中國(guó)自動(dòng)化學(xué)會(huì)專(zhuān)家咨詢(xún)工作委員會(huì)指定宣傳媒體
新聞詳情
gkongbbs

加強(qiáng)化工信息安全防護(hù)勢(shì)在必行

http://m.casecurityhq.com 2020-01-16 16:48 來(lái)源:

《2019~2020年度工業(yè)信息安全形勢(shì)分析》發(fā)布,業(yè)內(nèi)認(rèn)為——

1月10日,由工信智庫(kù)聯(lián)盟指導(dǎo)、國(guó)家工業(yè)信息安全發(fā)展研究中心主辦的首屆工信安全智庫(kù)論壇在北京召開(kāi),會(huì)上發(fā)布了《2019~2020年度工業(yè)信息安全形勢(shì)分析》(簡(jiǎn)稱(chēng)《報(bào)告》)。根據(jù)《報(bào)告》,2019年全球工業(yè)信息安全發(fā)展環(huán)境日益嚴(yán)峻,網(wǎng)絡(luò)攻擊對(duì)于包括化工行業(yè)在內(nèi)的工業(yè)領(lǐng)域的影響進(jìn)一步加劇,針對(duì)工業(yè)企業(yè)的工業(yè)信息安全防護(hù)能力亟待提升。

網(wǎng)絡(luò)攻擊影響凸顯

《報(bào)告》顯示,2019年,全球工業(yè)信息安全發(fā)展環(huán)境日益嚴(yán)峻,網(wǎng)絡(luò)攻擊對(duì)工業(yè)領(lǐng)域的影響進(jìn)一步加劇。據(jù)國(guó)家工信安全中心不完全統(tǒng)計(jì),2019年全球發(fā)生的工業(yè)信息安全事件數(shù)量超過(guò)了2018年總量的1.5倍,包括化工行業(yè)在內(nèi)的制造業(yè)和能源產(chǎn)業(yè)成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo),勒索病毒、APT等網(wǎng)絡(luò)安全威脅嚴(yán)重影響工業(yè)企業(yè)正常生產(chǎn)運(yùn)營(yíng)。2019年3月兩家美國(guó)化工企業(yè)以及挪威的鋁業(yè)巨頭遭受勒索軟件攻擊,造成大量生產(chǎn)系統(tǒng)關(guān)鍵數(shù)據(jù)損失,部分工廠被迫關(guān)閉。

工控系統(tǒng)安全漏洞持續(xù)增多,并呈多樣化特征。中國(guó)國(guó)家信息安全漏洞共享平臺(tái)的統(tǒng)計(jì)數(shù)據(jù)顯示,截至2019年12月,本年度新增工業(yè)控制系統(tǒng)安全漏洞數(shù)量同比增長(zhǎng)12.8%,已達(dá)到567個(gè),其中中高危漏洞占比96.5%。在已公開(kāi)詳細(xì)信息的338個(gè)新增工業(yè)控制系統(tǒng)漏洞的成因多樣化特征明顯,技術(shù)類(lèi)型多達(dá)94種。從產(chǎn)品類(lèi)型上看,PLC、SCADA軟件、組態(tài)軟件等產(chǎn)品的漏洞數(shù)量較多。

“這些系統(tǒng)和設(shè)備廣泛應(yīng)用于制造業(yè)、能源及市政等主要領(lǐng)域,一旦被攻擊入侵,將帶來(lái)重大安全隱患或經(jīng)濟(jì)損失。”國(guó)家工信安全中心政策所網(wǎng)絡(luò)安全研究室主任孫倩文表示,“與此同時(shí),人員操作失誤正在成為引發(fā)安全事故的最大‘漏洞’,防火墻錯(cuò)誤配置、數(shù)據(jù)庫(kù)錯(cuò)誤配置等時(shí)常成為數(shù)據(jù)泄露、設(shè)備被攻擊的直接原因。”

問(wèn)題猶存挑戰(zhàn)嚴(yán)峻

《報(bào)告》指出,隨著工業(yè)信息安全發(fā)展環(huán)境日益嚴(yán)峻,我國(guó)工業(yè)領(lǐng)域在應(yīng)對(duì)網(wǎng)絡(luò)攻擊方面的短板也凸現(xiàn)出來(lái),挑戰(zhàn)來(lái)自于多方面。

一是工業(yè)互聯(lián)網(wǎng)進(jìn)入深耕階段,新興技術(shù)在工業(yè)領(lǐng)域融合應(yīng)用帶來(lái)的伴生效應(yīng)將進(jìn)一步顯現(xiàn),諸如聯(lián)網(wǎng)設(shè)備、平臺(tái)和數(shù)據(jù)安全風(fēng)險(xiǎn)日益嚴(yán)峻,5G或造成毫秒級(jí)的破壞,邊緣計(jì)算加持下的物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)增加,人工智能可能導(dǎo)致攻擊效率指數(shù)級(jí)增長(zhǎng)等。

二是工業(yè)行業(yè)的高度復(fù)雜性增大了安全防護(hù)難度。工業(yè)行業(yè)眾多,企業(yè)數(shù)量龐大,異構(gòu)化的工業(yè)數(shù)據(jù)對(duì)安全防護(hù)帶來(lái)挑戰(zhàn)。

