當心！95%工業控制系統有漏洞，面臨巨大安全風險

全球近年來發生多起重大工業信息安全事件。

一些組織或個人通過對工業設施和工業系統進行網路攻擊，謀求達成政治訴求或經濟訴求。

目前，我國絕大多數工業控制系統在沒有防護措施的情況下暴露於互聯網，且含有系統漏洞，能夠輕易被遠程操控，面臨巨大安全風險。

95%工業控制系統含漏洞易受控

半月談記者從國家工業信息安全發展研究中心了解到，目前該中心監測到的我國3000餘個暴露在互聯網上的工業控制系統，

95%以上有漏洞，可以輕易被遠程控制，約20%的重要工控系統可被遠程入侵併完全接管。

過去，我國絕大多數工業系統是封閉系統，也稱單機系統，不用考慮聯網情況，現在隨著工業「互聯網+」的推進，IT和OT（操作技術）實現互聯，必然導致一批系統和設施暴露。

「很多系統和設備沒有防護軟體，也不能安裝殺毒系統，一旦上了網就處於『裸奔』狀態。」

一位業內人士告訴記者，通信、能源、水利、電力等關鍵基礎設施存在安全風險，而入侵和控制工控系統也已成為商業上打壓競爭對手的不法手段。

在蘇浙就有消費品加工廠被國外競爭廠家入侵網路，破壞設備運行，造成生產斷檔。

從全球發展趨勢來看，工業控制系統日益成為黑客攻擊和網路戰的重點目標。

近年全球重大工業信息安全事件頻發：2010年伊朗核設施遭受「震網病毒」攻擊；2016年美國東海岸大面積斷網；2017年「Wanna Cry」勒索病毒肆虐全球……全球工業網路安全總體風險持續攀升，呈現高危態勢。

定向攻擊精準性提升迅速。大量工控系統漏洞、攻擊方法可以通過互聯網等多種公開、半公開渠道獲取，許多技術分析報告給出了網路攻擊步驟、攻擊代碼甚至攻擊工具等詳細信息，極易被黑客等不法分子利用。

技術手段複雜化、專業化。針對工控系統的攻擊已從原來一個代碼攻擊一兩種漏洞，進化成一個代碼嵌入數十種底層系統漏洞，絕非一個業餘愛好者能夠實現。

美國網路武器庫遭泄埋下重大隱患。維基解密、影子經紀人等黑客組織公開披露了大批網路攻擊工具和安全漏洞，可被用於入侵感染工控系統，引發高頻次、大規模的網路攻擊。

例如震驚全球的「Wanna Cry」勒索病毒就利用了影子經紀人披露的美國國安局「永恆之藍」漏洞進行傳播。在一次網路攻擊中，中石油等眾多中國工業企業中招。

意識薄弱、技術不足、人才匱乏加劇風險

目前，我國在工業信息安全方面存在安全防護意識薄弱、技術水平偏低、人才匱乏等問題，形勢較為嚴峻。

多地區、部門、工業企業對工控系統信息安全重視不夠，重發展輕安全，漏洞不重視、修復不及時現象普遍存在。

據360補天漏洞響應平台統計，所有工控信息系統漏洞中，25.6%的漏洞未進行修復，一些行業漏洞平均修復時間長達數月之久。

我國對工業信息領域安全的認識還處在初級階段。2017年5月「Wanna Cry」勒索病毒事件爆發，微軟在當年3月就發布了相應安全漏洞補丁，但我國很多單位一直沒有打補丁，導致近30萬台主機和電腦被感染。

直到目前，360公司還能監測到每天有近千台電腦感染此勒索病毒。

在企業中，因私人行為暴露並感染病毒的情況也較為多見，例如個人通過工控設備違規上網，或是廠商的維護人員電腦感染後造成設備系統全網感染病毒等。

部分工控系統依賴進口，核心產品自主可控度低。

國家工業信息安全產業發展聯盟發布的《2017年工業信息安全態勢白皮書》顯示，國產資料庫僅佔據7%的低端市場，數千個工控系統由外國廠商提供運行維護，大量企業不具備自主維護能力，同時缺乏對外國產品和服務的監管。

記者了解到，設備廠商的維保人員對工控系統控制權非常大，在部分企業，工控系統控制室的門禁卡甚至都掌握在外方手中。

防護技術較為落後，人才匱乏，難以與網路攻擊相抗衡。國家工業信息安全發展研究中心通過安全監測發現，工業企業信息安全應急備災手段不足，約70%的被調查工業企業缺少完善應災備災體系。

公共信息安全人才是自動化和網路安全人才的複合型人才，缺口巨大，在高校中沒有工業控制領域的碩士、博士培養方向，工業信息安全從業人員幾乎都是在實戰中學習。

如何擰緊工業網路「安全閥」

針對工業安全領域複雜多變的挑戰，須從政策制度、技術產品研發、人才培養等方面著力，進一步開展工業互聯網安全建設，構建安全保障體系。

強化網路安全漏洞管理，降低被攻擊風險。

360集團董事長兼CEO周鴻禕認為，應建立漏洞管理全流程監督處罰制度，制定覆蓋網路安全漏洞的發現、審核、披露、通報、修復、追責等全流程管理細則，強制要求漏洞必須及時修復，對漏洞修復時間以及違規處罰措施予以明確規定。

此外，應建立監督檢查機制和力量，及時發現未及時修復漏洞的行為，追究相關單位和責任人責任。

研究制定新一代信息技術在工業領域應用的安全架構，儘快突破一批工業信息安全關鍵核心技術，重點發展一批高端產品，形成具有市場競爭力的產品體系。

我國現有工業信息安全產業（包括產品、技術、服務等）占整個IT行業的比重不足2%，遠低於歐美髮達國家近10%的水平。

只有做強自主可控的工控系統相關行業，才能夠在安全問題上有話語權。

支持相關教育培訓機構，開展網路安全學科聯合建設，將網路安全納入職業技能鑒定體系，培養一支門類齊全、技術精湛的專業人才隊伍。

網路安全的本質在攻防兩端能力的較量。在我國巨大的網路安全人才缺口中，90%以上是防禦型人才。

與進攻型、研究型人才不同，防禦型人才可以通過職業培訓形式大批量培養，依靠社會力量開展職業教育，可以在短期內彌補網路安全人才缺口。  

 熱點閱讀：

農民「網紅」何以「圈粉」無數

生孩子就該是一個人的痛戰嗎？

爭相裝困、扮貧、哭窮： 「賴貧」的背後是什麼？

半月談評論：處理中美關係問題應保持「三觀」

亂監管、軟監管、瞎治理：環保形式主義須重拳整治！

在文末留言區留言參與互動，留言內容獲點贊數高者即可獲得本期送書

《大道之行

》

，祝好運！

來源：

《半月談內部版》2018年第4期，原標題：《工業網路漏洞被「網路戰爭」鎖定

》

半月談記者：朱涵 | 編輯：李建發

主編：孫愛東

編輯：焦嬋媛

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！