安全 保障 落地
2018-11-07
当自网络安全法正式实施以来,针对关键信息基础设施的保护便成为了热门话题,其中在事关国家经济发展、社会稳定和国家安全的工业信息安全领域更是成为重中之重。
在大安全时代下,应当如何应对关乎国际民生的关键信息基础设施的安全,中国网络空间战略研究所所长秦安解读了在大安全时代下的强控制理念,应当防范全面控制,聚焦工业控制,实现自主控制。
中国网络空间战略研究所所长、《网信军民融合》副总编辑 秦安
中国软件评测中心工控与汽车测评工程技术中心副主任 陈曦
工业信息安全的范围十分广泛,涵盖了工业领域信息系统的方方面面,事实上,在整个工业信息领域的背后,都存在安全的问题。工业信息安全包括了工业控制系统安全(工控安全)、工业互联网安全、工业大数据安全、工业云平台安全等等(如图1)。
随着工业化与信息化、制造业与互联网的深度融合,工业领域的“神经中枢”——工控系统正在从专用走向通用、从封闭走向开放、单机走向互联、从自动化走向智能化,网络空间与工业物理空间正在逐渐融为一体,而针对工控系统的安全问题也愈加突出。
工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用业态,是工业智能化发展的关键综合信息基础设施。其本质是以机器、原材料、控制系统、信息系统、产品以及人之间的网络互联为基础,通过对工业数据的全面深度感知、实时传输交换、快速计算处理和高级建模分析,实现智能控制、运营优化和生产组织方式变革。
图1 工业信息安全的内容
工业互联网可以从“网络”、“数据”、“安全”三个方面来理解,网络是基础,数据是核心,安全是保障。工业互联网安全体系框架主要包括设备安全、网络安全、控制安全、应用安全和数据安全五大重点。
工业大数据安全则包括两层含义:一是工业互联网全产业链数据安全管理,包括数据收集、存储、处理、转移、删除等环节的安全防护能力;二是工业数据分级分类管理,包括数据流动、数据留存、数据泄露等。
近年来针对工业信息系统的攻击呈现出上升趋势,单是2017年就爆发了诸如WannaCry勒索病毒以及TRITON攻击工业安全保护(SIS)系统等多起攻击事件,尤其是工控信息安全形势尤为严峻。
据中国软件评测中心工控与汽车测评工程技术中心副主任陈曦介绍,当前我国工控安全主要呈现以下几个特征:
工业控制系统日益走向互联开放,攻击难度逐步降低;
工业控制系统的攻击工具“武器化”,成为国家安全新“威慑”;
工业控制系统攻击目的日趋复杂化,勒索攻击模式日益盛行;
工业辅助系统安全隐患日益突出,严重威胁工业信息安全。
具体来说,在工控安全方面在由封闭走向开放的同时,尚面临多种网络风险:一方面,工控系统自设计之初就缺乏针对信息安全的设计考量,致使工控安全漏洞众多且增长迅速,此外,操作系统“陈旧”、通信协议“私有”、系统“封闭、多样”等也增加了安全风险;另一方面,越来越多的通用产品在工业领域的应用,引入了更多的安全漏洞,并成为攻击工控系统的路径;最后,在工控运维信息安全意识方面的不足,例如安全预算、安全规划、安全培训等工作滞后,信息安全管理制度不健全等,也制约了工控安全防护工作的推进(如图2)。
图2 工控系统面临的网络风险
而随着工业互联网的建设,工业与云计算的结合很好地顺应了企业数字化转型的潮流,为工业企业生产效率的提升做出了巨大贡献。
工业云平台建设的背后,同样存在诸多安全风险,如图3。
制度保障
在国家层面,网络安全法中明确规定了对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
在行业层面,早在2016年10月工信部就正式印发了《工业控制系统信息安全防护指南》,明确了工业企业开展工控安全防护工作的要求。
2017年,工信部印发了《工业控制系统信息安全行动计划(2018-2020年)》(以下简称“行动计划”),提出到2020年建成“一网一库三平台”的目标。
同时,行动计划也从工业企业层面突出了落实企业主体责任的要求,工业企业要按照“谁主管、谁负责;谁运营、谁负责”的原则,建立工控安全责任制。
助力落地
行动计划中提到要建设“一网一库三平台”的目标以及促进工业信息安全产业发展,提升产业供给能力,培育一批龙头骨干企业,创建3-5个国家新型工业化产业示范基地(工业信息安全)。
因此,若要实现从政策到产业的落地,需要包括政府、企业、科研机构等在内的各方的共同努力,在政策的指导下,明确各方做什么和怎么做,最终实现我国工业企业工控安全防护能力的提升以及工业信息安全产业的发展。
图3 工业互联网云平台安全风险