三是工業(yè)企業(yè)實(shí)施安全防護(hù)上缺乏可落地的具體指導(dǎo)。由于缺乏相關(guān)市場(chǎng)準(zhǔn)入機(jī)制、行業(yè)標(biāo)準(zhǔn)、檢測(cè)認(rèn)證規(guī)范和技術(shù)手段,企業(yè)在工業(yè)信息安全產(chǎn)品和服務(wù)質(zhì)量上缺乏判斷能力。

四是網(wǎng)絡(luò)安全產(chǎn)業(yè)對(duì)工業(yè)領(lǐng)域針對(duì)性的支撐能力不足。我國(guó)的網(wǎng)絡(luò)安全企業(yè)規(guī)模小、研發(fā)能力不足,且大多是以網(wǎng)絡(luò)安全業(yè)務(wù)為主,在工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等領(lǐng)域的產(chǎn)品積累和服務(wù)經(jīng)驗(yàn)不足。而專(zhuān)注于工業(yè)互聯(lián)網(wǎng)安全的廠商多為初創(chuàng)企業(yè),處于技術(shù)研發(fā)實(shí)力爬坡階段,同時(shí)由于安全廠商對(duì)于工業(yè)領(lǐng)域制造技術(shù)、工藝流程等工業(yè)知識(shí)缺乏系統(tǒng)性掌握,無(wú)法提供部署在控制系統(tǒng)內(nèi)部的安全產(chǎn)品和解決方案。

業(yè)內(nèi)人士表示,在化工行業(yè),智慧園區(qū)、智能工廠、智能車(chē)間等正呈燎原之勢(shì),且化工生產(chǎn)存在諸多易燃易爆的高危環(huán)節(jié),一旦遭受攻擊后果不堪設(shè)想,因此加強(qiáng)信息安全、工控安全防護(hù)尤為必要。“網(wǎng)絡(luò)安全產(chǎn)業(yè)對(duì)工業(yè)領(lǐng)域的支撐力度亟待加強(qiáng)。”孫倩文說(shuō)。

貼近需求提升能力

展望未來(lái)信息安全形勢(shì),孫倩文提出,未來(lái)工業(yè)企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)攻擊將成為常態(tài),應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力將成為企業(yè)生存和發(fā)展的重要指標(biāo)。同時(shí),隨著新技術(shù)的推廣和應(yīng)用,工業(yè)信息安全將更多關(guān)注供應(yīng)鏈安全,5G的應(yīng)用會(huì)進(jìn)一步釋放工業(yè)企業(yè)網(wǎng)絡(luò)安全防護(hù)需求,網(wǎng)絡(luò)安全企業(yè)需要深耕工業(yè)領(lǐng)域信息安全防護(hù)特點(diǎn),開(kāi)發(fā)設(shè)計(jì)適合工業(yè)現(xiàn)場(chǎng)和控制系統(tǒng)等使用的安全產(chǎn)品和解決方案。

IT管理軟件公司SolarWins發(fā)布的一份調(diào)查報(bào)告顯示,造成網(wǎng)絡(luò)安全事故的因素中內(nèi)部人員因素占六成。工業(yè)企業(yè)作為網(wǎng)絡(luò)安全威脅的直接作用主體,自身防護(hù)能力的提升也顯得尤為重要,在采購(gòu)?fù)獠堪踩雷o(hù)產(chǎn)品解決方案的同時(shí),工業(yè)企業(yè)還應(yīng)更加注重優(yōu)化自身的安全管理機(jī)制和防護(hù)手段,加強(qiáng)企業(yè)內(nèi)部的組織管理,減少人為事故。

對(duì)此,孫倩文強(qiáng)調(diào):“未來(lái)一段時(shí)間,工業(yè)企業(yè)最迫切的任務(wù)是建立起有實(shí)操能力的、能快速有效更新安全補(bǔ)丁、彌補(bǔ)漏洞的安全團(tuán)隊(duì),在組織管理層面加強(qiáng)網(wǎng)絡(luò)安全管理,提升專(zhuān)業(yè)技能,堵住‘人為漏洞’是降低網(wǎng)絡(luò)安全事故最有效的和最直接的方法。”

針對(duì)越發(fā)嚴(yán)峻的工業(yè)信息安全形勢(shì),《報(bào)告》提出建議,下一階段,我國(guó)應(yīng)健全安全風(fēng)險(xiǎn)評(píng)估管理機(jī)制;加快建設(shè)國(guó)家、省、企業(yè)三級(jí)協(xié)同的安全監(jiān)測(cè)體系,針對(duì)不同企業(yè)實(shí)施差別化管理和防護(hù),完善以企業(yè)為主體的防護(hù)標(biāo)準(zhǔn)體系;建立工業(yè)軟硬件安全檢測(cè)手段;構(gòu)建綜合性、協(xié)同性工業(yè)信息安全防護(hù)體系;進(jìn)一步加強(qiáng)政產(chǎn)學(xué)研用優(yōu)勢(shì)資源整合,提升我國(guó)工業(yè)領(lǐng)域網(wǎng)絡(luò)安全保障能力。

版權(quán)所有 中華工控網(wǎng) Copyright?2024 Gkong.com, All Rights Reserved