中國自動化學會專家咨詢工作委員會指定宣傳媒體
新聞詳情
gkongbbs

加強化工信息安全防護勢在必行

http://m.casecurityhq.com 2020-01-16 16:48 來源:

《2019~2020年度工業(yè)信息安全形勢分析》發(fā)布,業(yè)內認為——

1月10日,由工信智庫聯盟指導、國家工業(yè)信息安全發(fā)展研究中心主辦的首屆工信安全智庫論壇在北京召開,會上發(fā)布了《2019~2020年度工業(yè)信息安全形勢分析》(簡稱《報告》)。根據《報告》,2019年全球工業(yè)信息安全發(fā)展環(huán)境日益嚴峻,網絡攻擊對于包括化工行業(yè)在內的工業(yè)領域的影響進一步加劇,針對工業(yè)企業(yè)的工業(yè)信息安全防護能力亟待提升。

網絡攻擊影響凸顯

《報告》顯示,2019年,全球工業(yè)信息安全發(fā)展環(huán)境日益嚴峻,網絡攻擊對工業(yè)領域的影響進一步加劇。據國家工信安全中心不完全統(tǒng)計,2019年全球發(fā)生的工業(yè)信息安全事件數量超過了2018年總量的1.5倍,包括化工行業(yè)在內的制造業(yè)和能源產業(yè)成為網絡攻擊的重點目標,勒索病毒、APT等網絡安全威脅嚴重影響工業(yè)企業(yè)正常生產運營。2019年3月兩家美國化工企業(yè)以及挪威的鋁業(yè)巨頭遭受勒索軟件攻擊,造成大量生產系統(tǒng)關鍵數據損失,部分工廠被迫關閉。

工控系統(tǒng)安全漏洞持續(xù)增多,并呈多樣化特征。中國國家信息安全漏洞共享平臺的統(tǒng)計數據顯示,截至2019年12月,本年度新增工業(yè)控制系統(tǒng)安全漏洞數量同比增長12.8%,已達到567個,其中中高危漏洞占比96.5%。在已公開詳細信息的338個新增工業(yè)控制系統(tǒng)漏洞的成因多樣化特征明顯,技術類型多達94種。從產品類型上看,PLC、SCADA軟件、組態(tài)軟件等產品的漏洞數量較多。

“這些系統(tǒng)和設備廣泛應用于制造業(yè)、能源及市政等主要領域,一旦被攻擊入侵,將帶來重大安全隱患或經濟損失。”國家工信安全中心政策所網絡安全研究室主任孫倩文表示,“與此同時,人員操作失誤正在成為引發(fā)安全事故的最大‘漏洞’,防火墻錯誤配置、數據庫錯誤配置等時常成為數據泄露、設備被攻擊的直接原因。”

問題猶存挑戰(zhàn)嚴峻

《報告》指出,隨著工業(yè)信息安全發(fā)展環(huán)境日益嚴峻,我國工業(yè)領域在應對網絡攻擊方面的短板也凸現出來,挑戰(zhàn)來自于多方面。

一是工業(yè)互聯網進入深耕階段,新興技術在工業(yè)領域融合應用帶來的伴生效應將進一步顯現,諸如聯網設備、平臺和數據安全風險日益嚴峻,5G或造成毫秒級的破壞,邊緣計算加持下的物聯網安全風險增加,人工智能可能導致攻擊效率指數級增長等。

二是工業(yè)行業(yè)的高度復雜性增大了安全防護難度。工業(yè)行業(yè)眾多,企業(yè)數量龐大,異構化的工業(yè)數據對安全防護帶來挑戰(zhàn)。

三是工業(yè)企業(yè)實施安全防護上缺乏可落地的具體指導。由于缺乏相關市場準入機制、行業(yè)標準、檢測認證規(guī)范和技術手段,企業(yè)在工業(yè)信息安全產品和服務質量上缺乏判斷能力。

四是網絡安全產業(yè)對工業(yè)領域針對性的支撐能力不足。我國的網絡安全企業(yè)規(guī)模小、研發(fā)能力不足,且大多是以網絡安全業(yè)務為主,在工業(yè)信息安全、工業(yè)互聯網安全等領域的產品積累和服務經驗不足。而專注于工業(yè)互聯網安全的廠商多為初創(chuàng)企業(yè),處于技術研發(fā)實力爬坡階段,同時由于安全廠商對于工業(yè)領域制造技術、工藝流程等工業(yè)知識缺乏系統(tǒng)性掌握,無法提供部署在控制系統(tǒng)內部的安全產品和解決方案。

業(yè)內人士表示,在化工行業(yè),智慧園區(qū)、智能工廠、智能車間等正呈燎原之勢,且化工生產存在諸多易燃易爆的高危環(huán)節(jié),一旦遭受攻擊后果不堪設想,因此加強信息安全、工控安全防護尤為必要。“網絡安全產業(yè)對工業(yè)領域的支撐力度亟待加強。”孫倩文說。

貼近需求提升能力

展望未來信息安全形勢,孫倩文提出,未來工業(yè)企業(yè)應對網絡攻擊將成為常態(tài),應對網絡安全風險的能力將成為企業(yè)生存和發(fā)展的重要指標。同時,隨著新技術的推廣和應用,工業(yè)信息安全將更多關注供應鏈安全,5G的應用會進一步釋放工業(yè)企業(yè)網絡安全防護需求,網絡安全企業(yè)需要深耕工業(yè)領域信息安全防護特點,開發(fā)設計適合工業(yè)現場和控制系統(tǒng)等使用的安全產品和解決方案。

IT管理軟件公司SolarWins發(fā)布的一份調查報告顯示,造成網絡安全事故的因素中內部人員因素占六成。工業(yè)企業(yè)作為網絡安全威脅的直接作用主體,自身防護能力的提升也顯得尤為重要,在采購外部安全防護產品解決方案的同時,工業(yè)企業(yè)還應更加注重優(yōu)化自身的安全管理機制和防護手段,加強企業(yè)內部的組織管理,減少人為事故。

對此,孫倩文強調:“未來一段時間,工業(yè)企業(yè)最迫切的任務是建立起有實操能力的、能快速有效更新安全補丁、彌補漏洞的安全團隊,在組織管理層面加強網絡安全管理,提升專業(yè)技能,堵住‘人為漏洞’是降低網絡安全事故最有效的和最直接的方法。”

針對越發(fā)嚴峻的工業(yè)信息安全形勢,《報告》提出建議,下一階段,我國應健全安全風險評估管理機制;加快建設國家、省、企業(yè)三級協(xié)同的安全監(jiān)測體系,針對不同企業(yè)實施差別化管理和防護,完善以企業(yè)為主體的防護標準體系;建立工業(yè)軟硬件安全檢測手段;構建綜合性、協(xié)同性工業(yè)信息安全防護體系;進一步加強政產學研用優(yōu)勢資源整合,提升我國工業(yè)領域網絡安全保障能力。

版權所有 中華工控網 Copyright?2024 Gkong.com, All Rights Reserved