1、 IT/OT 一体化的工业信息安全态势报告(2018)工业控制系统安全国家地方联合工程实验室2019.3 主要观点 工业互联网安全是一个新战场,黑客组织有目的的向高价值目标投放勒索病毒、恶意软件等,严重威胁到国家安全;勒索病毒攻击已经成为工业企业面临的最大安全问题之一,勒索病毒导致工业互联网企业停产的事件频繁发生。系统暴露,系统漏洞,远程维护成为勒索病毒入侵的主要原因。勒索病毒的流行彻底打破了“一般互联网安全威胁对工业系统是无害的”这个传统认知;将近一半工业企业遭受过生产设备安全故障、电脑蓝屏、重启等安全问题,但确有 69.4%的企业表示没有发生过网络安全事件。当企业内部电脑出现大量蓝屏、重启
2、等现象时,往往意味着企业已经遭到了攻击,但企业管理者未作为安全事件来进行响应和调查,错过处置最佳时机;国内 76.1%的被调研工业企业非常重视工业互联网安全,工业互联网安全市场将有巨大的需求;梳理工业资产,80%的防御工作可以放到工业主机防护.;目前看不到收益、人才缺乏是阻碍安全投资建设的重要因素。工业互联网安全建设最大的难处在于没有造成安全事故,企业高层较难理解安全建设短时间内给企业带来的收益,工业互联网安全建设不被工业企业理解;工业互联网安全防护体系还没有完全建立起来,工业安全产品和服务的部署率不足、安全管理水平较低、相关人才缺乏;工业互联网安全已经逐步引起社会各界的广泛重视,政府主管部门
3、出台一系列法律法规、政策和指导意见。同时,工业企业正在投入更多的资金进行安全建设,信息安全企业也推出了更多的安全产品和服务。摘要 全球工控系统联网组件总数量为 175632 个,主要集中在美洲和欧洲国家,中国联网组件总数量为 6223 个,超出意大利 365 个,排名全球第五;在所有的工控系统组件中,工控设备的暴露是最为危险的。工控设备的暴露意味着攻击者有可能直接对设备本身发动攻击。工业互联网安全漏洞数量快速增长,类型多样化特性明显,且高危漏洞占比较高;漏洞涉及行业广泛,以制造业、能源行业为主;漏洞涉及厂商以国际厂商为主;工业企业对自身安全建设程度普遍“自我感觉良好”,实际上是一种过度乐观的状
4、态。绝大多数工业企业的实际安全状况都让人十分堪忧;国内 53.1%的企业遭受过生产设备安全故障、电脑蓝屏、重启等安全问题,仅有不足 25%的企业没有出现过蓝屏、重启现象,我国工业互联网安全建设情况并不乐观;将近有 1/4 的被调研企业表示对生产车间设备、电脑是否出现过蓝屏、重启现象表示“不掌握”。“不掌握”也就意味着企业其实并没有部署足够的网络安全监测措施以实时了解其工业系统的网络安全状况;多数工业企业过低的估计了自身遭受网络攻击风险的可能性;工业互联网存在安全管理不到位、安全责任模糊、工业主机几乎“裸奔”等问题,造成安全风险突出;工业主机投入运行后,一般较少打补丁,同时老旧操作系统难以安装杀
5、毒软件,几乎处于“裸奔”状态,这是“永恒之蓝”爆发一年多以后,工业主机仍然频频遭受勒索软件攻击的最主要原因;工业互联网安全事件发生后,应急响应的处置能力至关重要;在工业互联网信息安全领域,传统的安全防御产品已逐渐乏力、无法有效应对越来越严重的安全威胁,构建层次清晰、定位明确、融合联动的工业互联网信息安全产品体系将成为产业未来发展的重要趋势;国内 76.1%的工业用户非常重视工业互联网安全的建设;将近 49.1%的工业企业在安全方面的投入有明显增加趋势;超过 1/4 的企业对安全的投资金额在 10-100 万之间;国内 43.9%的被调查者认为工业互联网安全投入应该占工业互联网投入金额的 5%-
6、10%;人才的缺乏是影响工业互联网建设的首要因素,看不到收益仍然是阻碍安全投资建设的最主要因素;国内 69.1%的工业企业有专门的人员/部门负责安全,但负责安全的人数差距较大;八成以上的国内工业企业有意愿部署工业互联网安全服务,39%的企业能够接受的采购费用低于 20 万;安全问题发生后,国内 51.8%以上的企业愿意选择一家综合能力强的规模较大的安全厂商解决安全问题;工业企业安全安全服务市场显著增多;多方协作趋势明显;防护类产品需求较高,网络安全关注点居多,非防护类产品比例相当,呈现多样化趋势;针对第三方服务供应商的攻击同样会影响到工业互联网安全,应加强工业互联网供应链的安全;梳理工业资产,
