工業(yè)網(wǎng)際網(wǎng)路資訊安全漏洞逐年激增
隨著製造業(yè)的轉(zhuǎn)型升級(jí),萬物互聯(lián)已經(jīng)成為工業(yè)資訊系統(tǒng)中不可逆轉(zhuǎn)的趨勢(shì),在工業(yè)資訊系統(tǒng)逐步與網(wǎng)際網(wǎng)路進(jìn)行融合的過程中,安全問題也逐漸凸顯出來。
日前在成都舉行的2018年網(wǎng)路安全周上,與會(huì)專家和業(yè)內(nèi)人士紛紛表示,由於工業(yè)資訊系統(tǒng)安全水準(zhǔn)相對(duì)較低,漏洞較多,這些漏洞極易被駭客利用。安全漏洞成了工業(yè)網(wǎng)際網(wǎng)路面臨的首要安全問題。
據(jù)我國國家資訊安全漏洞共用平臺(tái)(CNVD)統(tǒng)計(jì),2017年新增資訊安全漏洞4798個(gè),其中工控系統(tǒng)新增漏洞數(shù)351個(gè),與2016年同期相比,新增數(shù)量幾乎翻番,工業(yè)控制系統(tǒng)漏洞呈快速增長趨勢(shì)。未來,工業(yè)物聯(lián)網(wǎng)領(lǐng)域的安全事件還會(huì)繼續(xù)呈現(xiàn)高發(fā)狀態(tài)。
來自補(bǔ)天平臺(tái)的監(jiān)測(cè)數(shù)據(jù)顯示,我國工業(yè)網(wǎng)際網(wǎng)路聯(lián)盟成員中82家工業(yè)企業(yè)的ICS、SCADA等工控系統(tǒng)裏,有28.05%都出現(xiàn)過漏洞,並且23.2%是高危漏洞。值得注意的是,這些漏洞還僅僅是全部系統(tǒng)漏洞的一小部分,大量的工業(yè)設(shè)備暴露在公網(wǎng)上,因?yàn)槿狈A(chǔ)的安全保障,成為駭客甚至是全球不法分子攻擊的目標(biāo)。
360企業(yè)安全集團(tuán)董事長齊向東在接受《經(jīng)濟(jì)參考報(bào)》記者採訪時(shí)説,工業(yè)網(wǎng)際網(wǎng)路下的資訊安全,暴露出工業(yè)企業(yè)的內(nèi)部問題。首先,工業(yè)設(shè)備資産的“底數(shù)不清”,很多工業(yè)協(xié)議、設(shè)備、系統(tǒng)在設(shè)計(jì)之初並沒有考慮到複雜網(wǎng)路環(huán)境中的安全性,系統(tǒng)生命週期長、升級(jí)維護(hù)少也是巨大的安全隱患。其次,很多工控設(shè)備缺乏安全設(shè)計(jì)。再次,設(shè)備聯(lián)網(wǎng)機(jī)制缺乏安全保障。另外,IT和OT系統(tǒng)安全管理相互獨(dú)立,操作困難,一些智慧製造工廠內(nèi)部生産管理數(shù)據(jù)等面臨丟失、洩露、篡改等安全威脅。
FOFA系統(tǒng)通過對(duì)1182種工業(yè)網(wǎng)際網(wǎng)路系統(tǒng)和16種工業(yè)網(wǎng)際網(wǎng)路協(xié)議進(jìn)行統(tǒng)計(jì),發(fā)現(xiàn)全網(wǎng)共有195243個(gè)工業(yè)網(wǎng)際網(wǎng)路系統(tǒng)暴露在外。其中工業(yè)控制系統(tǒng)中Somfy産品最多,佔(zhàn)62%;其次是德國Beck IPC,佔(zhàn)23%;霍尼韋爾的EnergyICT和Tridium_NiagaraAX各佔(zhàn)3%;其餘均低於2%。這些設(shè)備主要針對(duì)智慧電網(wǎng)、能源管理、樓宇自控系統(tǒng)、工業(yè)控制等領(lǐng)域。
