我國工業信息安全態勢分析與思考

董良遇，趙 冉

(國家工業信息安全發展研究中心，北京 100040)

0 引言

隨著制造業從自動化階段向網絡化階段的加速邁進，基于工業互聯網的智能制造已成為工業領域的發展趨勢。在此背景下，工業領域的“神經中樞”[1]——工業控制系統也打破了“信息孤島”的局面，工控網絡與企業網一體化程度不斷加深，不同網絡的互聯互通使傳統信息安全威脅不斷向工業控制系統滲透，而傳統的信息安全防護方式又難以有效保障工業控制系統信息安全[2]。

總體上看，全球范圍內工業企業面臨的工業信息安全總體風險持續攀升。相比于其他國家，我國工業企業安全防護水平普遍較低，難以抵御大規模、有組織的網絡安全攻擊。而工業互聯網、工業大數據、工業云等新興技術的發展和應用，打通了工業企業內外部各系統之間的信息壁壘，在數據采集、分析處理和存儲等環節引入了更多新的風險來源，風險成因更加復雜、多變，造成的安全事件后果更加深遠，工業領域的安全形勢變得更加嚴峻。

1 全球工業信息安全總體風險突出

1.1 聯網工控設備數量快速增加

隨著網絡空間與現實物理空間逐步深度融合，網絡安全問題對現實社會的影響日益嚴峻。越來越多的工業控制系統及設備被直接或間接地連入互聯網，致使安全風險加劇。根據搜索引擎shodan的監測統計數據發現，截至2018年12月，全球范圍內暴露在互聯網上的工業控制系統及設備數量已超4萬個[3]。國際主流品牌的大量應用于工業制造、能源、市政等重要領域的工業控制系統及設備被暴露在互聯網上，信息安全風險已嚴重威脅到現實物理世界的安全。

1.2 工業信息安全漏洞威脅嚴重

越來越多的工業控制系統安全漏洞被挖掘出來，黑客攻擊難度和成本快速下降，安全威脅不斷增加。據統計，工業控制系統漏洞數量自2010年以來總體呈上升趨勢(如圖1所示)[4]。從2015年起，漏洞數量始終處于高位水平狀態，由此帶來的安全風險日益凸顯。

圖1 工業控制系統歷年漏洞數量統計

這些漏洞廣泛分布于能源、市政、交通、醫療等關乎國計民生的關鍵信息基礎設施領域，且存在相當比例的高危漏洞。據統計，僅2017年全年監測跟蹤的漏洞300余個，高危漏洞占比約60%。其中，權限管理漏洞、身份認證漏洞、資源管理漏洞最為常見。工業信息安全漏洞的數量正逐年增高，但其修復工作進度遲緩，無法滿足企業及時安裝和更新補丁的需求。

1.3 工業信息安全事件層出不窮

自2010年震網(“Stuxnet”)病毒事件發生以來，工控安全事件的發生頻率越來越高，隨著工業信息安全漏洞數量的不斷增多，這種趨勢更為明顯。勒索軟件、分布式拒絕服務攻擊、惡意程序等已經成為威脅工業信息安全的罪魁禍首。烏克蘭電力系統被植入黑暗力量惡意軟件[5]、美國大面積遭受DDoS攻擊事件[6]、“WannaCry”勒索軟件席卷全球、印度電力系統遭受千萬盧布勒索等事件充分表明，來自網絡空間的惡意攻擊正在逐步瓦解現實物理世界的安全邊界，經濟利益、社會穩定、甚至國家層面的安全都受到了嚴重威脅。據統計，自2015年以來，全球每年重大安全事件平均發生數量接近300起(如圖2所示)，關鍵制造、通信、能源、市政、供水等均為安全事件高發領域。

圖2 美國ICS-CERT歷年安全事件報告數量

2 我國工業信息安全形勢更加嚴峻

2.1 安全意識薄弱，安全管理問題突出

目前我國工業領域存在相當數量的安全管理問題，各地區、各部門、各工業企業對工業信息安全重視程度不夠，大量工業企業管理者對網絡安全認識不到位，重發展輕安全，安全管理無法落實，安全投入嚴重不足，安全從業人員匱乏，導致企業存在諸多安全隱患，威脅著工業生產安全和社會正常運轉。

據了解，我國工業企業安全管理問題突出的主要原因，是由于工業領域整體對信息安全建設不夠重視，工業企業大多對網絡安全事件存僥幸心理，導致企業從上至下對工業信息安全工作消極、怠慢，主要體現在以下幾點。

(1)企業管理者沒有制定完善的網絡安全管理制度，沒有將安全責任落實具體，致使企業出現工業信息安全管理混亂、工業信息安全責任不明晰、生產數據等敏感信息外泄等問題。

(2)企業安全從業人員缺乏系統的、專業的網絡安全知識和技能，一旦企業出現安全問題無法及時采取措施應對。

(3)企業員工沒有受到良好的信息安全教育、培訓，無法對信息安全責任和義務認識清楚，不僅無法積極幫助企業發現和避免安全風險，甚至存在U盤、WiFi、手機的違規使用，或系統源代碼等敏感信息在開源平臺泄露公開等現象，致使企業的安全風險加劇。