7、重点关注工业主机资产;做好工业主机防护;持续监控生产风险。统筹规划,合力发展;顶层设计,标准推动;重视人才,培养高端。目 录 研究背景.1 第一章 工业互联网安全风险态势.2 一、工控系统互联网暴露情况.2 二、工业互联网安全漏洞分析.3(一)安全漏洞数量快速增长,安全形式日益严峻.3(二)安全漏洞类型多样化特性明显.4(三)高危漏洞占比较高.5(四)漏洞涉及厂商以国际厂商为主.5(五)漏洞涉及行业广泛,以制造业、能源行业为主.6 三、工业企业网络安全感知.6(一)工业企业对自身安全建设水平的认知.6(二)工业企业对自身面临安全风险的感知.7(三)工业企业对网络安全事件影响的认知.9 四、工业
8、互联网安全威胁.9 第二章 2018 工业互联网安全工作进展.11 一、国外工业互联网安全重要文件.11 二、国内工业互联网安全重要文件.12 三、工业信息安全标准体系建设.15 第三章 工业互联网安全产业态势.17 一、工业互联网安全产业结构.17(一)高中低位能力安全产品体系.17(二)防护监测层产品.17(三)安全运营层产品.17(四)安全态势感知层产品.18 二、GARTNER关于 OT 市场的分析.18 三、工业企业网络安全投入分析.19(一)工业互联网用户对工业互联网安全的重视程度.19(二)工业互联网用户每年在工业互联网网络安全中的资金投入分析.20(三)阻碍工业互联网安全投资建
9、设的主要因素.21(四)工业互联网安全团队现状.22 四、工业企业网络安全采购需求.24(一)工业互联网安全产品需求.24(二)工业互联网安全服务需求.24(三)工业互联网安全应急响应需求.25 第四章 工业互联网安全发展趋势.27 一、工业互联网安全建设发展趋势.27 二、工业互联网安全技术发展趋势.28(一)引入数据驱动安全的技术理念.28(二)基于威胁情报的工业威胁监测技术.28(三)基于大数据的工业态势感知技术.29(四)网络安全、功能安全、可靠性融合技术.29(五)应用工业大数据进行异常发现和实体行为分析.29(六)构建产业协同的联合防御体系.29 第五章 工业互联网安全发展建议.3
10、1 一、对工业企业的建议.31 二、对安全服务机构的建议.31 三、对政府主管部门的建议.32 第六章 工业互联网安全应急响应典型案例.33 一、某知名汽车零部件生产企业遭受“永恒之蓝”勒索病毒攻击.33 二、某大型炼钢厂遭受挖矿蠕虫病毒攻击.33 三、某卷烟厂遭受蠕虫病毒攻击.34 四、某半导体制造企业遭勒索软件攻击.35 附录一 工业控制系统安全国家地方联合工程实验室.40 附录二 工业互联网安全事件.37(一)美国通报“熔断”和“幽灵”高危漏洞.37(二)台积电三大基地疑遭勒索软件攻击停摆.37(三)英国2700 万能源智能电表存在安全漏洞.37(四)美国天然气输气管道电子系统遭受供应链
11、攻击.38(五)伊朗机场显示屏幕遭受黑客攻击.38(六)俄罗斯400多家工业企业遭遇网络钓鱼攻击.38(七)乌克兰国防系统密码竟为初始密码“123456”.39(八)洛阳市北控水务集团远程数据监测平台遭到黑客攻击.39 1 研究背景 在政策与技术的双轮驱动下,工业控制系统正在越来越多地与企业内网和互联网相连接,并与新型服务模式相结合,逐步形成了工业互联网架构。工业互联网是数字浪潮下,工业体系和互联网体系的深度融合的产物,是新一轮工业革命的关键支撑。工业互联网的发展一方面极大的促进了生产效率和服务水平的提高,另一方面也使原本封闭的系统变得越来越开放,致使系统安全风险和入侵威胁不断增加,网络安全问
12、题日益突出。工业互联网目前已经广泛应用于电力、交通、石油、取暖、制造业等关键信息基础设施领域,一旦发生安全事件,往往会造成巨大的损失和广泛的影响。但是,由于工业互联网环境的特殊性,传统的 IT 信息安全技术并不能完全有效的保护工业系统的安全,甚至很多常用的安全技术都不能直接应用于工业网络的安全防护。对于工业互联网安全的分析与防护,需要使用一些专门的方法和专用的技术。工业控制系统安全国家地方联合工程实验室(以下简称“联合实验室”)于 2017 年发布IT/OT 一体化的工业信息安全态势报告(2017),总结分析 IT/OT 融合带来的新挑战,给出工业信息安全建议和展望。为给政府部门、科研机构和工
13、业企业提供参考和借鉴,工业控制系统安全国家地方联合工程实验室(以下简称联合实验室)继续编撰了IT/OT 一体化的工业信息安全态势报告(2018)。本报旨在总结全年的工业互联网安全进展从在市场、技术、产业、用户、事件的维度给读者对全年的安全发展状态有一个概要性的了解,并对未来的发展趋势有一个初步的预测,供合作伙伴及企业客户决策参考使用。本报告对工业互联网安全漏洞的分析,采用了一种新型漏洞评分系统,将可见性、可控性、漏洞利用目标服役情况等体现工控安全特性的指标纳入量化评估范围。报告以联合实验室漏洞库收录的工业控制系统相关的漏洞信息为基础,综合参考 CVE、NVD、CNVD、CNNVD 四大公开漏洞
