【www.zhangdahai.com--其他范文】
刘晓曼 吴诗雨
1 中国信息通信研究院 北京 100191
2 工业互联网安全技术试验与测评工业和信息化部重点实验室 北京 100191
近年来,我国加速推动工业数字化转型,并已取得显著成绩。安全作为发展的重要前提和基础,做好工业领域网络安全保障体系建设工作至关重要,关乎企业、行业、产业各层面健康有序发展,对推动国家数字经济高质量发展意义重大[1]。
全球工业领域安全形势依然严峻,结合今年以来相关安全事件发生的领域、攻击的方式、造成的影响等,总结出如下四大特点。
1)瞄准石油等重要工业领域发起强势攻击,供应链安全受到严重威胁。
2022年初,德国主要燃料储存供应商Oiltanking GmbH Group遭受网络攻击,可能造成燃油供应中断[2]。2月,丰田一家主要供应商受到网络攻击,其零部件供应管理系统陷入停顿,导致丰田日本境内14家工厂的28条生产线暂停一天。
2)工业控制系统、工业设备等存在安全漏洞,极易被攻击者远程操控。
2月初,全球领先网络解决方案供应商思科发现美国Sealevel Systems公司的SsaConnect物联网边缘设备存在多个严重漏洞,可能允许攻击者进行中间人攻击或执行远程代码。3月,美国参数技术公司PTC披露供应链漏洞,这些漏洞可能影响ATM、医疗和物联网设备[3]。3月,研究发现俄罗斯公司Tekon.ru制造的楼宇控制器存在严重安全漏洞,数百个俄罗斯楼宇控制器可被远程入侵。4月初,工业巨头ABB网络接口模块中存在严重漏洞使工业系统面临DDos攻击。
3)勒索软件仍然是重大安全威胁,叫停业务系统运行带来不可估量的损失。
3月,美国联邦调查局发布警报,勒索软件组织RangnarLocker攻击了10个关键基础设施部门中至少52个实体,包括能源、信息技术和制造业的组织。3月,美国FBI发布关于勒索团伙AvosLocker攻破美国多个关键基础设施的通告,包括但不限于金融服务行业、制造行业和政府部门等[4]。5月,印度第二大航司香料航空遭勒索软件攻击,内部系统受影响离线,导致多个航班延误数小时,大量乘客滞留机场。
4)工业领域数据安全泄露事件接连出现,敏感数据重要数据丢失现象严重。
3月,西班牙能源公司Iberdrola遭网络攻击,泄露130万客户数据。5月,世界工程巨头派克汉尼汾遭到黑客攻击,导致员工数据遭到泄露。7月,欧洲能源集团Encevo Group遭到网络攻击,被窃取超过150GB的数据,包括合同、协议、护照、账单、电子邮件等。
纵观今年以来全球主要国家应对工业领域网络安全威胁所采取的主要举措,主要呈现如下态势走向。
1)愈加关注新技术在工业物联网领域的研发应用,着力提升安全风险发现与抵御能力。
1月,法国计算机科学与随机系统研究所研究团队提出一种利用物联网电磁辐射检测恶意软件的新方法,高效应对恶意软件攻击。2月,美国核监管机构将使用人工智能来检测对发电厂的网络攻击,评估人工智能/机器学习概念、技术和应用对核电网络安全成果和计划的影响。2月,卡内基梅隆大学的研究人员公开了一种通过使用射频指纹技术增强物联网抵御风险能力、提高物联网设备安全性的新方法。3月,沃达丰通过一个由区块链支持的平台让物联网设备进行自动化安全交易,解决互联设备和基础设施孤立运行的挑战。3月,以色列初创公司OneLayer推出一款采用身份认证方式保护私有蜂窝网络上物联网设备的网络安全平台,以此保护物联网设备安全。
2)推出实践性更强的工业领域网络安全指南标准,对关键环节和领域实施针对性防护。
