當心!95%工業控制系統有漏洞,面臨巨大安全風險
全球近年來發生多起重大工業信息安全事件。
一些組織或個人通過對工業設施和工業系統進行網路攻擊,謀求達成政治訴求或經濟訴求。
目前,我國絕大多數工業控制系統在沒有防護措施的情況下暴露於互聯網,且含有系統漏洞,能夠輕易被遠程操控,面臨巨大安全風險。
95%工業控制系統含漏洞易受控
半月談記者從國家工業信息安全發展研究中心了解到,目前該中心監測到的我國3000餘個暴露在互聯網上的工業控制系統,
95%以上有漏洞,可以輕易被遠程控制,約20%的重要工控系統可被遠程入侵併完全接管。
過去,我國絕大多數工業系統是封閉系統,也稱單機系統,不用考慮聯網情況,現在隨著工業「互聯網+」的推進,IT和OT(操作技術)實現互聯,必然導致一批系統和設施暴露。
「很多系統和設備沒有防護軟體,也不能安裝殺毒系統,一旦上了網就處於『裸奔』狀態。」
一位業內人士告訴記者,通信、能源、水利、電力等關鍵基礎設施存在安全風險,而入侵和控制工控系統也已成為商業上打壓競爭對手的不法手段。
在蘇浙就有消費品加工廠被國外競爭廠家入侵網路,破壞設備運行,造成生產斷檔。
從全球發展趨勢來看,工業控制系統日益成為黑客攻擊和網路戰的重點目標。
近年全球重大工業信息安全事件頻發:2010年伊朗核設施遭受「震網病毒」攻擊;2016年美國東海岸大面積斷網;2017年「Wanna Cry」勒索病毒肆虐全球……全球工業網路安全總體風險持續攀升,呈現高危態勢。
定向攻擊精準性提升迅速。大量工控系統漏洞、攻擊方法可以通過互聯網等多種公開、半公開渠道獲取,許多技術分析報告給出了網路攻擊步驟、攻擊代碼甚至攻擊工具等詳細信息,極易被黑客等不法分子利用。
技術手段複雜化、專業化。針對工控系統的攻擊已從原來一個代碼攻擊一兩種漏洞,進化成一個代碼嵌入數十種底層系統漏洞,絕非一個業餘愛好者能夠實現。
美國網路武器庫遭泄埋下重大隱患。維基解密、影子經紀人等黑客組織公開披露了大批網路攻擊工具和安全漏洞,可被用於入侵感染工控系統,引發高頻次、大規模的網路攻擊。
例如震驚全球的「Wanna Cry」勒索病毒就利用了影子經紀人披露的美國國安局「永恆之藍」漏洞進行傳播。在一次網路攻擊中,中石油等眾多中國工業企業中招。
意識薄弱、技術不足、人才匱乏加劇風險
目前,我國在工業信息安全方面存在安全防護意識薄弱、技術水平偏低、人才匱乏等問題,形勢較為嚴峻。
多地區、部門、工業企業對工控系統信息安全重視不夠,重發展輕安全,漏洞不重視、修復不及時現象普遍存在。
據360補天漏洞響應平台統計,所有工控信息系統漏洞中,25.6%的漏洞未進行修復,一些行業漏洞平均修復時間長達數月之久。
我國對工業信息領域安全的認識還處在初級階段。2017年5月「Wanna Cry」勒索病毒事件爆發,微軟在當年3月就發布了相應安全漏洞補丁,但我國很多單位一直沒有打補丁,導致近30萬台主機和電腦被感染。
直到目前,360公司還能監測到每天有近千台電腦感染此勒索病毒。
在企業中,因私人行為暴露並感染病毒的情況也較為多見,例如個人通過工控設備違規上網,或是廠商的維護人員電腦感染後造成設備系統全網感染病毒等。
部分工控系統依賴進口,核心產品自主可控度低。
國家工業信息安全產業發展聯盟發布的《2017年工業信息安全態勢白皮書》顯示,國產資料庫僅佔據7%的低端市場,數千個工控系統由外國廠商提供運行維護,大量企業不具備自主維護能力,同時缺乏對外國產品和服務的監管。
記者了解到,設備廠商的維保人員對工控系統控制權非常大,在部分企業,工控系統控制室的門禁卡甚至都掌握在外方手中。
防護技術較為落後,人才匱乏,難以與網路攻擊相抗衡。國家工業信息安全發展研究中心通過安全監測發現,工業企業信息安全應急備災手段不足,約70%的被調查工業企業缺少完善應災備災體系。
公共信息安全人才是自動化和網路安全人才的複合型人才,缺口巨大,在高校中沒有工業控制領域的碩士、博士培養方向,工業信息安全從業人員幾乎都是在實戰中學習。
如何擰緊工業網路「安全閥」
針對工業安全領域複雜多變的挑戰,須從政策制度、技術產品研發、人才培養等方面著力,進一步開展工業互聯網安全建設,構建安全保障體系。
強化網路安全漏洞管理,降低被攻擊風險。
360集團董事長兼CEO周鴻禕認為,應建立漏洞管理全流程監督處罰制度,制定覆蓋網路安全漏洞的發現、審核、披露、通報、修復、追責等全流程管理細則,強制要求漏洞必須及時修復,對漏洞修復時間以及違規處罰措施予以明確規定。
此外,應建立監督檢查機制和力量,及時發現未及時修復漏洞的行為,追究相關單位和責任人責任。
研究制定新一代信息技術在工業領域應用的安全架構,儘快突破一批工業信息安全關鍵核心技術,重點發展一批高端產品,形成具有市場競爭力的產品體系。
我國現有工業信息安全產業(包括產品、技術、服務等)占整個IT行業的比重不足2%,遠低於歐美髮達國家近10%的水平。
只有做強自主可控的工控系統相關行業,才能夠在安全問題上有話語權。
支持相關教育培訓機構,開展網路安全學科聯合建設,將網路安全納入職業技能鑒定體系,培養一支門類齊全、技術精湛的專業人才隊伍。
網路安全的本質在攻防兩端能力的較量。在我國巨大的網路安全人才缺口中,90%以上是防禦型人才。
與進攻型、研究型人才不同,防禦型人才可以通過職業培訓形式大批量培養,依靠社會力量開展職業教育,可以在短期內彌補網路安全人才缺口。
熱點閱讀:
農民「網紅」何以「圈粉」無數
生孩子就該是一個人的痛戰嗎?
爭相裝困、扮貧、哭窮: 「賴貧」的背後是什麼?
半月談評論:處理中美關係問題應保持「三觀」
亂監管、軟監管、瞎治理:環保形式主義須重拳整治!
在文末留言區留言參與互動,留言內容獲點贊數高者即可獲得本期送書
《大道之行
》
,祝好運!
來源:
《半月談內部版》2018年第4期,原標題:《工業網路漏洞被「網路戰爭」鎖定
》
半月談記者:朱涵 | 編輯:李建發
主編:孫愛東
編輯:焦嬋媛
※半月談築夢鄉村振興,啟動千人專題培訓計劃!
※圍觀 | 閉關7個月,人間仙境九寨溝即將「滿血復活」!附最新實拍
TAG:半月談 |