14、平台发布的漏洞信息,分析工业互联网安全态势。以往的很多工业安全研究报告缺乏对工业企业本身的深入研究,而工业互联网安全的建设发展离不开对工业企业需求的探讨。为了更真实的了解工业企业的安全需求,本报告特别对近 400 家工业企业进行了问卷调查,对工业企业的安全现状和安全认知进行了深入的分析。此外,本次报告还以 360 工业安全应急响应中心 2018 年处置的工业安全事件为基础,分析了 4 个典型案例。最后,本次报告还总结了工业互联网安全发展趋势,分析了国内外政策法规及 Gartner市场研究;对工业企业、安全服务机构、上级主管部门提出安全发展建议,希望能够帮助读者对工业互联网安全有一个更加全面、前
15、沿的认识。2 第一章 工业互联网安全风险态势 一、工控系统互联网暴露情况 工控系统在互联网上的暴露问题是工业互联网安全的一个基本问题。所谓“暴露,是指我们可以通过互联网直接对某些与工控系统相关的工业组件,如工控设备、协议、软件、系统等,进行远程访问或查询。造成工控系统暴露的主要原因之一是“商业网络(IT)”与“工业网络(OT)”的不断融合。IT 与 OT 网络的连通在拓展了工业控制系统发展空间的同时,也带来了工业控制系统网络安全问题。近年来,企业为了管理与控制的一体化,实现生产和管理的高效率、高效益,普遍推进生产执行系统,实现管理信息网络与控制网络之间的数据交换,实现工业控制系统和管理信息系统
16、的集成。如此一来,如果未能做好必要的分隔管控工作,就会导致原本封闭的 OT 系统,通过管理系统与互联网互通、互联后,面临从互联网侧传播进来的各类网络攻击风险。工控系统的直接连接到互联网,也称为“暴露”在互联网上,这个问题要一分为二的来看待:一方面,某地区工控系统在互联网上暴露的越多,往往说明该地区工业系统的信息化程度越高,工业互联网越发达;而另一方面,因为绝大多数的工业组件其实并不需要通过互联网进行远程操作,因此,暴露的比例越大,也往往意味着工业系统在信息化的同时,没有充分的做好必要的隔离工作,系统遭遇攻击和入侵的风险也越大。美国安全公司Positive technologies的监测数据较好
17、的反映了全球范围内,工业组件在互联网上的暴露情况。为了收集在互联网上具有可访问性的工业控制系统站点及组件,Positive technologies采用被动方式,使用可公开访问的引擎:Google、Shodan(shodan.io)、Censys(censys.io)对全球工业系统进行了搜索。其中,Shodan 和Censys可搜索工业服务器、路由器、专用摄像头等设备的联网情况。根据 Positive Technologies2018 研究数据显示:当前全球工控系统联网暴露组件总数量约为 17.6 万个。从这些工业组件的国家和地域分布来看,联网的工控组件主要集中在美洲3 和欧洲国家,其中美洲占
18、比达到 40%以上。这也是为什么工业互联网安全事件多集中在欧洲和美洲等发达国家的主要原因。从具体国家来看,美国的工控系统组件联网暴露情况最为严重,达到 64287 个;其次是德国,13242 个;法国排名第三,7759 个。中国排名全球第五,位列加拿大之后,为 6223 个。全球各国工控系统联网组件暴露数量及分布情况如下图。在所有的工控系统组件中,工控设备的暴露是最为危险的。工控设备的暴露意味着攻击者有可能直接对设备本身发动攻击。基于全国全球的主动探测,360 工业互联网安全大数据分析平台 哈勃平台收录了 2018 国内以及全球范围内,暴露在互联网上的工业控制系统设备数量。该平台统计的工控设备
19、主要包括 PLC、DCS、DTU、SCADA 等设备。统计显示,2018 年全年,中国和全球的工控设备暴露数量基本处于稳定状态,2018 年末比 2018 年初有稍微增长,在 2018 年 4 月份中国和全球的工控设备有稍微增长趋势。暴露的工控设备数量折线图如下所示。二、工业互联网安全漏洞分析 安全漏洞问题是工业互联网面临的又一个顽疾。特别的,与一般的 IT 系统不同,受到生产环境的约束,很多的工业系统安全漏洞即便已知,也未必能有条件进行修复。本节主要以联合实验室漏洞库收录的工业控制系统相关的漏洞信息为基础,综合参考了Common Vulnerabilities&Exposures(CVE)、
