工業(yè)控制系統(tǒng)面臨著巨大安全風(fēng)險

全球近年來發(fā)生多起重大工業(yè)信息安全事件。一些組織或個人通過對工業(yè)設(shè)施和工業(yè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊，謀求達(dá)成政治訴求或經(jīng)濟(jì)訴求。目前，我國絕大多數(shù)工業(yè)控制系統(tǒng)在沒有防護(hù)措施的情況下暴露于互聯(lián)網(wǎng)，且含有系統(tǒng)漏洞，能夠輕易被遠(yuǎn)程操控，面臨巨大安全風(fēng)險。

半月談記者從國家工業(yè)信息安全發(fā)展研究中心了解到，目前該中心監(jiān)測到的我國3000余個暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)，95%以上有漏洞，可以輕易被遠(yuǎn)程控制，約20%的重要工控系統(tǒng)可被遠(yuǎn)程入侵并完全接管。

過去，我國絕大多數(shù)工業(yè)系統(tǒng)是封閉系統(tǒng)，也稱單機(jī)系統(tǒng)，不用考慮聯(lián)網(wǎng)情況，現(xiàn)在隨著工業(yè)“互聯(lián)網(wǎng)+”的推進(jìn)，IT和OT（操作技術(shù)）實現(xiàn)互聯(lián)，必然導(dǎo)致一批系統(tǒng)和設(shè)施暴露。

“很多系統(tǒng)和設(shè)備沒有防護(hù)軟件，也不能安裝殺毒系統(tǒng)，一旦上了網(wǎng)就處于‘裸奔’狀態(tài)?！币晃粯I(yè)內(nèi)人士告訴記者，通信、能源、水利、電力等關(guān)鍵基礎(chǔ)設(shè)施存在安全風(fēng)險，而入侵和控制工控系統(tǒng)也已成為商業(yè)上打壓競爭對手的不法手段。

在蘇浙就有消費品加工廠被國外競爭廠家入侵網(wǎng)絡(luò)，破壞設(shè)備運行，造成生產(chǎn)斷檔。從全球發(fā)展趨勢來看，工業(yè)控制系統(tǒng)日益成為黑客攻擊和網(wǎng)絡(luò)戰(zhàn)的重點目標(biāo)。近年全球重大工業(yè)信息安全事件頻發(fā)：2010年伊朗核設(shè)施遭受“震網(wǎng)病毒”攻擊；2016年美國東海岸大面積斷網(wǎng)；2017年“WannaCry”勒索病毒肆虐全球……全球工業(yè)網(wǎng)絡(luò)安全總體風(fēng)險持續(xù)攀升，呈現(xiàn)高危態(tài)勢。

定向攻擊精準(zhǔn)性提升迅速。大量工控系統(tǒng)漏洞、攻擊方法可以通過互聯(lián)網(wǎng)等多種公開、半公開渠道獲取，許多技術(shù)分析報告給出了網(wǎng)絡(luò)攻擊步驟、攻擊代碼甚至攻擊工具等詳細(xì)信息，極易被黑客等不法分子利用。技術(shù)手段復(fù)雜化、專業(yè)化。針對工控系統(tǒng)的攻擊已從原來一個代碼攻擊一兩種漏洞，進(jìn)化成一個代碼嵌入數(shù)十種底層系統(tǒng)漏洞，絕非一個業(yè)余愛好者能夠?qū)崿F(xiàn)。

美國網(wǎng)絡(luò)武器庫遭泄埋下重大隱患。維基解密、影子經(jīng)紀(jì)人等黑客組織公開披露了大批網(wǎng)絡(luò)攻擊工具和安全漏洞，可被用于入侵感染工控系統(tǒng)，引發(fā)高頻次、大規(guī)模的網(wǎng)絡(luò)攻擊。例如震驚全球的“Wanna Cry”勒索病毒就利用了影子經(jīng)紀(jì)人披露的美國國安局“永恒之藍(lán)”漏洞進(jìn)行傳播。在一次網(wǎng)絡(luò)攻擊中，中石油等眾多中國工業(yè)企業(yè)中招。

