大數據時代提升工業信息安全的對策研究

彭怡瑤

（北京對外經貿大學）

一、引言

現如今，隨著科技發展的速度日益加快，信息技術在工業中的應用越來越普及，這在一定程度上為工業控制提供了極大便利的同時，也使得工業網絡的信息安全面臨著重重挑戰[1]。由于信息技術的巨大發展及其對整個社會乃至經濟發展的深刻影響，傳統工業領域為了使得經營效率有所提升，逐漸開始使用更通用、更經濟、更成熟的網絡通信、大數據存儲和處理、人工智能等先進技術[2]。當前，工業互聯網的實際發展速度不斷提升，隨著工業場景之中對于全新技術手段的使用，工業系統以及相關設備承擔著較為顯著的互聯網風險因素，生產設備和工業系統日益增多[3]。

工業控制系統是一個龐大而復雜的系統，同樣也是一個系統不斷發展的過程，大規模互連也增加了安全風險，使得攻擊者可以有更多鉆空子的空間和機會來攻擊工業控制體系[4]。與傳統網絡安全相比，工業信息安全自身有著更高水平要求，實際防護開展期間困難程度維持在較高水平[5]。現如今，隨著全新信息技術手段的出現致使工業化以及信息化逐漸開展了較為深入的融合，工業信息安全問題日益突出。

二、工業信息安全的防護現狀分析

（一）工控系統有安全漏洞

時代以進步驅動趨勢，生活生產開展期間信息化逐漸深入滲透，群眾自身生活也出現了較為顯著的轉變。隨著現階段信息技術的不斷發展，工業應保障自身與時代發展的高度契合，反之將面臨被淘汰的風險。2017年，我國指出應將實體經濟與人工智能、大數據以及互聯網開展全面深入的融合，象征著信息化和工業化融合有了跨階段的新發展。隨著計算機化和工業化深度融合的推進，工業控制系統(ICS)中的設計缺陷使得利用系統漏洞、遠程訪問盜竊和網絡釣魚成為有害攻擊的重要途徑。傳統的安全防御產品對于當今復雜的多重安全威脅而言有了進一步提升的空間。

2018年，國家工業信息安全中心共收集評估安全漏洞432個，主要集中在關鍵制造、能源、水利、化工、工業控制系統、智能設備、物聯網等領域。其中高危漏洞276個，中危漏洞151個，中高危漏洞所占的比重達到99%。至于漏洞類型，以緩沖區暴露的漏洞最為常見，所占的比重達到20%。排名前五位的漏洞分別是身份驗證錯誤漏洞、權限控制漏洞、信息泄露漏洞和數據驗證漏洞。基于漏洞影響領域排名前五的分別是關鍵制造業、能源、水務、醫藥與健康、食品與農業，占總數的 74%。

（二）針對工業企業的攻擊手段愈發新型多樣

攻擊者可以來自四面八方，并且發起攻擊的渠道可以通過Internet和無線網絡。使用的攻擊方法也不同，例如，掃描目標使用的工業控制設備和協議，半路攔截數據包，將數據注入設備更改、更改控制器配置、操縱控制器數據、修改或刪除任何文件、竊取敏感信息、欺騙操作員或強迫他們做錯事等，如配置、控制數據操縱、修改或刪除所有文件、竊取敏感信息、脅迫操作員做出錯誤或欺詐操作等，它通過惡意響應進行簡單或復雜的攻擊，通過惡意狀態命令進行注入攻擊，使用惡意功能碼進行代碼注入攻擊和擁塞攻擊等，此外，攻擊中還使用了針對特定目標和應用程序的各種病毒，例如勒索病毒、木馬病毒和 Stuxnet 病毒等。不僅致使公司的敏感信息被盜，更糟糕的是，它可能會使得設施的運營癱瘓并產生嚴重的后果。

例如，全世界眾多車輛企業自身生產受到“WannaCry”病毒帶來的影響，物聯網設備受到“IoT_reaper”帶來的嚴重感染，而“Industroyer”則針對電力行業內部控制系統開展了相應攻擊。不同網絡安全事件的出現表明，相關供給模式與方法手段愈發成熟，若安全層面出現相關事件，則電信、交通、能源等行業將面臨較為顯著的影響。

（三）工控系統及設備的暴露比例增加

我國相關部門報名，全世界范圍內呈現在互聯網之中的工業設備以及相關控制系統數量不斷提升，工業信息安全的風險點也在持續遞增。根據卡巴斯基的報告，2018年上半年，越南、阿爾及利亞和摩洛哥是全球工控系統遭受網絡攻擊最多的三個國家。具體而言，越南承受攻擊的工業控制系統具體數量占據其全部系統數量的比例數值為75.1%；阿爾及利亞承受攻擊的工業控制系統具體數量占據其全部系統數量的比例數值為71.6%；摩洛哥承受攻擊的工業控制系統具體數量占據其全部系統數量的比例數值為64.8%。對于我國而言，相關事件嚴重程度相比于2017年排名有一定程度的下降，占比為57.4%，排名第六，但占比有所上升。

此外，在國家工業信息安全中心的監管下，我國互聯網可識別工業控制系統和智能設備達10000余臺，其中包括全國31個省（區、市）。而廣東、浙江、北京的數量位居前列，所占比重為37%。暴露的互聯網系統和設備最常用于市政、能源和智能制造，其中 SCADA 軟件和 Modbus設備最為常見。根據調研和評估案例統計，沒有采取有效的安全措施的設備和系統在89%左右，被攻擊的風險較高，對我國的工業信息安全構成很大威脅。