1月,北约能源安全卓越中心发布关键能源基础设施工控网络保护指南,对关键能源基础设施的安全性、可靠性、弹性和性能进行了基于技术的威胁分析。2月,美国国家标准技术研究院(NIST)发布《软件、物联网和消费者网络安全标签指南》,旨在让消费者更深入地了解其购买的软件和物联网设备的安全性,并提高软件和物联网设备制造商的透明度[5]。3月,美国NIST推出物联网设备网络安全标签的建议,提出有关物联网设备网络安全基准测试的建议,以确保连接设备可以保护用户数据,接受软件更新并防止僵尸网络劫持。3月,欧盟网络安全局和欧洲铁路信息共享与分析中心发布了关于为铁路系统建立网络安全区和管道的指南,旨在实施铁路系统分区、强化管道系统网络安全防护,并加强相关方合作共同分析威胁、漏洞、解决方案等。
3)借助合作共赢的模式强化工业领域网络安全防护工作,已形成良好的参考模式。
1月,美国纽约电力局宣布与网络安全公司IronNet、亚马逊网络服务公司合作,全面加强电网安全防御能力。3月,物联网安全技术公司Device Authority与新型技术公司Crossroads Innovation Group合作开展物联网安全标准项目,评估与边缘物联网基础设施安全相关的技术标准。4月,网络安全人工智能公司Darktrace与Zscaler、Duo Security合作,将其检测和自主响应能力扩展到零信任技术,适用于保护IT和OT环境中重要行业的客户,防止IT漏洞蔓延到工业系统。5月,半导体制造商GlobalFoundries与美国国防部达成一项价值1.17亿美元的协议,为美国国防和航空航天应用提供安全半导体的战略供应。5月,18家石油和天然气公司做出网络弹性承诺,就相关解决方案进行合作,致力于加强整个行业生态系统的网络弹性。
4)修订出台工业领域网络安全重要法案,从国家层面高度重视工业关键基础设施保护。
2月,澳大利亚《2022年安全立法修正案(关键基础设施保护)法案》提交议会,联邦政府寻求为关键基础设施实体引入风险管理计划,并加强对国家最重要实体的网络安全义务。3月,美国众议院通过《关键基础设施网络事件报告》法案,要求关键基础设施所有者和运营商在遇到重大网络攻击72小时内、被勒索软件勒索付款的24小时内报告。4月,美国国会提出《能源网络安全大学领导力计划法案》,为从事网络安全与能源基础设施研究的研究生及博后研究院提供助学金和财政援助,并希望借此帮助美国能源基础设施解决日益增长的网络威胁挑战。5月,美国众议院提出新的工业控制系统网络安全培训法案,为公共和私营部门实体提供工业控制系统网络安全培训,从而解决因国外对工业控制系统的攻击而引起的担忧。
5)加强工业领域网络安全攻防演练力度,实战实景全方位模拟以增强风险应对水平。
1月,欧盟针对成员国芬兰的一家虚拟电力公司进行了一次模拟网络攻击演习,以测试成员国的网络防御能力。3月,美国基础设施与网络安全局举行第八次“网络风暴”演习,共有来自约200家政府机构、私营部门和外国组织的近2000人参与了此次演习,涉及运营(如工业控制系统)、传统企业系统等场景。4月,北约合作网络防御卓越中心启动“锁定盾牌”网络演习活动,超过30个国家参与,旨在促进国家、行业以及公共和私人组织之间的合作与协调,以备战网络攻击军事行动。5月,斯洛文尼亚核安全局与国际原子能机构和奥地利理工学院合作开展核设施国际网络安全演习,国内外共70名专家代表参与并证实了对确保核设施网络安全重要性的高度认识。
6)关注工业领域网络安全产业发展走势,推出贴合行业企业发展实际需求的实用型报告。