2.2 工控系統安全防護水平相對落后

根據我國近年來的工業信息安全相關檢查工作統計發現，多數企業缺乏針對工業控制系統的有效防護措施，我國工業企業整體防護水平相對落后，工業現場存在大量安全問題亟待解決。例如：工業主機安全管理和防護不到位、工業控制系統網絡邊界防護措施不足、工業控制系統未建立安全配置、工業控制系統未使用身份認證、部分無效服務默認開啟等。

特別是在網絡邊界防護方面，根據全國重點領域網絡安全檢查工作統計，近50%的工業控制系統與企業內部網絡連接，并且存在無線接入的方式，更有超過六分之一的工業控制系統與互聯網連接。例如某鋼鐵行業公司的生產系統、辦公系統、互聯網系統相互關聯，不同系統間可相互訪問，網絡縱深防護能力不強，攻擊者一旦突破互聯網邊界，可輕易破壞生產系統。據統計，我國直接接入互聯網的工業控制系統數量約3 000余個，且數量在不斷上升。缺乏加密、認證等安全措施的工業控制系統，一旦暴露在互聯網上，很容易成為攻擊者的重點攻擊目標。并且有近5%的工業控制系統面向互聯網開通了不必要的通用網絡服務，存在黑客直接從互聯網端滲透進入的風險。若企業內部未及時部署橫向隔離防護措施，則存在被惡意軟件大規模感染的風險，或被惡意攻擊者全盤接管內網的風險。

2.3 核心技術產品自主安全程度偏低

根據各省抽樣調查發現，我國約有74%的可編程邏輯控制器(PLC)、71%的數據采集與監控系統(SCADA)以及60%的分布式控制系統(DCS)均為國外品牌，部分企業核心工業控制系統的運行維護等嚴重依賴國外廠商，國產工業控制系統內置操作系統和控制芯片基本被國外產品壟斷，無法全面探查其是否存在漏洞、后門。同時，調研各企業及廠商發現，國外廠商對設備存在的漏洞、后門等風險隱患整改率較低，補丁研發周期較長，“依賴于人、受制于人”的局面尚未得到根本改變，風險難以掌握。

此外，我國工業控制基礎軟件發展滯后，核心競爭力差，成為提升工控領域自主安全水平的關鍵癥結。我國工業控制基礎軟件仍然較大程度地依賴從國外引進，尤其是部分涉及國家關鍵基礎設施建設的重要行業，核心技術仍然受制于國外公司，企業自主創新能力仍然不強，如精密采集、精準時鐘、智能算法、故障定位、中斷調度等。國外品牌占據國內結構化數據庫70%以上的市場份額，達夢、神舟、人大金倉等國產數據庫僅占據7%的低端市場份額；在非結構化數據庫市場，國外品牌占據了一半以上市場份額。部分國產工業控制基礎軟件仍然缺乏基礎編碼、軟件開發、接口集成、運行維護等接口的標準與規范，導致軟件的可擴展性、可配置性、可重構性和互操作性較差，應用效果不佳。

2.4 新技術的發展和應用帶來新的安全風險

工業互聯網、大數據、云計算等新技術在工業領域的逐步深入應用，新型網絡攻擊手段的不斷出現，導致工業網絡與互聯網的界限越來越模糊，使傳統信息安全防護方式和管理方法無法有效保障當前企業工業信息安全能力，難以抵御大規模、有組織的網絡安全威脅，安全風險更加復雜化和多源化。一是風險來源更加多樣，新技術的應用打通了工業企業內外部各系統之間的壁壘，在數據采集、分析處理和存儲等環節引入了更多新的風險來源；二是風險成因更加復雜，外部威脅、內部泄露、安全漏洞、管理不當等都可能成為造成網絡安全事件的因素；三是安全事件造成的后果更加重大深遠，新技術的應用使得數據集中化處理和存儲、系統互聯互通成為必要前提，一旦發生數據泄露、網絡攻擊等安全事件，造成的后果將更加嚴重。

與此同時，工業互聯網、智能制造等概念給我國工業領域帶來巨大發展機遇，也帶來前所未有的挑戰。據不完全統計，我國搭建的部分工控蜜罐近三年遭受了大量國內外黑客組織的攻擊，由于工業互聯網實現了全系統、全產業、全生命周期的互聯互通，工業大數據和工業云平臺實現了系統的遠程應用和數據交互，使“智慧”系統特別是智慧工廠、智慧城市等關鍵信息基礎設施成為重點目標。

3 未來工業信息安全發展趨勢

3.1 工控系統日益成為網絡威脅的重要目標

當前網絡威脅日益嚴重，恐怖主義活動和社會不穩定因素不斷增加，未來工業控制系統將進一步成為網絡威脅的重要目標以及黑客組織實施攻擊破壞的重點對象，防護壓力空前增大。如維基解密曝光的一系列CIA機密文檔[7]、美國NSA網絡武器“永恒之藍”的勒索蠕蟲WannaCry爆發[8]等。據網絡安全公司卡巴斯基實驗室報告數據顯示，僅2017年上半年就發現約18 000種針對工業控制系統的惡意軟件。這些網絡武器的曝光和傳播顯著降低了對工業信息領域的攻擊門檻。