20、National Vulnerability Database(NVD)、中国国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)所发布的漏洞信息,从工控漏洞的年度变化趋势、等级危害、漏洞类型、漏洞涉及行业、漏洞设备类型等方面分析工业控制系统的安全威胁态势及脆弱性。本报告中的工控漏洞风险评估方法,基于通用漏洞评分系统,将可见性、可控性、漏洞利用目标服役情况等体现工控安全特性的指标纳入量化评估范围。该方法使用改进的工控漏洞风险评估算法,既可以生成工控漏洞的基础评分、生命周期评分,也可以用于安全人员结合实际工控安全场景的具体需求以生成环境评分。(一)安全漏洞数量快速增长,安全形式
21、日益严峻 4 根据中国国家信息安全漏洞共享平台(CNVD)最新统计数据显示,自 2000 年-2009 年,CNVD 每年收录的工控系统漏洞数量一直保持在个位数。但到了 2010 年,该数字一下子攀升到 32 个,次年又跃升到 190 个。这和情况的发生与 2010 年发现的 Stuxnet 蠕虫病毒(震网病毒)有直接关系。Stuxnet 病毒是世界上第一个专门针对工业控制系统编写的破坏性病毒,自此业界对工业控制系统的安全性普遍关注,工业控制系统的安全漏洞数量增长迅速。不过,从 2011 年-2015 年,CNVD 收录的工控系统漏洞数量,又呈现了一个持续的稳中有降的态势。直到 2015 年底
22、至 2016 年初的乌克兰大停电事件之后,工控系统漏洞的发现再次进入高速增长期:2016 年 191 个;2017 年 351 个;而到了 2018 年,增长到了 442 个。(二)安全漏洞类型多样化特性明显 在 2018 年四大漏洞平台收录的工业控系统漏洞中,漏洞成因多样化特征明显,技术类型多达 30 种以上。其中,拒绝服务漏洞(103)、缓冲区溢出漏洞(54)和访问控制漏洞(32)数量最多,最为常见。5 攻击者可以利用多样化的漏洞获取非法控制权、通过遍历的方式绕过验证机制、发送大量请求造成资源过载等安全事故。实际上,无论攻击者无论利用何种漏洞造成生产厂区的异常运行,均会影响工控系统组件及设
23、备的灵敏性和可靠性,造成严重的安全问题。(三)高危漏洞占比较高 在 2018 年四大漏洞平台收录的工业控系统漏洞中,高危漏洞占比 53.6%,中危漏洞占比为 36.4%,中高危漏洞占比达到 90%。漏洞危害等级分布如下:(四)漏洞涉及厂商以国际厂商为主 在 2018 年四大平台新收录的工业控制系统漏洞中,涉及到的前八大工控厂商中有七个为国际厂商,一个为中国台湾厂商。这些厂商分别为西门子(Siemens)、施耐德(Schneider)、研华(Advantech)、罗克韦尔(Rockwell)、欧姆龙(Omron)、摩莎(Moxa)、富士电机(Fuji Electric)和思科(Cisco)。漏洞
24、涉及主要厂商情况如下图所示:6 需要说明的事,虽然安全漏洞在一定程度上反映了工控系统的脆弱性,但不能仅通过被报告的厂商安全漏洞数量来片面判断比较厂商产品的安全性。因为一般来说,一个厂商的产品越是使用广泛,越会受到更多安全研究者的关注,因此被发现安全漏洞的可能性也越大。某种程度上来说,安全漏洞报告的厂商分布,更多程度上反映的是研究者的关注度。(五)漏洞涉及行业广泛,以制造业、能源行业为主 在 2018 年四大平台新收录工业控制系统安全漏洞中,多数分布在制造业、能源、水务、医疗、食品、石化、轨道交通、冶金、市政、信息技术等关键基础设施行业。制造业占比最高,涉及的相关漏洞数量占比达到 30.6%,打
25、破了近几年能源行业稳居第一的局面,能源行业涉及的相关洞数量为 23.9%。漏洞行业分布图如下:三、工业企业网络安全感知 本小节将主要从工业企业对自身网络安全状况的认知和感知情况,来分析工业企业的安全态势。(一)工业企业对自身安全建设水平的认知 2018 年,联合实验室在全国范围内对工业企业用户进行了一次系统的深入调研。根据参与行业的单位属性将制造业、市政/交通、通信/网络、石油石化/化工、能源电力用户填写的问卷作为有效数据进行分析。关于本次调研的详细情况,可参见本报告“研究背景”一节的相关介绍。调查显示,工业企业对自身企业安全建设水平普遍有较高的认识,36.7%的被调查者认的被调查者认为自己所
