95%工业控制系统有漏洞 面临巨大安全风险

　　全球近年来发生多起重大工业信息安全事件。一些组织或个人通过对工业设施和工业系统进行网络攻击，谋求达成政治诉求或经济诉求。

（图片来源：互联网）

　　目前，我国绝大多数工业控制系统在没有防护措施的情况下暴露于互联网，且含有系统漏洞，能够轻易被远程操控，面临巨大安全风险。

　　95%工业控制系统含漏洞易受控

　　记者从国家工业信息安全发展研究中心了解到，目前该中心监测到的我国3000余个暴露在互联网上的工业控制系统，95%以上有漏洞，可以轻易被远程控制，约20%的重要工控系统可被远程入侵并完全接管。

　　过去，我国绝大多数工业系统是封闭系统，也称单机系统，不用考虑联网情况，现在随着工业“互联网+”的推进，IT和OT（操作技术）实现互联，必然导致一批系统和设施暴露。

　　“很多系统和设备没有防护软件，也不能安装杀毒系统，一旦上了网就处于‘裸奔’状态。”一位业内人士告诉记者，通信、能源、水利、电力等关键基础设施存在安全风险，而入侵和控制工控系统也已成为商业上打压竞争对手的不法手段。

　　在苏浙就有消费品加工厂被国外竞争厂家入侵网络，破坏设备运行，造成生产断档。

　　从全球发展趋势来看，工业控制系统日益成为黑客攻击和网络战的重点目标。

　　近年全球重大工业信息安全事件频发：2010年伊朗核设施遭受“震网病毒”攻击；2016年美国东海岸大面积断网；2017年“Wanna Cry”勒索病毒肆虐全球……全球工业网络安全总体风险持续攀升，呈现高危态势。

　　定向攻击精准性提升迅速。大量工控系统漏洞、攻击方法可以通过互联网等多种公开、半公开渠道获取，许多技术分析报告给出了网络攻击步骤、攻击代码甚至攻击工具等详细信息，极易被黑客等不法分子利用。

　　技术手段复杂化、专业化。针对工控系统的攻击已从原来一个代码攻击一两种漏洞，进化成一个代码嵌入数十种底层系统漏洞，绝非一个业余爱好者能够实现。

　　美国网络武器库遭泄埋下重大隐患。维基解密、影子经纪人等黑客组织公开披露了大批网络攻击工具和安全漏洞，可被用于入侵感染工控系统，引发高频次、大规模的网络攻击。

　　例如震惊全球的“Wanna Cry”勒索病毒就利用了影子经纪人披露的美国国安局“永恒之蓝”漏洞进行传播。在一次网络攻击中，中石油等众多中国工业企业中招。

　　意识薄弱、技术不足、人才匮乏加剧风险

　　目前，我国在工业信息安全方面存在安全防护意识薄弱、技术水平偏低、人才匮乏等问题，形势较为严峻。

　　多地区、部门、工业企业对工控系统信息安全重视不够，重发展轻安全，漏洞不重视、修复不及时现象普遍存在。

　　据360补天漏洞响应平台统计，所有工控信息系统漏洞中，25.6%的漏洞未进行修复，一些行业漏洞平均修复时间长达数月之久。

　　我国对工业信息领域安全的认识还处在初级阶段。2017年5月“Wanna Cry”勒索病毒事件爆发，微软在当年3月就发布了相应安全漏洞补丁，但我国很多单位一直没有打补丁，导致近30万台主机和电脑被感染。

　　直到目前，360公司还能监测到每天有近千台电脑感染此勒索病毒。

　　在企业中，因私人行为暴露并感染病毒的情况也较为多见，例如个人通过工控设备违规上网，或是厂商的维护人员电脑感染后造成设备系统全网感染病毒等。

　　部分工控系统依赖进口，核心产品自主可控度低。

　　国家工业信息安全产业发展联盟发布的《2017年工业信息安全态势白皮书》显示，国产数据库仅占据7%的低端市场，数千个工控系统由外国厂商提供运行维护，大量企业不具备自主维护能力，同时缺乏对外国产品和服务的监管。

　　记者了解到，设备厂商的维保人员对工控系统控制权非常大，在部分企业，工控系统控制室的门禁卡甚至都掌握在外方手中。

　　防护技术较为落后，人才匮乏，难以与网络攻击相抗衡。国家工业信息安全发展研究中心通过安全监测发现，工业企业信息安全应急备灾手段不足，约70%的被调查工业企业缺少完善应灾备灾体系。

　　公共信息安全人才是自动化和网络安全人才的复合型人才，缺口巨大，在高校中没有工业控制领域的硕士、博士培养方向，工业信息安全从业人员几乎都是在实战中学习。

　　如何拧紧工业网络“安全阀”

　　针对工业安全领域复杂多变的挑战，须从政策制度、技术产品研发、人才培养等方面着力，进一步开展工业互联网安全建设，构建安全保障体系。

　　强化网络安全漏洞管理，降低被攻击风险。

　　360集团董事长兼CEO周鸿祎认为，应建立漏洞管理全流程监督处罚制度，制定覆盖网络安全漏洞的发现、审核、披露、通报、修复、追责等全流程管理细则，强制要求漏洞必须及时修复，对漏洞修复时间以及违规处罚措施予以明确规定。

　　此外，应建立监督检查机制和力量，及时发现未及时修复漏洞的行为，追究相关单位和责任人责任。

　　研究制定新一代信息技术在工业领域应用的安全架构，尽快突破一批工业信息安全关键核心技术，重点发展一批高端产品，形成具有市场竞争力的产品体系。

　　我国现有工业信息安全产业（包括产品、技术、服务等）占整个IT行业的比重不足2%，远低于欧美发达国家近10%的水平。只有做强自主可控的工控系统相关行业，才能够在安全问题上有话语权。

　　支持相关教育培训机构，开展网络安全学科联合建设，将网络安全纳入职业技能鉴定体系，培养一支门类齐全、技术精湛的专业人才队伍。

　　网络安全的本质在攻防两端能力的较量。在我国巨大的网络安全人才缺口中，90%以上是防御型人才。

　　与进攻型、研究型人才不同，防御型人才可以通过职业培训形式大批量培养，依靠社会力量开展职业教育，可以在短期内弥补网络安全人才缺口。

　　转自：半月谈
 

　　【版权及免责声明】凡本网所属版权作品，转载时须获得授权并注明来源“中国产业经济信息网”，违者本网将保留追究其相关法律责任的权力。凡转载文章及企业宣传资讯，仅代表作者个人观点，不代表本网观点和立场。版权事宜请联系：010-65363056。

延伸阅读