目前，我國在工業(yè)信息安全方面存在安全防護(hù)意識薄弱、技術(shù)水平偏低、人才匱乏等問題，形勢較為嚴(yán)峻。多地區(qū)、部門、工業(yè)企業(yè)對工控系統(tǒng)信息安全重視不夠，重發(fā)展輕安全，漏洞不重視、修復(fù)不及時現(xiàn)象普遍存在。

據(jù)360補(bǔ)天漏洞響應(yīng)平臺統(tǒng)計，所有工控信息系統(tǒng)漏洞中，25.6%的漏洞未進(jìn)行修復(fù)，一些行業(yè)漏洞平均修復(fù)時間長達(dá)數(shù)月之久。我國對工業(yè)信息領(lǐng)域安全的認(rèn)識還處在初級階段。2017年5月“WannaCry”勒索病毒事件爆發(fā)，微軟在當(dāng)年3月就發(fā)布了相應(yīng)安全漏洞補(bǔ)丁，但我國很多單位一直沒有打補(bǔ)丁，導(dǎo)致近30萬臺主機(jī)和電腦被感染。直到目前，360公司還能監(jiān)測到每天有近千臺電腦感染此勒索病毒。

在企業(yè)中，因私人行為暴露并感染病毒的情況也較為多見，例如個人通過工控設(shè)備違規(guī)上網(wǎng)，或是廠商的維護(hù)人員電腦感染后造成設(shè)備系統(tǒng)全網(wǎng)感染病毒等。部分工控系統(tǒng)依賴進(jìn)口，核心產(chǎn)品自主可控度低。國家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟發(fā)布的《2017年工業(yè)信息安全態(tài)勢白皮書》顯示，國產(chǎn)數(shù)據(jù)庫僅占據(jù)7%的低端市場，數(shù)千個工控系統(tǒng)由外國廠商提供運行維護(hù)，大量企業(yè)不具備自主維護(hù)能力，同時缺乏對外國產(chǎn)品和服務(wù)的監(jiān)管。

設(shè)備廠商的維保人員對工控系統(tǒng)控制權(quán)非常大，在部分企業(yè)，工控系統(tǒng)控制室的門禁卡甚至都掌握在外方手中。防護(hù)技術(shù)較為落后，人才匱乏，難以與網(wǎng)絡(luò)攻擊相抗衡。國家工業(yè)信息安全發(fā)展研究中心通過安全監(jiān)測發(fā)現(xiàn)，工業(yè)企業(yè)信息安全應(yīng)急備災(zāi)手段不足，約70%的被調(diào)查工業(yè)企業(yè)缺少完善應(yīng)災(zāi)備災(zāi)體系。

公共信息安全人才是自動化和網(wǎng)絡(luò)安全人才的復(fù)合型人才，缺口巨大，在高校中沒有工業(yè)控制領(lǐng)域的碩士、博士培養(yǎng)方向，工業(yè)信息安全從業(yè)人員幾乎都是在實戰(zhàn)中學(xué)習(xí)。針對工業(yè)安全領(lǐng)域復(fù)雜多變的挑戰(zhàn)，須從政策制度、技術(shù)產(chǎn)品研發(fā)、人才培養(yǎng)等方面著力，進(jìn)一步開展工業(yè)互聯(lián)網(wǎng)安全建設(shè)，構(gòu)建安全保障體系。強(qiáng)化網(wǎng)絡(luò)安全漏洞管理，降低被攻擊風(fēng)險。

360集團(tuán)董事長兼CEO周鴻祎認(rèn)為，應(yīng)建立漏洞管理全流程監(jiān)督處罰制度，制定覆蓋網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)、審核、披露、通報、修復(fù)、追責(zé)等全流程管理細(xì)則，強(qiáng)制要求漏洞必須及時修復(fù)，對漏洞修復(fù)時間以及違規(guī)處罰措施予以明確規(guī)定。此外，應(yīng)建立監(jiān)督檢查機(jī)制和力量，及時發(fā)現(xiàn)未及時修復(fù)漏洞的行為，追究相關(guān)單位和責(zé)任人責(zé)任。