26、在企业网络安全建设水平达到行业领先为自己所在企业网络安全建设水平达到行业领先;,仅有 2.9%的被调查者认为,自己所在的企业网络安全建设水平处于“裸奔”状态。需要说明的是,根据联合实验室在全国各地工业企业的实地考察情况来看,工业企业对自身安全建设程度普遍“自我感觉良好”,实际上是一种过度乐观的状态。绝大多数工业企7 业的实际安全状况都让人十分堪忧。(二)工业企业对自身面临安全风险的感知 调查还显示,在被问及自己所在的工业企业是否会遭受网络攻击时,认为会遭到攻击的人和认为不会遭到攻击的人几乎各占一半。针对生产车间设备、电脑出现蓝屏、重启现象进行调研分析发现,超过 50%的企业遭受过生产设备安全故
27、障问题,仅有不足 1/4 的企业没有出现过这些现象;另有约 1/4 的企业对此问题表示“不掌握”相关情况。详见下图。其实“不掌握”,这一结果可能是最可怕的一种风险。因为“不掌握”也就意味着企业其实并没有部署足够的网络安全监控措施以实时了解其工业系统的网络安全状况。这也说明,很多工业企业对自身网络安全建设水平处于业内领先地位的评估可能是过于乐观。8 在被问及过去一年中,是否发生过网络安全事件时,69.4%的被调查企业表示没有发生过;表示发生过 1 次的有 12.2%;2 次的 6.1%;3 次及以上的占比 12.2%。将上述三组数据的结果进行对比分析,我们就会发现:多数企业确实过低的估计了自多数
28、企业确实过低的估计了自身遭到网络攻击风险的可能性身遭到网络攻击风险的可能性。事实上,当企业内部电脑出现大量蓝屏、重启等现象时,往往意味着企业已经遭到了攻击,只是很多企业的管理者并没有把这些事件作为安全事件来进行响应和调查,而只是当作一般的系统故障而已,从而可能导致其错过发现问题的最佳时机。一句话,企业认为自己没有遭到过攻击,但实际上有迹象表明他们可能已经遭到了攻击,只是自己不知情或没有意识到这些现象可能与攻击有关。此外,从应急响应或现场处置过的大量事件看,绝大多数自认为没有安全问题的工业企业,往往都存在着巨大的安全漏洞,他们对于安全事件只是处于“不知情”的状态。9 (三)工业企业对网络安全事件
29、影响的认知 调查显示,一旦遭遇网络安全事件,22.3%的工业企业最为担心的严重后果是造成人员伤亡;其次为产品质量受损,占比 20.9%,接下来是商业机会丧失、违反法规要求、承担法律责任、厂区设备损失等。需要特别说明的是,人员伤亡和产品质量受损,是工业企业遭遇人员伤亡和产品质量受损,是工业企业遭遇网络安全事件时所需面对的特殊风险网络安全事件时所需面对的特殊风险,一般的政府机构、企业,或 IT、互联网公司都无需面对此类风险。四、工业互联网安全威胁 联合实验室在对工业企业进行广泛、深入的研究的过程中,总结出了当前国内工业企业在工业互联网领域面临的 8 个主要安全威胁。1)OT 安全管理不到位 在很多
30、大中型工业企业中,IT 安全管理一般措施比较到位,但 OT 安全管理措施却有显著疏失。尽管企业大小不同,但一般其 IT 安全由企业的信息中心或专门团队管理。其中,制造业、石油石化、天然气,公用事业等行业的 IT 安全管理比其他行业更成熟。但一般来说,这些工业企业的安全管理和策略没有为 OT 做针对性定制,OT 网络和资产及其网络安全影响多年未被覆盖和管理。2)IT 和 OT 安全责任模糊 很多工业企业的信息中心会去管理 OT 网络和服务器的连接性和安全性,但往往对于OT 网络上的生产设备与控制系统的连接性没有管辖权限;而这些设备、控制系统也是互联的,有些就是基于 IT 技术实现的。如:操作员站
31、、工程师站等。因此,常见的 IT 威胁对 OT系统也有影响。反过来说,OT 的运维团队一般会对生产有效性负责,但往往并不对网络安全负责。对于很多工业企业来说,生产有效性通常都比网络安全性更重要。3)IT 安全控制在 OT 领域无效 很多工业企业在 OT 设置中使用 IT 安全控制,但没有考虑其对 OT 的影响。例如,国10 内某汽车企业,IT 安全团队按照 IT 安全要求主动扫描 OT 网络,结果导致汽车生产线 PLC出现故障,引起停产。从实践来看,很多工业企业要么不做 OT 安全评估,要么 OT 安全评估由 IT 安全服务商执行。而 IT 安全评估通常不包括 OT 网络的过程层和控制层,即使