北京華順信安科技有限公司安全總監(jiān)吳明表示,這些設(shè)備沒有任何的安全防護(hù)措施,大部分也都爆出過漏洞,這些漏洞一旦被駭客掌握並加以利用,則可以直接通過遠(yuǎn)端的方式獲取設(shè)備許可權(quán)、竊取資訊,甚至還可能導(dǎo)致系統(tǒng)癱瘓。國家的重要基礎(chǔ)設(shè)施一旦被侵入,將不僅僅涉及民生,國家安全也將受到極大威脅。
例如,2017年影子經(jīng)紀(jì)人洩露的NSA網(wǎng)路武器庫,包含眾多工業(yè)網(wǎng)際網(wǎng)路系統(tǒng)漏洞,可以實(shí)現(xiàn)對(duì)設(shè)備的精確打擊。通過該方式還可以實(shí)現(xiàn)頻繁的、大規(guī)模的漏洞打擊。席捲全球的“WannaCry”勒索病毒就利用了影子經(jīng)紀(jì)人公佈的NSA漏洞——“永恒之藍(lán)”漏洞進(jìn)行傳播。而通過該漏洞,中石油、銀行ATM機(jī)、高校系統(tǒng)等眾政企、高校中招。
吳明表示,對(duì)於目前的網(wǎng)路安全形勢(shì),可通過對(duì)全球網(wǎng)路對(duì)外開放服務(wù)的資産進(jìn)行主動(dòng)或被動(dòng)方式探測(cè)、抓取、存儲(chǔ),分析整理不同種類的網(wǎng)路空間資産指紋資訊(規(guī)則),並對(duì)符合規(guī)則的資産進(jìn)行統(tǒng)計(jì)分析,進(jìn)而快速檢索全球網(wǎng)路空間資産。
多位與會(huì)專家表示,應(yīng)建立漏洞管理全流程監(jiān)督處罰制度,制定覆蓋網(wǎng)路安全漏洞的發(fā)現(xiàn)、審核、披露、通報(bào)、修復(fù)、追責(zé)等全流程管理細(xì)則,強(qiáng)制要求漏洞及時(shí)修復(fù),對(duì)漏洞修復(fù)時(shí)間以及違規(guī)處罰措施予以明確規(guī)定。此外,應(yīng)建立監(jiān)督檢查機(jī)制和力量,及時(shí)發(fā)現(xiàn)未及時(shí)修復(fù)漏洞的行為,並追究相關(guān)單位和責(zé)任人責(zé)任。
與此同時(shí),有專家呼籲,應(yīng)該研究制定新一代資訊技術(shù)在工業(yè)領(lǐng)域應(yīng)用的安全架構(gòu),儘快突破一批工業(yè)資訊安全關(guān)鍵核心技術(shù),重點(diǎn)發(fā)展一批高端産品,形成具有市場競爭力的産品體系。我國現(xiàn)有工業(yè)資訊安全産業(yè)(包括産品、技術(shù)、服務(wù)等)佔(zhàn)整個(gè)IT行業(yè)的比重不足2%,遠(yuǎn)低於歐美發(fā)達(dá)國家近10%的水準(zhǔn)。只有做強(qiáng)自主可控的工控系統(tǒng)相關(guān)行業(yè),才能夠在安全問題上掌握話語權(quán)。
相關(guān)新聞
- 網(wǎng)企負(fù)責(zé)人共話網(wǎng)路安全:新技術(shù)發(fā)展勿忘風(fēng)險(xiǎn)相伴
- [千龍網(wǎng)評(píng)] 你負(fù)責(zé)享受網(wǎng)路便利,網(wǎng)際網(wǎng)路法院負(fù)責(zé)保駕護(hù)航
- 當(dāng)司法乘上網(wǎng)路“加速器”——有感於北京網(wǎng)際網(wǎng)路法院的成立
- 一文看懂北京網(wǎng)際網(wǎng)路法院:和傳統(tǒng)法院有何不同?
- 網(wǎng)際網(wǎng)路法院審理案件司法解釋出臺(tái):網(wǎng)購等11類糾紛在網(wǎng)際網(wǎng)路法院審理