中国9成工控系统在裸奔,工业互联网安全如何破局?
扫描二维码
随时随地手机看文章
随着新基建逐步深入,互联网+、大数据、云计算等新一代信息技术与工业生产进一步深度融合,工业控制系统作为工业领域“神经中枢”,呈现互联互通趋势,在享受新一代信息技术的成果的同时,传统工业控制系统的安全性问题愈发突出,工业互联网也成为黑客攻击和网络战的重要目标。工业互联网的平台安全、数据安全和联网智能设备的安全问题都备受关注。
自2010年伊朗”震网“事件爆发以来,全球工业信息安全事件屡屡发生,对全球国家的经济、社会及至国家安全造成重大冲击。
放眼全球,数据显示,2019全球各地大约有329件工控安全问题事件。据网上公开资料显示,安全事故涉及的领域众多,包括天然气、制造、能源、电力、汽车、化工等。高于2018年的320件,从2012年开始工控安全事件报告数量逐年上升。
数据来源:中国产业信息,OFweek工控网整理
聚集我国,工控安全问题同样严峻,不容小觑。根据我国国家工业信息安全产业发展联盟统计的数据显示,中国工控系统95%以上仍存在漏洞,65%属于中高危漏洞,33%属于高危漏洞,可以轻易被远程控制。
万物互联背后的潜藏危机
工业互联网是“互联网+”与工业系统的深度融合,是智能制造的基石,也是企业提质增效的必由之路。随着万物互联的深入发展,企业工控系统全部上云后,由于我国的很多工业设备是国外进口或者是来自于第三方,没有做到自主可控,这里就存在一个很大的安全问题,因为这些设备存在后门,而后门存在不能解决的漏洞,黑客或者恶意人员可以随意进出操作,数据显示,我国约2成的重要工控系统可被远程入侵并完全接管。
近端设计攻击是针对一些控制系统设备进行攻击,控制系统设备主要是针对DCS、针对控制环路以及它的控制参数进行攻击。在一个环路的参数中,稍微调整一下并不会及时产生一些可能出现的风险,但是它会长期产生振荡。而振荡情况下,会使得控制系统执行机构长期产生疲劳,使得控制系统得到最后的损坏。这是相关三类攻击,近端攻击往往在工控领域产生影响最大。
业内人士表示,由于网络安全事件具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏了几年都不被发现,结果往往是“谁进来了不知道、是敌是友不知道、干了什么不知道”,隐患长期潜伏。针对工业互联网的攻击已从原有的一个代码攻击一两种漏洞,进化成一个攻击代码可以嵌入数十种底层系统漏洞。
多数工业系统在设计之初是封闭的“单机系统”,没有考虑联网需求,现在随着工业“互联网+”的推进,将必然导致一批系统和设施暴露。很多的系统和设备没有防护软件,也不能安装杀毒系统,一旦上了网就是“裸奔”状态。
360创始人、董事长兼CEO曾在接受采访时表示,“我们遇到的很多现场设备比较老旧,有的还在使用十几年前的操作系统,没有任何安全防护软件,这样就可能存在很大的安全风险,而系统维护人员还没有认识到。很多系统带毒运行,有的主机甚至有三千多个病毒。一旦感染的恶意软件在某个特定触发条件下发作,就会对企业造成严重影响。”
目前,绝大多数的企业没有能力识别或应对这些入侵和攻击。陈旧的工业系统、落后的安全意识、工控系统攻击工具的进化,都极大拉低了工控系统攻击的门槛,使工控系统当下和未来一段时间,都面临着巨大的安全威胁。
工业互联网安全如何破局?
随着IPv6下一代互联网技术的部署和5G时代的到来,工业互联网将面临更为复杂多变的挑战。加强工业信息安全建设、加快构建全方位的安全保障体系,是制造大国迈向制造强国的基础。主要从以下五方面着手:
一、建立和强化安全意识。工业互联网的安全问题首先要建立起安全意识,上到国家下至企业,从上而下都要强化工控安全问题。企目前从国家来看,近年来国家对安全生产的重视程度逐步提升。国家安全监管总局发布的《安全生产信息化总体建设方案及相关技术文件的通知》明确指出,到2020年实现全国安全生产信息化“一张网(安监网)、一张图、一张表、一盘棋”的基本格局,尤其今年推出全国安全生产专项治理三年行动计划中,强调了2021年之前建立企业的一张网信息化管控系统,推进重点行业和领域的机械化、信息化和智能化建设。
业尤其需要重视并承担起主体责任,工业互联网不仅带来经济利益,也有相应的社会责任。
二、进一步加强安全信息在制造业的应用,包括可信计算、密码应用、5G和区块链相关技术与工业相结合,加快应用落地。
三、开展等级保护2.0,现在等级保护2.0能够基本解决目前来说工控系统裸奔相关的问题。
四、加快实现工控重点关键控制设备国产化替代进程。只有工业控制系统自主可控,才能从根本上解决工控安全问题,逐步解决卡脖子的关键核心零部件、工业软件等技术问题,才能解决国外进口设备存在的后门问题,避免黑客长驱直入。
五、加强人才培养。工业控制系统的安全实质是人与人的对抗,不是购买和部署一批网络安全设备、安装一批软件就能解决的。工控网络安全更需要专业安全运维人员来做分析、规划、态势研判、响应和处置。有专家建议从整体产业角度推动人才培养和建设,支持相关教育培训机构开展网络安全学科联合建设,将工业网络安全纳入职业技能鉴定体系,培养一支门类齐全、技术精湛的专业人才队伍。
结语
5G、大数据、工业互联网等新技术的出现,对于工业来说,说是一把双刃剑比较贴切。新技术不仅让工业更智能,同时也存在安全隐患,工控系统的“裸奔”现状不容忽视。在享受新一代信息技术带来便利的同时,企业要充分考虑安全问题,提前布局才能让工控系统安全告别“裸奔”。路漫漫其修远兮,但仍需不断上下而求索之。
往期精彩回顾
2020财富世界500强工控企业,中日占据半壁河山
美国6月份机床订单较上月猛增56%
工业富联上半年归母净利下降至50.4亿元,二季度迅速回暖并加快业务布局
Gartner全球供应链 TOP 25出炉,施耐德电气升至第4位
工业软件巨头西门子的软实力再一次藏不住了
近期活动
关于我们
免责声明:本文内容由21ic获得授权后发布,版权归原作者所有,本平台仅提供信息存储服务。文章仅代表作者个人观点,不代表本平台立场,如有问题,请联系我们,谢谢!
下载文档