32、对这两层进行评估,也只能采用问卷方式而不能使用工具。执行这些评估的人员通常是 IT 安全专家,对 OT 领域也不甚了解。4)缺乏 OT 资产和漏洞的可见性 工业企业的 IT 团队一般不负责 OT 的资产,而是由 OT 团队负责 OT 资产。但因为生产线系统是历经多年由多个自动化集成商持续建设的,因此 OT 团队对 OT 资产的可见性一般十分有限,甚至没有完整的 OT 资产清单,关于 OT 资产的漏洞基本上无人负责和收集。5)工业主机几乎“裸奔”工业企业的 OT 网络中存在着大量工业主机,如:操作员站、工程师站、历史数据服务器、备份服务器等。这些 PC 或服务器上运行的实时数据库、监视系统、操作
33、编程系统等,向上对 IT 网络提供数据,向下对 OT 中的控制设备及执行器进行监视和控制,它们是连接信息世界和物理世界的“关键之门”。但在实际系统中,这些工业主机上面要么没有任何安全防护措施,要么防护措施因没有进行更新已经失效,工业主机几乎处在“裸奔”状态。近年来不断发生的各类工业安全事件中,首先遭到攻击或受影响往往都是工业主机。6)IT 和 OT 网络混杂缺防护 很多工业企业的IT和OT网络并没有进行有效的隔离;部分工业企业虽然进行了分隔,并设置了访问策略,但总有员工为方便,私自设置各类双网卡机器,使得 IT、OT 网络中存在有许多不安全、也不被掌握的通信通道。OT 系统往往由不同集成商在不
34、同时间建设,使用不同的安全标准。因此,当需要集成商进行维修维护时,工作人员经常会开放远程维护端口,而且这些端口往往不采用任何安全防护措施,甚至还常见端口打开后忘记关闭的情况发生,从而增加工业互联网的攻击剖面。国内某冷轧厂就曾因为工程师远程运维,结果导致勒索病毒传入生产网络影响生产。7)OT 缺乏安全响应预案和恢复机制 IT 工作计划和 OT 工作计划往往是两张皮,IT 安全事件响应计划与 OT 之间的协调往往十分有限。很多 OT 网络在制定生产事故应对计划时,都没有考虑过网络安全事件的处理。同时,由于缺乏备份和恢复机制,OT 中发生的网络安全事件,恢复速度往往很慢。8)IT 和 OT 人员安全
35、培训普遍缺失 很多工业企业虽然有 IT 组织负责 IT 网络安全,但其在安全意识和培训计划中,往往会忽视 IT 和 OT 之间的文化差异;IT 安全人员很少会对 OT 人员进行安全培训,OT 人员的信息安全培训普遍缺失。11 第二章 2018 工业互联网安全工作进展 一、国外工业互联网安全重要文件 2018 年,美国先后制定并出台了一系列与工业互联网安全相关的法案、战略和规划,值得我们借鉴和参考。1)4 月的 4 项法案 2018 年 4 月,美国众议院能源和商业小组委员会通过 4 项能源安全法案,旨在提升美国能源部的网络响应能力和参与度,并制定新计划解决电网和管道的安全问题。其四项法案分别为
36、:管道与液化天然气设施网络安全准备法案:该法案要求美国能源部长里克佩里制定计划提高美国能源管道和液化天然气设施的物理安全与网络安全。能源应急领导法案:该法案提出将美国能源部的应急响应和网络安全工作领导权力提至助理部长一级。2018 网络感知法案:该法案制定计划帮助私营公共事业公司识别并使用网络安全功能强大的产品。公私合作加强电网安全法案:该法案提出加强公私合作确保电力设施安全。2)网络安全战略 2018 年 5 月,美国国土安全部发布首个网络安全战略(以下简称战略)。战略将“网络空间”定义为信息基础设施相互依赖的网络,包括互联网、电信网络、计算机、信息与通信系统,以及嵌入式处理器和控制器。战略
37、重点阐述了美国土安全部面临的网络威胁环境、未来五年愿景、发展目标、实现途径等,指导美国国家层面的网络安全风险管理。战略基于美国土安全部“网络空间可以安全且富有弹性”的理念,采取整体风险管理的思路和方法,以实现更好的国家网络安全风险管理。其理念、思路和方法对于我国网络安全管理工作具有重要借鉴参考作用。3)能源行业网络安全多年计划 2018 年 5 月,美国能源部发布美国 能源行业网络安全多年计划(以下简称 计划)。计划概述了网络风险管理实践的颠覆性变革;强调了网络威胁的频率、规模和复杂程度不断上升,发动网络攻击也变得更加容易,强调了网络威胁的频率、规模和复杂程度不断上升,发动网络攻击也变得更加容
38、易。计划指出了美国能源部应履行网络安全责任的举措,以解决能源所有者和运营商不断变化的安全需求等问题,力图在应对网络威胁方面占据先决优势。计划 侧重于关注美国能源部各部门协调确定的高优先级举措,并支持美国联邦政府和能源行业的战略和计划,以此降低美国能源行业的网络安全风险。4)网络安全与基础设施安全局法案 2018 年 10 月,美国网络安全与基础设施安全局法案获得参议院通过。该法案将国家保12 护与计划局(简称 NPPD)重组为网络安全与基础设施安全局(简称 CISA),并由 CISA 负责网络与物理基础设施安全。据 NPPD 保护司副司长克里斯托弗克雷布斯(Christopher Krebs)