3.2 針對工業控制領域的攻擊將愈發普遍

當前勒索軟件威脅已經形成比較完整的地下黑色產業鏈，不法分子在商業利益驅使下，將勒索軟件與最新網絡武器相結合，給全球工業系統帶來了嚴重威脅，也給世人敲響了警鐘。在匿名網絡“暗網”和虛擬貨幣“比特幣”的加持下，勒索軟件黑色產業鏈逐漸成熟，威脅將持續發酵。除此之外，定向攻擊、僵尸網絡等攻擊方式也愈發常見，且造成的后果也愈加嚴重。雖然目前針對工業控制系統的攻擊還不多見，但工業控制系統關乎國計民生，關鍵業務數據具備極高價值，可以預見，針對工業領域的勒索軟件、定向攻擊和僵尸網絡將愈發普遍。

3.3 企業信息安全投入加大帶來發展機遇

當前工業信息安全已愈發受到政府與產業界的關注，各行業針對工業信息安全防護的資金投入不斷加大，預計未來將在政策引導和激勵下將加速發展。2017年11月國務院發布的《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》，明確提出要打造與我國經濟發展相適應的工業互聯網生態體系的總體目標[9]。未來，隨著工業信息安全產業發展環境的不斷優化、發展規模的繼續穩步提升、相關廠商和服務商在工業信息安全領域業務的積極開拓，我國工業信息安全產業發展將持續向好。

4 工業信息安全建議和意見

“網絡安全和信息化是一體之兩翼、驅動之雙輪”、“網絡安全與信息化發展并重”，面對當前工業信息安全的嚴峻形勢，必須正確審視安全的重要位置，處理好安全與發展的關系。為進一步提高對工業信息安全的重視，特建議如下：

(1)加強政策引導力度，提升工業企業安全防護意識。

我國高度重視工業信息安全工作，近年來已出臺了多個相關法律和政策文件。但在構建工業信息安全技術體系、突破關鍵核心產品、培養骨干企業、優化產業生態環境等方面，相關指導性文件尚未將網絡安全責任逐級分解、按責規劃，致使基層部門和地方企業沒有將工業信息安全真正重視起來。因此，建議加強工業互聯網安全、工業云安全、工業大數據安全等新興領域的政策制定，從頂層設計、安全要求、產業發展等方面建立新興領域安全管理政策體系，規范和指導新技術新應用，實現安全發展。加強政策宣貫、技術指導、人才培養等，強化工業企業安全意識，提升工業企業安全防護水平。

(2)強調工業信息安全獨立性，落實企業安全保障職責。

“沒有網絡安全，就沒有國家安全”，特別在工業企業等涉及國家安全、國計民生、社會安定的重點行業領域，必須落實好工業信息安全責任義務。因此，建議在涉及工業互聯網、智能制造、智慧城市、關鍵信息基礎設施等項目的規劃、建設、運營過程中，要聯合具備相關工業信息安全資質的單位共同推進網絡安全建設，并與項目建設同步部署、同步規劃、同步實施；在工業企業正常生產運營過程中，應通過工業控制系統信息安全防護能力評估、信息安全等級保護測評等手段，加強地方工業企業網絡安全部署和責任規劃，并鼓勵企業將網絡安全和信息化分別由不同責任主體承擔，細化企業安全保障職責，強化網絡安全事件獨立處理能力，提升網絡安全保障能力。

(3)攻關核心技術與產品研發，提升工業信息安全可控能力。

為了應對當前我國關鍵技術、核心芯片、精密算法、重要產品嚴重依賴國外進口，自主安全能力較弱的現狀，建議瞄準工業信息安全基礎技術、共性關鍵技術和前沿技術，研究制定新一代信息技術在工業領域應用的安全架構，著力構建安全可控的工業信息安全產品、技術體系，盡快突破一批工業信息安全關鍵核心技術，進行創新成果轉化，重點發展一批高端產品，形成具有市場競爭力的產品體系，提升我國在關鍵核心技術產品方面的國際競爭力。同時，加大工業信息安全人才隊伍的培養與建設，引導科研院所及高校開展具備主動安全防護功能的工業控制系統產品研發，布局工業互聯網、工業云、工業大數據等新興技術應用市場，推動市場化機制的建立，全方位推動我國工業信息安全相關產業盡快步入健康發展的快車道。

5 結論

隨著近年來我國在工業信息安全方面做出的不懈努力，我國的工業信息安全防護體系已基本建立，整體來說，安全綜合防護能力顯著提升。但面對如此復雜多變的工業信息安全形勢，機遇與挑戰并存，我國亟需在穩固工業信息安全的基礎上，努力建設適應我國國情和現實需求的工業信息安全防護體系和市場應用框架，通過“政、產、學、研、用”各界通力合作、共同面對，使我國真正成為一個現代化的“工業強國”，使“中國制造”真正成為世界矚目的品牌。