部署針對性防護措施,加強工業生產、主機、智能終端等設備安全接入和防護,強化控制網絡協議、裝置裝備、工業軟件等安全保障,推動設備製造商、自動化集成商與安全企業加強合作,提升設備和控制系統的本質安全”。我們通過對大量工業企業的安全應急響應服務發現,目前對工業設備和工控系統威脅最大的是專門針對工業主機(指工業控制系統上位機,如操作員站、工程師站、歷史數據庫、實時數據庫、MES服務器、HMI等等)的勒索病毒和網絡攻擊。工業主機往往運行常見的操作系統,攻擊者很容易獲得並進行研究。同時,由於工控系統生命週期較長,現存的工業主機大多是Windows7、Windows2000、WindowsXP等老舊的操作系統,版本升級困難,甚至無法更新,存在大量已知漏洞,很容易成為病毒和網絡攻擊的直接目標、攻擊入口和關鍵跳板。工業主機是連接信息化系統和工業控制設備的“大門”,對工業主機的攻擊可以直接影響工控系統的運行狀況,甚至能夠篡改控制器的操作指令,使信息安全事件轉化為影響安全生產的功能安全事件,給工業企業甚至國計民生造成無法挽回的損失。我們研究發現針對主機的攻擊方式有:通過網絡攻擊取得工業主機管理權限,加密關鍵文件,進行勒索;通過U盤對工業主機注入病毒篡改控制器上報數據,掩蓋控制數據異常;通過魚叉攻擊實現多臺工業主機提權,篡改下發控制指令;通過感染雙網卡工業主機跨區傳播計算機病毒;通過被控制的工業主機向控制器下發網絡風暴數據,造成控制器運行週期異常甚至死機等。因此,
工業主機是工業互聯網設備和控制安全防護的重點,也是應該最先進行安全投資並且投資收益率最大的方向。再次,工業互聯網大數據安全防護,內生安全是核心。
《安全指導意見》特別把“強化工業互聯網數據安全保護能力”單獨列出,作為主要任務之一,充分說明了數據安全在工業互聯網安全中的重要地位。數字孿生、工業大數據是工業互聯網的重要應用創新,也是製造業和互聯網深度技術融合的產物,承載著工業企業的核心知識產權。毫不誇張地說,隨著工業互聯網應用的發展,我們所做的一切安全防護措施,根本目的都是為了保護工業互聯網企業的核心資產——工業大數據。工業大數據的安全防護是一個複雜的、體系化的系統工程。同時,工業大數據業務應用大多構架在雲平臺、大數據平臺、微服務架構等新興IT技術基礎之上,這使得業務應用與基礎設施、運維與開發、業務與安全天然地高度耦合,所以工業大數據安全防護體系需要特別重視其“內生安全”問題,要做到“內生安全”,安全特性必須能夠無縫嵌入工業大數據的軟件技術架構,需要具備自適應安全特性的大數據安全架構。安全自適應具有充分的系統自診斷功能,在遇到安全風險和系統異常時可以及時發現進行告警,同時具備自動化的策略調整和安全修復功能,使得工業大數據系統具備充分的“彈性”,可以關閉部分服務保證關鍵業務的執行。工業大數據的安全防護體系應當是一個運營體系,通過持續的安全運營,不斷提升優化安全策略、提升安全防護能力,實現安全防護能力的自生長。
同時,工業互聯網安全技術保障平臺建設,協同聯動是關鍵。
《安全指導意見》第11項主要任務,要求建設國家、省、企業三級協同的工業互聯網安全技術保障平臺,特別強調強化地方、企業與國家平臺之間的系統對接、數據共享、業務協作,打造整體態勢感知、信息共享和應急協同能力。我司近年來承擔了工信部部分重要平臺建設專項工作,對此深有體會。近兩年,地方政府相關主管部門和部分工業企業陸續開始建設工業互聯網安全技術保障平臺,取得了很好的應用效果。但在應用過程中也暴露出一些問題。這類平臺最大的特點是可以對安全風險進行集中監測,進而實現響應處置甚至態勢預判和追蹤溯源。從集中監測角度,沒有互聯互通的孤立平臺無法做到有效的集中監測和信息共享。例如,政府主管部門的平臺目前缺乏與工業企業平臺的互聯互通,缺乏對工業企業內部工控網絡安全狀況的實時感知和監測。又比如目前還未有效整合行業的安全大數據,形成行業平臺對行業整體安全態勢的監測和感知。從應急處置角度,目前還存在三方面的協同問題:政府部門與工業企業的協同聯動、工業企業與網絡安全企業的協同聯動、工業企業與工業互聯網廠商的協同聯動。只有工業互聯網安全的這四個關鍵角色建立規範化的應急處置工作機制,制定聯合處置預案,定期舉行有效的應急處置演練,才能在遭受網絡攻擊時做好應急響應處置工作。
最後,工業互聯網安全產業發展,人才培養是保障。
《安全指導意見》第四條保障措施指出,“加強宣傳教育,加快人才培養。深入推進產教融合、校企合作,建立安全人才聯合培養機制,培養複合型、創新型高技能人才。開展網絡安全演練、安全競賽等,培養選拔不同層次的工業互聯網安全從業人員。”我們在主辦2017年互聯網安全大會時就提出“人是安全的尺度”。網絡安全本質是人與人的對抗,大量的安全事件是由於人的因素造成的,問題的解決最終也離不開人的參與。工業互聯網安全保障體系的建設離不開大量的專業網絡安全人員,工業互聯網安全產業的發展更離不開高水平、高素質的網絡安全從業人員。高校是人才培養的源頭,產教融合、校企合作相關落地政策的推出,一定會激勵網絡安全企業在人才培養方面有更大的投入,把高校的通識教育和企業的網絡安全實戰經驗結合起來,共同培養實戰能力更強的多層次網絡安全人才。
大力發展工業互聯網是我國的一項重要國策,近年來工信部出臺了一系列相關政策和具體行動推動工業互聯網產業的發展,網絡、平臺、安全是工業互聯網的三大體系。在網絡建設方面,IPV6和5G應用於工業領域,已經看到可落地的技術支撐與建設運營計劃;在平臺建設方面,也湧現出幾十傢俱備雛形的工業互聯網平臺,並且在努力驗證應用效果,提升應用價值。但是,客觀地說,工業互聯網的安全是進展較慢的一個環節,工業互聯網安全體系一直處於摸索探討階段,工業互聯網安全市場也尚未看到爆發的跡象。《安全指導意見》的及時出臺,可以說是一場“及時雨”,給工業互聯網安全產業打了一劑“強心針”,相信隨著相關具體措施的逐步落地,一定會激發工業互聯網安全產業的快速發展,必將大大提升我國工業互聯網的安全防護水平,為工業互聯網的高速穩定發展保駕護航。(作者左英男系奇安信副總裁,中國工業互聯網研究院特邀專家)
來源:人民網-科技頻道
