作者:戈清平
2018年我国工业资讯保安产业规模市场增长率达33.55%,预计2019年市场增长率将达19.23%,市场整体规模增长至93.91亿元。——《中国工业资讯保安产业发展白皮书(2018-2019年)》
去年工业和资讯化部网络安全管理局委托相关专业机构对20余家典型工业企业、工业互联网平台企业进行安全检查评估时,发现了2000多个安全威胁。
一边是市场规模快速增长
一边是背后风险不断凸显
作为下一波互联网发展的重点
工业互联网都面临哪些安全问题?
又该如何解决这些安全问题?
工业互联网面临哪些安全问题?
听专业人士分析分析
常州天正股份有限公司董事长张翀昊:工业企业在进行两化融合转型方面,注重的是发展,而安全意识比较淡薄,导致存在很多潜在的风险。本身制造业企业的资讯化能力就很弱,一旦接入互联网,海量的工控系统、业务系统必将成为网络攻击的重点物件。
工业和资讯化部网络安全管理局副局长杨宇燕:近年来工业互联网安全风险日益突出。一方面,互联网和工业的深度融合,打破了传统工业领域相对封闭可信的环境,互联网的安全威胁渗透延伸至工业领域,网络攻击可直达生产一线;二是工业互联网一旦遭受网络攻击不仅会造成系统或服务中断、资料泄露等传统互联网安全问题,甚至会引发生产安全问题,导致污染性物质泄露、爆炸性破坏、大面积断水断电等安全事件;三是传统的大部分工业控制系统与装置受其内存、处理能力等限制,防护能力较弱,这些系统接入互联网后,将更多使用公开协议以及标准化技术架构,进一步降低了攻击门槛;四是5G、IPv6等新技术在工业互联网的普及应用将带来更大的网络安全挑战。
安恒资讯科技股份有限公司董事长范渊:工业环境最大的威胁是专有的靶向类恶意程式码,如大家熟知的震网、火焰等计算机病毒,它们的攻击物件是工业控制系统中的工程师站、操作员站、服务器等主机以及DCS、PLC等控制器。目的是通过逐级渗透至现场层控制网络,直接对主机及现场控制装置进行恶意操控和逻辑篡改,达到破坏工业生产流程和损伤物理实体的目的。
奇安信副总裁左英男:与消费互联网相比,对工业互联网实施的网络攻击和防护在方法论和工具上大同小异,但不同的是工业互联网涉及的场景更多,工业控制涉及的软硬件也复杂得多。
中国科学院院士王小云:我国的工控系统由各种自动化控制组件构成,执行环境相对落后,大量的工控系统采用私有协议通讯,缺少安全设计和论证。多数情况是牺牲安全性,换取稳定性,安全更新维护不及时,这与我国的科技水平有关,特别是与不能实现自主可控有密切关系。
在严峻的安全形势下
企业都采取了哪些行动?
木链科技已推出工控攻防演练平台,包括攻防演练平台、攻防靶场体系等,提供面向工厂企业、科研院所等不同场景的平台建设方案。
奇安信也推出了多款工业安全产品,并成功应用于汽车、烟草、能源、水利、航空等多个行业。
工业和资讯化部等高层也正在着手酝酿
工业资讯保安领域的顶层设计
工信部将从四个方面构建工业互联网安全保障体系
1.抓顶层,组织制定《关于加强工业互联网安全工作的指导意见》。初步建立工作机制,开展风险评估、威胁资讯共享、监督检查、资讯通报等;开展工业互联网安全标准研制,构建工业互联网安全标准体系构架。
2.建手段,建设工业互联网安全基础资源库,建设工业互联网安全测试验证环境,搭建功能完备的工业互联网安全攻防演练环境,构建国家、省、企业三级的工业互联网安全技术保障平台。
3.强产业,持续开展工业互联网安全试点示范工作,通过“揭榜挂帅”的方式在全国范围内遴选优秀的工业互联网安全专案。
4.育人才,开展工业互联网安全大赛,举办“护网杯”网络安全防护赛,指导举办国内首个针对工业互联网应用的安全防护演练活动、工业互联网精英邀请赛等活动;指导相关产业联盟开展安全论坛和专题会议,搭建交流互学的平台。
