http://m.casecurityhq.com 2019-04-01 17:24 來源:中國工業(yè)新聞網 科技日報
3月12日,美國得克薩斯州兩座小鎮(zhèn)的居民在睡夢中被颶風警報驚醒。這是黑客的惡作劇,他們入侵系統(tǒng)觸發(fā)了30個警鈴,刺耳的警報聲從凌晨2時30分此起彼伏響到4時,警報系統(tǒng)3月17日才恢復正常。這已不是美國第一起警報系統(tǒng)被黑。
科技日報報道,無論是工業(yè)互聯網,還是智慧城市管理,安全場景復雜且陌生,但安全防線不容有失。
《國務院關于深化“互聯網+先進制造業(yè)”發(fā)展工業(yè)互聯網的指導意見》將“安全”定位于工業(yè)互聯網的三大功能體系之一,要求從設備安全、控制安全、平臺安全、數據安全、網絡安全等層面構建工業(yè)互聯網安全保障體系。
安全邊界進一步模糊
工業(yè)互聯網讓生產、網絡不再與世隔絕,而是與“外網”相連,使線上、線下安全風險疊加放大,和消費互聯網的“謀財”隱患相比,工業(yè)互聯網的安全隱患就是“圖財害命”。
志翔科技產品副總裁伍海桑博士對科技日報記者說:“傳感器的廣泛分布,使得一部手機、一輛車、一雙鞋,甚至更多你想象不到的物體都會變成一個智能終端,數據的分布更加分散,安全的邊界也就更為模糊,難以界定。”
航天云網北京航天紫光科技有限公司副總經理穆森說:“如果說傳統(tǒng)互聯網的漏洞我們還可以盡快補救更新,因為業(yè)務的重啟對成本需求較低,工業(yè)互聯網的重啟損失就大了,往往只有在一年的固定時間或維修期內,才能夠升級補丁包。”
工業(yè)互聯網產業(yè)聯盟安全組副主席、北京六方云科技有限公司總裁李江力認為,互聯網所有的安全問題都會帶入到工業(yè)互聯網,工業(yè)控制系統(tǒng)問題尤其嚴重,逐年增加的系統(tǒng)漏洞主要分布在制造業(yè)、能源、水務、醫(yī)療、石化等行業(yè)。
工信部信息化和軟件服務業(yè)司系統(tǒng)安全處處長廖凱說:“筑牢工業(yè)控制系統(tǒng)安全、平臺安全和數據安全三道防線,是保障工業(yè)互聯網安全的關鍵環(huán)節(jié)和重要挑戰(zhàn)。”
然而,令人憂心的是,從某種角度看,我們幾乎沒有自主可控的工控系統(tǒng)。
穆森在今年的工業(yè)互聯網峰會上透露了這樣一組數據:全國5000多個重要的工業(yè)控制系統(tǒng)中,90%以上的工業(yè)控制操作系統(tǒng)均采用國外系統(tǒng),基礎軟件、中間件國外產品超過70%,PC服務器操作系統(tǒng)中,微軟的系統(tǒng)超過90%,芯片國產化率不足1%。
穆森說:“如果芯片和基礎軟件等‘斷供’,芯片和基礎軟件的漏洞就無法及時修補,芯片和基礎軟件的后門就敞開著,將對我們工業(yè)互聯網產生重大安全威脅。”
工業(yè)互聯網需要免疫防護系統(tǒng)
工業(yè)控制系統(tǒng)安全國家地方聯合工程實驗室(簡稱實驗室)研究了360工業(yè)安全應急響應中心在2018年處置的工業(yè)互聯網安全事件,發(fā)現勒索病毒和挖礦病毒已經成為工業(yè)互聯網面臨的主要威脅。
伍海桑說:“工業(yè)互聯網生產流程環(huán)節(jié)復雜繁多,漏洞產生和安全攻擊的環(huán)節(jié)更多,更容易被利用,不安全的通信接入、不當的操作、不完備的防護等任何一個問題都會產生嚴重的事故和損失。”
但是,不容忽略的是,員工缺乏基本的安全意識、生產網絡缺乏基本的管理、工業(yè)主機缺乏最基本的防護是網絡安全事件頻發(fā)的最重要原因。
2018年8月,芯片制造商臺積電(TSMC)因勒索病毒(Wannacry變種)影響,導致數個廠區(qū)生產線停擺多日,損失約17.6億元。臺積電總裁魏哲家事后公開表示,在裝機過程中出現操作失誤,導致新設備中的病毒蔓延到內部網絡,而非黑客攻擊所致。
360企業(yè)安全集團副總裁左英男認為,大多數勒索攻擊不是針對工業(yè)互聯網場景策劃開發(fā),而是IT環(huán)境下管理不善而導致的蔓延?,F有大量的生產環(huán)境網絡,充斥著老舊操作系統(tǒng)、已知高危漏洞暴露、計算資源匱乏等問題和特點,這些網絡經不起惡意軟件的折騰。
伍海桑說:“技術對黑客、白客都是平等的,作為安全廠商,我們一直努力做的,就是更快更有效地使用新技術,跑在黑客前面,讓技術成為行業(yè)發(fā)展、社會進步的保護傘和助力器。”
面對頻發(fā)的工業(yè)互聯網安全事件,傳統(tǒng)的安全防御產品已逐漸乏力,無法有效應對越來越嚴重的安全威脅。
工業(yè)和信息化部網絡安全管理局副局長梁斌表示,為全面提升工業(yè)互聯網創(chuàng)新發(fā)展安全防護水平,正加緊構建責任清晰、制度健全、技術先進的工業(yè)互聯網安全保障體系。(劉艷)