1月,国际自动化协会和全球网络安全联盟等共同发布《为企业实施工业网络安全计划》白皮书,涵盖了如何准备工业网络安全计划、相关计划成本与收益等内容。3月,美国国会研究服务发布题为《关键基础设施安全和弹性:应对俄罗斯和其他国家的网络威胁》报告,该报告审查了关键基础设施的安全性和弹性,描述了能源、通信、医疗保健等领域网络风险管理计划。4月,美国能源部发布2021年州、地方、部落和地区报告,涵盖了国家能源安全和弹性规划的各种资源和举措、应急响应和弹性规划等方面的进展,指出只有通过各级政府、私营企业和学术界的广泛利益相关者之间的合作伙伴关系才能有效解决网络安全问题。5月,美国能源部发布《2022制造业网络安全路线图》,概述了未来五年美国制造业网络安全的广阔前景,针对中小型制造商、大型制造商以及为大型生产行业提供服务的原始设备制造商提出发展建议。
7)加大在工业领域网络安全方面的资金注入,扶持重点领域和行业的安全健康有序发展。
4月,美国能源部资助气候友好型电网安全和弹性的发展,借助资金建立更强大的电网来实现未来安全有弹性的清洁能源的承诺。6月,欧盟委员会批准波兰354亿欧元的复苏和韧性计划,包括为公共服务数字化、数字设备和网络安全等方面提供资金支持。7月,美国众议院通过8400亿美元国防预算法以保护关键基础设施网络安全。8月,美国能源部制定4500万美元计划保障美国能源系统安全,旨在创建、加速和测试保护电网免受网络攻击的技术。8月,加拿大为抵御量子网络威胁提供资金,加强金融、能源和运输部门的网络安全。
8)制定工业领域网络安全行动计划,切实提出提升网络安全能力的若干行动要点。
1月,欧洲关键基础设施保护参考网络发布水安全计划,为水务公司提供制定供水系统安全计划所需的信息、工具和具体实施措施,以提高水务系统整体安全性。1月,美国白宫、环境保护署和网络安全与基础设施安全局联合发布工业控制系统网络安全倡议——水和废水部门行动计划,将创建一个由水务行业领导者组成的工作组,启动事故监测试点计划,改善供水系统的网络安全。3月,美国拜登政府向关键基础设施公司发布行动呼吁,号召其加强对“俄罗斯潜在网络攻击”的防御,并敦促所有人落实八项基本的网络安全防御措施。4月,美国网络安全和基础设施安全局扩大了其联合网络防御协作计划,旨在通过公共和私营部门的合作来帮助保护美国的关键基础设施部门。
为有效应对全球工业领域网络安全态势,安全企业、需求侧企业等推出针对性安全解决方案,选取如下三个较为典型的案例。
1)某知名新能源汽车制造企业遭受勒索病毒侵袭,生产线几台上位机频繁出现蓝屏死机现象,并迅速蔓延至整个生产园区,导致被迫停止生产。为避免上位机再次感染病毒,通过采取在上位机安装工业主机防护软件,该软件能智能学习并自动生成工业主机操作系统及专用软件正常行为模式的“白名单”防护基线,主动阻断未知程序、恶意软件等运行,实现上位机从启动、加载到持续运行过程全生命周期的安全保障[6]。
2)某石油天然气管道工控系统由于地域分布广和项目分期建设等原因,用户缺乏对系统资产全面清晰的了解,同时缺乏基本的威胁监测手段,在发生病毒或网络攻击时不能实时发现、实时响应。通过采取在其生产管理层、过程监控层、现场控制层部署工业安全监测与态势感知系统,实现数据汇集、全局风险评分、系统联动处置等功能,可以将收集的数据进行可视化展现,实现对安全态势的全局管控。
3)针对工业领域数据安全存在的诸如商业秘密泄露、图纸数据随意篡改、电子文件残留等一系列问题,提出针对工业互联网数据安全的解决方案。通过终端数据智能安全防护、网络数据安全防护、因公外出数据、云平台数据安全管控防护等方面的数据防护作用,确保工业设计环境中上下游企业在高效协同的同时,最大限度的防止商业秘密数据外泄、防止数据恶意篡改、减少图纸数据大范围分发的数据残留风险。