39、称:“经国会通过的CISA 法案代表国家为提升网络安全所作的诸多工作取得了真正的进展。强化美国国土安全局的网络安全任务、精兵简政以及使 NPPD 名副其实,反映了目前所作的工作能够切实地帮助国家更好地保护关键基础设施与网络平台。这些变化还能提升国土局的工作能力,有助于其更好地与行业及政府利益相关人合作、招募网络安全顶尖人才。”CISA 的通过建立了一个致力于捍卫基础设施安全的网络安全机构,也表明了美国安全局对网络安全问题的高度重视。二、国内工业互联网安全重要文件 1)2018 年,国内也先后发布了一系列与工业互联网相关的政策和法规。中华人民共和国核安全法 2018 年 5 月,为贯彻落实党中央
40、、国务院关于安全高效发展核电工作的重要决策部署,宣贯实施中华人民共和国核安全法。该法案按照中共中央国务院关于推进安全生产领域改革发展的意见等有关要求,在总结核电行业安全管理经验和“核电安全管理提升年”专项行动工作基础上,聚焦核电运行关键环节,进一步加强安全管理,保障核电机组安全稳定运行,促进核电安全高效发展。2)关于进一步加强核电运行安全管理的指导意见 2018 年 5 月,中国核工业集团有限公司、中国广核集团有限公司、国家电力投资集团有限公司、华能集团有限公司共同发布关于进一步加强核电运行安全管理的指导意见(发改能源2018765 号)。该指导意见第八条明确规定:加强核电厂网络安全管理。将网
41、络安全纳入核电安全管理体系,加强能力建设,保障核电厂网络安全。其主要包括:开展网络安全能力建设;做好网络等级保护测评;开展网络安全培训及评估工作。3)工业互联网 APP 培育工程实施方案 2018 年 5 月,为落实国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见,推动工业互联网应用生态加快发展,工信部印发工业互联网 APP 培育工程实施方案(2018-2020 年)的通知。该方案以习近平新时代中国特色社会主义思想为指导,深入贯彻落实党的十九大和十九届二中、三中全会精神,牢固树立新发展理念,围绕制造业提质增效和转型升级实际需求,以企业为主体,以发展和繁荣工业互联网平台应用生态为目标
42、,推动软件技术与工业技术深度融合,工业 APP 培育与工业互联网平台建设协同推进,着力突破共性关键技术,夯实工业 APP 发展基础,着力提高工业 APP 发展质量,提升价值和应用效果,着力构建开放共享和流通交易机制,推动工业 APP 向工业互联网平台汇聚,形成建平台和用平台双向迭代、互促共进的制造业新生态。工业互联网 APP 是基于工业互联网,承载工业知识和经验,满足特定需求的工业应用软件,是工业技术软件化的重要成果。实施工业 APP 培育工程离不开工业 APP 安全的部署13 和落实。4)网络安全等级保护条例(征求意见稿)2018 年 6 月,公安部关于网络安全等级保护条例(征求意见稿),公
43、开征求意见。征求意见稿显示:为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据中华人民共和国网络安全法、中华人民共和国保守国家秘密法等法律,制定本条例。网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。5)工信部关于工业互联网发展的计划 根据国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见(以下简称指导意见),2018-2020 年是我国工业互
44、联网建设起步阶段,对未来发展影响深远。为贯彻落实指导意见要求,深入实施工业互联网创新发展战略,推动实体经济与数字经济深度融合,2018 年 6 月,工信部发布工业互联网发展行动计划(2018-2020 年)和工业互联网专项工作组 2018 年工作计划。两项加护提出,到 2020 年底,我国将实现“初步建成工业互联网基础设施和产业体系”的发展目标,具体包括建成 5 个左右标识解析国家顶级节点、遴选 10 个左右跨行业跨领域平台、推动 30 万家以上工业企业上云、培育超过 30万个工业 APP 等内容。行动计划中第七条明确规定:安全保障水平增强行动。行为内容只要包括:健全安全管理制度机制;初步建立
