近年来,新一轮科技革命和产业变革加速演进,5G、工业互联网、人工智能、大数据、云计算、边缘计算、密码、区块链等新兴技术加快向经济社会各领域渗透融合,网络联接从人人互联向万物互联迈进,深刻改变人们的生产生活方式,为经济社会发展注入强劲动力的同时,也使工业控制系统信息安全威胁和风险严峻复杂,对关键信息基础设施、网络数据和信息安全带来新的挑战,加强工业控制系统信息安全防护(以下简称“工控安全”)势在必行。笔者根据2019年工控安全领域的发展现状,深入调查分析,整理出工控安全2020年十大发展趋势,以期业界共享交流。
1 政策法规频出,工控安全大有可为
习近平总书记多次强调,没有网络安全就没有国家安全。2020年是《工业控制系统信息安全行动计划(2018-2020)》的收官之年,随着我国智能制造全面推进,工业数字化、网络化、智能化加快发展,我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等挑战,行动计划对提升工业企业工控安全防护能力,促进工业信息安全产业发展,加快我国工控安全保障体系建设具有重要指导意义。
近年,工业互联网发展的如火如荼,工业互联网作为互联网和新一代信息技术与工业系统全方位深度融合形成的产业和应用生态,是工业智能化发展的关键综合信息基础设施。2019年7月,工信部等印发《加强工业互联网安全工作的指导意见》,意见提出到2020年底,工业互联网安全保障体系初步建立,构建企业安全主体责任制,制定设备、平台、数据等至少20项亟需的工业互联网安全标准等;到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。
而早在2019年,就有呼声《关键信息基础设施安全保护条例》出台。据了解,国家关键信息基础设施包括能源、金融、交通、水利等17个领域。《关键信息基础设施安全保护条例》对关系到国家安全、国计民生、公共利益的关键信息基础设施在网络安全等级保护制度的基础上实行重点保护。2020年,让我们拭目以待。
2 工控安全标准体系全面升级,等保2.0、密码、贯标成为重点支撑
2019年12月1日,网络安全等级保护制度2.0标准正式实施,此系列标准可有效指导网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,指导测评机构更加规范化和标准化地开展等级测评工作,进而全面提升网络运营者的网络安全防护能力。等保2.0也从通信网络安全、计算环境安全、安全建设管理等方面对工业控制系统安全扩展要求进行了说明。
2020年1月1日,《中华人民共和国密码法》正式施行,密码技术作为一种基础的安全防护手段,贯穿工业互联网平台边缘接入层、IaaS层、PaaS层和SaaS层的加密、认证、完整性校验过程,其作为保障工业信息安全的基础性技术,在加强工业互联网平台账户管理、身份认证、数据传输与保护等在工业互联网平台安全防护中有着不可或缺的地位。
2019年被称为5G元年,伴随5G技术未来的大规模应用,网络与业务安全的异常场景将日益复杂,攻击模式增多。随着接入网络设备数量的快速增长,每天产生海量的数据,对关键信息基础设施进行安全保障,考验着安全厂商自身安全防护体系的完备性、实时性和可自我进化的能力。在网络安全方面,5G引入的新架构与新技术也带来了新的安全威胁点;在终端安全方面,5G支持更多更大规模的智能物联网终端、工控设备同时接入网络,同时也对终端接入认证、业务访问控制、脆弱性发现与加固等安全防护能力方面提出了更高的要求。
随着密码、5G技术的推广及应用,基于商用密码算法,保障车联网V2X通信安全的项目也形成试点示范。近年来IPv6作为下一代互联网核心协议,与工业互联网的结合意味着需要众多工控安全设备能够支持IPv4/IPv6双栈部署以保障信息安全,将进一步推动工业安全产业走向繁荣。
2019年10月,在《工业控制系统信息安全防护指南》发布三周年之际,由中国电子技术标准化研究院主办,面向江苏、浙江、河南、陕西、广东、四川等省的工控安全防护贯标深度行系列成功举行,贯标系列活动的开展,对进一步贯彻《工业控制系统信息安全防护指南》要求,推动落实企业主体责任,提升工业企业工控安全防护水平,具有积极意义。展望2020年,工控安全防护将成为重要工作抓手,加快贯标试点进程,推动企业依标,科学规范的开展安全防护工作。