全球主要国家积极应对工业领域网络安全风险,提出系列行而有效的举措。我国是工业大国和强国,做好工业领域网络安全保障工作至关重要。结合全球工业领域网络安全态势分析,为全面构建我国工业领域网络安全保障体系,有如下几点思考与建议。
1)明确工业企业网络安全真实需求
明确工业领域网络安全真实需求是前提和关键。我国数字化转型步伐加快,工业领域如何在数字化转型中安全平稳过渡成为一大难题,只有“对症下药”才能从根本上解决问题。一是“不想用”:中小型企业往往因成本有限,对安全事件发生存在侥幸心理,在确认能获得收益前不愿意做安全投入。二是“不敢用”:企业大多对新兴数字技术不熟悉,在考虑数字技术落地或部署数字业务时,不确定是否会违背监管要求,是否带来未知安全隐患。三是“不会用”:大部分企业缺少根据数字业务编排调配安全能力的实践经验,加之数字安全技术人才缺乏,实操能力普遍较弱。因此,应着力解决“不想用”“不敢用”“不会用”问题,解决工业企业网络安全实际需求[7]。
2)体系化开展工业领域网络安全体系建设
工业领域网络安全体系建设是一项具有复杂性、长期性、重要性特征的大工程。只有政府、产业、高校、研究机构、供给侧和需求侧企业等各方形成工作合力,才能为我国工业数字化转型筑牢安全保护屏障。现阶段,我国已初步构建工业领域网络安全保障体系,但仍难以满足当前复杂严峻的网络安全保障需要,工业领域网络安全保障体系工作任重而道远。下一步,政产学研用等各方应“查漏补缺”,同步推进政策保障、标准保障、技术保障、服务保障、人才保障等各方面工作。
3)做好做实工业领域网络安全理论的实践应用
伴随数字化、智能化、网络化在工业领域的深度应用,工业互联网已成为工业领域的重要应用模式。工业互联网安全相关工作已开展4年有余,顶层设计已逐步趋于完善,如何在产业、行业、企业等层面深耕应用成为当前的热点问题。其中,工业互联网企业网络安全分类分级试点工作已成为从理论到实践的一个成功案例。目前,“工业互联网安全深度行”活动正在如火如荼开展,上海、江苏等省份已启动安全深度行活动,应鼓励相关企业应积极参与,加速推进工业领域网络安全理论的实践应用。
全球工业领域网络安全形势不断变化,主要国家为应对严峻的网络安全态势积极采取措施,呈现出了新特点新趋势。我国是工业大国强国,应始终处理好安全与发展的关系,在数字化转型浪潮下,应基于基本国情,充分结合全球主要国家的积极举措,加速构建完善的工业领域网络安全保障体系,进一步为工业数字化转型提质增效奠定扎实安全基础。
猜你喜欢 基础设施网络安全工业 农业基础设施建设有望加速中国化肥信息(2022年5期)2022-08-30公募基础设施REITs与股票的比较清华金融评论(2022年4期)2022-04-13网络安全中国生殖健康(2019年10期)2019-01-07网络安全人才培养应“实战化”信息安全研究(2018年12期)2018-12-29上网时如何注意网络安全?小学生必读(中年级版)(2018年4期)2018-07-05工业人黄河之声(2018年5期)2018-05-17振动搅拌,基础设施耐久性的保障中国公路(2017年14期)2017-09-26充分挖掘基础设施建设发展潜力中亚信息(2016年3期)2016-12-01掌握4大工业元素,一秒变工业风!Coco薇(2015年10期)2015-10-19我国拟制定网络安全法声屏世界(2015年7期)2015-02-28本文来源:http://www.zhangdahai.com/shiyongfanwen/qitafanwen/2023/0809/637467.html