45、工业互联网全产业链数据安全管理体系;指导督促企业强化自身网络安全技术防护。6)工信部制定“推广指南”与“评价方法”2018 年 7 月,为贯彻落实国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见,加快发展工业互联网平台,工业和信息化部印发工业互联网平台建设及推广指南(以下简称指南)。同时,为规范和促进我国工业互联网平台发展,支撑开展工业互联网平台评价与遴选,工业和信息化部印发工业互联网平台评价方法(以下简称评价方法)。指南中第十八条明确规定:完善平台安全保障体系。制定完善工业信息安全管理等政策法规,明确安全防护要求。建设国家工业信息安全综合保障平台,实时分析平台安全态势。强化企业平
46、台安全主体责任,引导平台强化安全防护意识,提升漏洞发现、安全防护和应急处置能力。评价方法平台应用服务能力中明确指出:部署安全防护功能模块或组件,建立安全防护机制,确保平台数据、应用安全。平台安全可靠能力中强调工控系统安全可靠、关键零部件安全可靠、软件应用安全可靠。7)推动企业上云实施指南(2018-2020 年)2018 年 7 月,为贯彻落实国务院关于促进云计算创新发展培育信息产业新业态的意14 见、国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见、云计算发展三年行动计划(2017-2019 年)等部署要求,推动企业利用云计算加快数字化、网络化、智能化转型,推进互联网、大数据、人
47、工智能与实体经济深度融合,工业和信息化部印发推动企业上云实施指南(2018-2020 年)的通知。云计算是信息技术发展和服务模式创新的集中体现,是信息化发展的重大变革和必然趋势。支持企业上云,有利于推动企业加快数字化、网络化、智能化转型,提高创新能力、业务实力和发展水平;有利于加快软件和信息技术服务业发展,深化供给侧结构性改革,促进互联网、大数据、人工智能与实体经济深度融合,加快现代化经济体系建设。该实施指南第二十七条明确规定:落实中华人民共和国网络安全法相关要求,推动建立健全云计算相关安全管理制度,完善云计算网络安全防护标准。指导督促云平台服务商切实落实主体责任,保障用户信息安全和商业秘密。
48、8)国家智能制造标准体系建设指南(2018 年版)2018 年 8 月,为加快推进智能制造发展,指导智能制造标准化工作的开展,工业和信息化部、国家标准化管理委员会共同组织制定了 国家智能制造标准体系建设指南(2018 年版)。该建设指南按照 国家智能制造标准体系建设指南(2015 年版)中提出的“统筹规划,分类施策,跨界融合,急用先行,立足国情,开放合作”原则,进一步完善智能制造标准体系,全面开展基础共性标准、关键技术标准、行业应用标准研究,加快标准制(修)订,在制造业各个领域全面推广。该建设指南中建设内容明确了安全标准,主要包括功能安全功能安全、信息安全信息安全和人因安全人因安全三个部分。其
49、中信息安全标准用于保证智能制造领域相关信息系统及其数据不被破坏、更改、泄露,从而确保系统能连续可靠地运行,包括软件安全、设备信息安全、网络信息安全、数据安全、信息安全防护及评估等标准。9)关于加强电力行业网络安全工作的指导意见 2018 年 9 月,为深入贯彻习近平总书记关于网络强国战略的重要论述,全面落实党中央、国务院关于网络安全工作的决策部署,国家能源局印发关于加强电力行业网络安全工作的指导意见(以下简称意见),从电力行业全局的角度指导、推进网络安全工作。意见 围绕进一步落实电力企业网络安全主体责任,完善网络安全监督管理体制机制,加强全方位网络安全管理,强化关键信息基础设施安全保护,加强行
50、业网络安全基础设施建设,加强电力企业数据安全保护,提高网络安全态势感知、预警及应急处置能力,支持网络安全自主创新与安全可控;积极推动电力行业网络安全产业健康发展,推进网络安全军民融合深度发展,加强网络安全人才队伍建设,拓展网络安全国际合作等 12 方面提出 30 条具体要求。10)公安机关互联网安全监督检查规定 2018 年 10 月,公安部发布公安机关互联网安全监督检查规定。该规定自 11 月 1 日起施行。根据规定,公安机关根据网络安全防范需要和网络安全风险隐患的具体情况,可以进入互联网服务提供者和联网使用单位的营业场所、机房、工作场所监督检查,对其是否存在网络安全漏洞进行远程监控。规定明