此外,我国在工业互联网安全形势日益严峻的当下,亟需加强工业领域各个行业网络安全标准化工作,推进行业内网络安全的整体发展。
3 人工智能与网络安全,防御新生态
“人工智能是引领这一轮科技革命和产业变革的战略性技术,具有溢出带动性很强的‘头雁’效应。”习近平总书记强调,加快发展新一代人工智能是我们赢得全球科技竞争主动权的重要战略抓手。
随着人工智能技术快速发展和产业爆发,人工智能安全越发受到关注。一方面,现阶段人工智能技术不成熟性导致安全风险,包括算法不可解释性、数据强依赖性等技术局限性问题,以及人为恶意应用,可能给网络空间与国家社会带来安全风险;另一方面,人工智能技术可应用于网络安全与公共安全领域,感知、预测、预警关键信息基础设施和社会经济运行的重大态势,主动决策反应,提升网络防护能力与社会治理能力。
基于人工智能的网络安全防护应用已成为国内外网络安全产业发展的重点方向。根据调查显示,网络安全公司逐步使用人工智能技术,改善安全防御体系,开创网络防护新时代。
4 物联网泛终端接入安全,边缘计算不容忽视
当前物联网环境下,物联网终端类型多、数量大,现场环境较为复杂。攻击者可能将恶意物联网终端伪装成合法的物联网终端,诱使终端用户连接,从而隐秘收集用户数据。此外,物联网终端通常被放置在用户侧附近,在基站或路由器等位置,甚至在WiFi接入点的极端网络边缘,导致其更易遭受物理攻击等攻击方式。例如,在工业物联网场景下,物联网终端侧大多以物理隔离为主,软件安全防护能力更弱,外部的恶意用户更容易通过系统漏洞入侵和控制部分物联网终端,发起非法监听流量的行为等。
随着工业互联网与物联网等技术深度融合,关键基础设施领域部署大量物联网传感设备、感知网络构成边缘计算新模型,形成网络空间信息系统和物理空间系统紧密耦合协同互动的边缘计算网络。边缘计算网络的引入使得核心控制系统直接面临来自互联网的信息安全威胁,边缘计算网络终端域的远程渗透风险、数据域的敏感监控信息窃取与篡改风险、传输网络域的泛在入侵风险、系统域的复杂攻击危害传导风险,严重威胁着关键基础设施领域系统的安全稳定运行。同时,在边缘计算网络高实时性、高连续性要求下,所面临的安全问题将会更加突出。
5 重视工业企业数据安全,筑牢数据保护防线
大数据发展日新月异,我们应加快完善数字基础设施,推进数据资源整合和开放共享,保障数据安全。近年来,数据隐私泄露事件屡次发生,数据安全已成为企业亟需解决的问题。2019年12月20日,全国人大法工委宣布个人信息保护法、数据安全法列入2020年立法工作计划,拉开了数据安全保卫战的序幕。
工业数据作为现代工业信息化的核心,任何一家工业企业的日常生产运营都对工业数据有着高度的依赖性。对于工业企业来说,诸如生产工艺参数、设备配置文件、设备运行数据、生产数据、控制指令等工业数据是影响企业生产活动的关键业务数据,这些数据的安全性直接关系到企业生产线的稳定运行,数据的篡改、丢失或错误都可能造成整条生产线的停产,直接影响企业生产计划的实施,进而损害企业的经营效益。
近日,某企业的业务系统数据库(包括主备)遭遇其公司运维人员的删除。目前该企业技术团队正在努力恢复数据,但数据恢复较慢。此事件直接导致1天内该企业市值大量蒸发。由此可见,数据丢失是企业在信息化时代难以承受之重,我们应吸取教训,更多的考虑如何保障数据及数据库的安全,以及如何建立数据库的安全运维管理体系。
6 IT与OT加速融合,安全防护必选题
新一代信息技术的发展,使IT与OT网络的连通在拓展了工业控制系统发展空间的同时,也带来了工业控制系统网络安全问题。笔者曾采访业界专家时了解到,工控系统信息安全防护不仅涉及计算机和网络技术,还要与传统工业技术和管理手段相结合,只有IT 与 OT 相结合才能形成信息与光机电技术一体化的全方位纵深防御体系,提供因地制宜的解决方案。
近年来,企业为了管理与控制的一体化,实现生产和管理的高效率、高效益,普遍推进生产执行系统,实现管理信息网络与控制网络之间的数据交换,工业控制系统和管理信息系统的集成。如此一来,如果未能做好必要的分隔管控工作,就会导致原本封闭的OT系统,通过管理系统与互联网互联互通后,面临从互联网侧带来的各类网络攻击风险。因此,重视IT与OT融合的安全,成为企业做好工控安全防护的必然选择。
