《2019~2020年度工業(yè)信息安全形勢分析》發(fā)布，業(yè)內認為——

1月10日，由工信智庫聯(lián)盟指導、國家工業(yè)信息安全發(fā)展研究中心主辦的首屆工信安全智庫論壇在北京召開，會上發(fā)布了《2019~2020年度工業(yè)信息安全形勢分析》(簡稱《報告》)。根據(jù)《報告》，2019年全球工業(yè)信息安全發(fā)展環(huán)境日益嚴峻，網絡攻擊對于包括化工行業(yè)在內的工業(yè)領域的影響進一步加劇，針對工業(yè)企業(yè)的工業(yè)信息安全防護能力亟待提升。

網絡攻擊影響凸顯

《報告》顯示，2019年，全球工業(yè)信息安全發(fā)展環(huán)境日益嚴峻，網絡攻擊對工業(yè)領域的影響進一步加劇。據(jù)國家工信安全中心不完全統(tǒng)計，2019年全球發(fā)生的工業(yè)信息安全事件數(shù)量超過了2018年總量的1.5倍，包括化工行業(yè)在內的制造業(yè)和能源產業(yè)成為網絡攻擊的重點目標，勒索病毒、APT等網絡安全威脅嚴重影響工業(yè)企業(yè)正常生產運營。2019年3月兩家美國化工企業(yè)以及挪威的鋁業(yè)巨頭遭受勒索軟件攻擊，造成大量生產系統(tǒng)關鍵數(shù)據(jù)損失，部分工廠被迫關閉。

工控系統(tǒng)安全漏洞持續(xù)增多，并呈多樣化特征。中國國家信息安全漏洞共享平臺的統(tǒng)計數(shù)據(jù)顯示，截至2019年12月，本年度新增工業(yè)控制系統(tǒng)安全漏洞數(shù)量同比增長12.8%，已達到567個，其中中高危漏洞占比96.5%。在已公開詳細信息的338個新增工業(yè)控制系統(tǒng)漏洞的成因多樣化特征明顯，技術類型多達94種。從產品類型上看，PLC、SCADA軟件、組態(tài)軟件等產品的漏洞數(shù)量較多。

“這些系統(tǒng)和設備廣泛應用于制造業(yè)、能源及市政等主要領域，一旦被攻擊入侵，將帶來重大安全隱患或經濟損失。”國家工信安全中心政策所網絡安全研究室主任孫倩文表示，“與此同時，人員操作失誤正在成為引發(fā)安全事故的最大‘漏洞’，防火墻錯誤配置、數(shù)據(jù)庫錯誤配置等時常成為數(shù)據(jù)泄露、設備被攻擊的直接原因。”

問題猶存挑戰(zhàn)嚴峻

《報告》指出，隨著工業(yè)信息安全發(fā)展環(huán)境日益嚴峻，我國工業(yè)領域在應對網絡攻擊方面的短板也凸現(xiàn)出來，挑戰(zhàn)來自于多方面。

一是工業(yè)互聯(lián)網進入深耕階段，新興技術在工業(yè)領域融合應用帶來的伴生效應將進一步顯現(xiàn)，諸如聯(lián)網設備、平臺和數(shù)據(jù)安全風險日益嚴峻，5G或造成毫秒級的破壞，邊緣計算加持下的物聯(lián)網安全風險增加，人工智能可能導致攻擊效率指數(shù)級增長等。

二是工業(yè)行業(yè)的高度復雜性增大了安全防護難度。工業(yè)行業(yè)眾多，企業(yè)數(shù)量龐大，異構化的工業(yè)數(shù)據(jù)對安全防護帶來挑戰(zhàn)。

三是工業(yè)企業(yè)實施安全防護上缺乏可落地的具體指導。由于缺乏相關市場準入機制、行業(yè)標準、檢測認證規(guī)范和技術手段，企業(yè)在工業(yè)信息安全產品和服務質量上缺乏判斷能力。

四是網絡安全產業(yè)對工業(yè)領域針對性的支撐能力不足。我國的網絡安全企業(yè)規(guī)模小、研發(fā)能力不足，且大多是以網絡安全業(yè)務為主，在工業(yè)信息安全、工業(yè)互聯(lián)網安全等領域的產品積累和服務經驗不足。而專注于工業(yè)互聯(lián)網安全的廠商多為初創(chuàng)企業(yè)，處于技術研發(fā)實力爬坡階段，同時由于安全廠商對于工業(yè)領域制造技術、工藝流程等工業(yè)知識缺乏系統(tǒng)性掌握，無法提供部署在控制系統(tǒng)內部的安全產品和解決方案。

業(yè)內人士表示，在化工行業(yè)，智慧園區(qū)、智能工廠、智能車間等正呈燎原之勢，且化工生產存在諸多易燃易爆的高危環(huán)節(jié)，一旦遭受攻擊后果不堪設想，因此加強信息安全、工控安全防護尤為必要。“網絡安全產業(yè)對工業(yè)領域的支撐力度亟待加強。”孫倩文說。

貼近需求提升能力

展望未來信息安全形勢，孫倩文提出，未來工業(yè)企業(yè)應對網絡攻擊將成為常態(tài)，應對網絡安全風險的能力將成為企業(yè)生存和發(fā)展的重要指標。同時，隨著新技術的推廣和應用，工業(yè)信息安全將更多關注供應鏈安全，5G的應用會進一步釋放工業(yè)企業(yè)網絡安全防護需求，網絡安全企業(yè)需要深耕工業(yè)領域信息安全防護特點，開發(fā)設計適合工業(yè)現(xiàn)場和控制系統(tǒng)等使用的安全產品和解決方案。

IT管理軟件公司SolarWins發(fā)布的一份調查報告顯示，造成網絡安全事故的因素中內部人員因素占六成。工業(yè)企業(yè)作為網絡安全威脅的直接作用主體，自身防護能力的提升也顯得尤為重要，在采購外部安全防護產品解決方案的同時，工業(yè)企業(yè)還應更加注重優(yōu)化自身的安全管理機制和防護手段，加強企業(yè)內部的組織管理，減少人為事故。

對此，孫倩文強調：“未來一段時間，工業(yè)企業(yè)最迫切的任務是建立起有實操能力的、能快速有效更新安全補丁、彌補漏洞的安全團隊，在組織管理層面加強網絡安全管理，提升專業(yè)技能，堵住‘人為漏洞’是降低網絡安全事故最有效的和最直接的方法。”

針對越發(fā)嚴峻的工業(yè)信息安全形勢，《報告》提出建議，下一階段，我國應健全安全風險評估管理機制;加快建設國家、省、企業(yè)三級協(xié)同的安全監(jiān)測體系，針對不同企業(yè)實施差別化管理和防護，完善以企業(yè)為主體的防護標準體系;建立工業(yè)軟硬件安全檢測手段;構建綜合性、協(xié)同性工業(yè)信息安全防護體系;進一步加強政產學研用優(yōu)勢資源整合，提升我國工業(yè)領域網絡安全保障能力。