7 安防攻之道,未知攻焉知防
习近平总书记指出:“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量”。网络安全实战攻防演练必将成为检验和提升企业网络安全防护和应急处置能力的重要手段,“以攻促防”对于企业非常必要而且意义重大。
企业在研究工业安全时,可以分别从攻、防两个角度出发,提升自身安全防护能力,一方面攻击,用不同的思维方式模拟对固件、软件、硬件以及安全配置的恶意攻击,验证自身防护措施是否存在不足。另一方面防护,针对漏洞进行修补,防护数据安全和系统安全等。通过实战攻防演练,能够检测发现并整改企业重要信息基础设施存在的网络安全短板,检验企业网络安全防护能力、监测发现能力和应急处置能力,检验企业各级单位的组织指挥、通报预警和应急响应能力,检验并提升企业与外部单位的快速协同、应急处理能力。
8 安全应急响应,工业企业防患未然
习近平总书记曾在全国网信工作会议上强调,要加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急联动处置,积极发展网络安全产业,做到端口前移,防患于未然。
据统计,近年来,工业企业遭受到网络攻击最常见的木马排名前三分别是勒索病毒、挖矿木马以及综合型病毒,企业有必要建立专业的网络安全应急响应服务,运用数据驱动、安全能力服务化等安全运营理念,结合云端大数据和专家诊断,为客户提供安全运维、预警检测、持续响应、数据分析、咨询规划等一系列的安全保障服务,以应对网络安全突发事件。
笔者曾获悉,从网络安全应急的角度来说,对于信息系统及其IT环境设备,应做到事前检查、监控和数据备份;在事中操作要求攻击自动拦截、备份是否可用、风险命令执行前再三确认,避免疲劳导致人为误操作,做到三思而后行;事后的检查分析和风险评估,通过集中管理、日志记录分析、备份和恢复能力提升、可视化等方式实现故障快速定位、快速的业务系统恢复。
9 分析与共享,构筑工业领域威胁情报生态圈
网络空间的攻防是一场“非对称”的战争。面对各类新型威胁,威胁情报的出现推动了传统事件响应式的安全思维向全生命周期的持续智能响应转变。当前,各自为政地分头开展情报采集工作不仅易形成信息孤岛从而增大情报搜集成本,而且限制了情报在各组织之间的积极流动,不利于形成健康高效的威胁情报生态系统。打破藩篱,加强各信息系统协同互助,构筑宽共享、全联通的信息共享环境可提高企业、政府部门、国家机关等参与共享各方的威胁检测与应急响应能力。
参与威胁情报感知、共享和分析的各方结合自身业务流程与安全需求,针对核心资产增强威胁情报感知能力,积极融合云计算、大数据等前沿技术,建立威胁与漏洞深度分析系统,在深度挖掘与关联融合的基础上做好安全态势评估及风险预警,动态调整安全策略,部署快速可行的安全响应战略,确保关键资产的安全,同时还应在涉及一致利益的领域,以政府主导或产业联盟等多种形式,展开广泛而深入的协同交流,在面对共同威胁时形成合力,并在情报共享实践中持续健全相关法律法规保障体系,努力构筑健康、成熟的威胁情报生态圈,建立高效能威胁情报感知、共享与分析体系。
10 培养工控安全复合型人才,推动队伍的建设
网络空间的竞争,归根结底是人才竞争。新一轮科技革命和产业升级进程中,信息技术正在从根本上改变人们生产生活的方式,重塑经济社会发展和国家安全的新格局,工控安全人才将在这一转型发展过程中发挥关键作用。近年来,工控安全事件频发,尤其在攻击防范方面人才居于重要位置,但存在着人才缺口大、分布不均衡等现状。培养工业自动化和网络安全复合型人才,加强专业技能培训,建立人才选拔机制,是提升工控安全防护水平的核心关键。
当前,应充分认识工控安全人才培养的重要性和紧迫性,加强政策支持保障人才队伍持续建设,加快实用技能型人才教育,建立系统化人才培养机制,从国家、地区等多层次保障人才队伍持续建设;各高等院校和科研机构也要加强学科建设和专业化培养,加强国际交流,建立联合型、实战型培养模式;加强工业企业和安全企业协同合作,发挥各自在行业、专业上的优势,借助竞赛平台合力培养复合型工控安全人才。