（四）工業信息安全事件時有發生，形勢嚴峻

隨著現階段網絡信息技術的不斷發展，不同產業之間的關聯愈發緊密。現有的網絡威脅，如病毒和木馬不斷傳播到工業控制系統中，勒索軟件攻擊持續增加，安全事件頻繁暴露出現，安全層面實際形式極為嚴峻。2010年后，全世界行業信息安全事件頻繁出現，對于國家自身安全帶來了較為顯著的負面影響，同時國家社會、經濟發展起到嚴重阻礙。比如：

伊朗于2010年受到“震網”病毒的攻擊，全國范圍內受到影響的網絡終端實際數量超出30000個。

2012年4月，由于源自不明網絡病毒針對伊朗石油公司開展的攻擊，致使一些用戶數據失竊。

波蘭航空公司于2015年年中受到黑客攻擊，其自身地面操作系統面臨較為顯著的影響，系統實際停運時間超出5小時，取消了至少10個航班，最終滯留的游客數量超出1400人。

2015年年末，黑客針對烏克蘭電力供應系統開展攻擊，最終致使三個區域出現了數小時的停電。

2016年2月，一個代號為“沙塵暴”的黑客攻擊了日本的一個主要基礎設施，日本境內交通、電力、能源等眾多領域網絡面臨顯著影響。

烏克蘭于2017年年中受到“Petwrap”病毒的攻擊，全國電信、運輸、電力等眾多行業都面臨著較為顯著的影響。

同年之內，東歐國家受到“Bad Rabbit”病毒的攻擊，所受影響范圍極為廣泛，實際涵蓋政府機構、交通系統等，其均遭到源自網絡的惡意攻擊。

2017年12月，位于中東的一家能源企業自身安全儀表面臨外界共計，導致其被迫停產維護。

2018年年中，由于系統漏洞的存在，導致三一重工自身泵車出現失蹤狀況，企業實際承擔的經濟損失超出10億元。

臺灣電路制造行業于2018年受到勒索病毒攻擊，實際損失金額超出17.6億元，市值縮水78億元。

三、我國工業信息安全防護面臨的問題

（一）工業信息安全的管理制度不完善

眾多數字控制系統設計、構建以及運作期間均未能針對網絡安全問題進行細致考慮，致使系統接入網絡之后將面臨較為顯著安全風險，安全設計存在較為顯著的風險因素。國內工業信息安全管理較為不足，實際管理機制存在一定缺失，工業互聯應用速度嚴重落后，難以適應當前工業信息安全形勢的需要。另一方面，在我國各行各業的實業公司數量較多，管理機制以及體制具備較為繁雜的內在關聯。眾多重點行業以及相關管理部門針對規章制度開展設計不具備較為全面、系統的法律法規作為自身基礎。同時，針對部分管理較為復雜的私有或混合制企業而言，相關管理部門構建的安全管理制度未能針對社會以及企業進行合理整合與系統化管理，未能保障不同企業的實際實施。相關問題的出現對于信息安全長期穩定的發展帶來了較為顯著的負面影響。整體而言，相關部門、企業針對行業信息安全問題的關注程度還不夠，行業信息安全管理機制有待完善，構建行之有效的工作機制和管理體系是當務之急。

（二）攻擊來源和攻擊方式復雜多樣，傳統防護方式存在隱患

工控系統最開始構建的時候自身狀態較為獨立封閉，但由于信息、網絡技術的飛速發展以及企業所處環境的逐漸轉變，工業控制系統開放程度逐漸提升，傳統工業控制系統實際使用環境逐漸消失。此種現狀的出現導致系統自身數據、控制、網絡等不同層面風險因素愈發顯現，風險也越來越顯著。

工控系統的運行環境主要是內網，而局域網是內網的具體構成，普遍通過信息孤島模式存在，所以，工業控制漏洞無法通過傳統病毒防護手段進行合理解決。信息系統是傳統信息防護開展期間核心目標，未能針對工控系統開展安全防護舉措設計，現階段方法手段無法實現病毒的精準消殺，同時無法保障其實際覆蓋范圍。但是，隨著工業生產環境的不斷發展與轉變，傳統安全方法手段已經無法保障自身效用的合理體現，同時隨著時間推移，攻擊方法手段也不斷轉變，單純憑借物理手段針對安全風險開展規避已經無法實現。同時，工程控制系統自身實時性、實用性同樣具備較高水平需求，實際運作環境也更為苛刻。所以，針對工控安全防護方法手段開展構建期間應與系統實際特點高度契合，保障系統可實現實時運作與監控，以免系統中斷，從而避免諸如業務中斷，工業控制。系統與主業具備緊密關聯，系統自身較為復雜，同時相關協議數量眾多，無法獲取全面適用的安全防護方法手段，所以，應以工業控制協議自身特點為基礎，通過最終目標合理制定安全防護手段。所以，傳統信息安全防護手段無法針對工業信息安全進行合理有效的保障，應在相關問題解決期間針對全新理念開展合理有效的使用。

（三）工業企業缺乏信息安全主體意識

針對現階段工控國家安全檢查工作實際開展狀況而言，全部受訪企業之中一些企業自身信息安全理念存在較為顯著的缺失，主要表現在以下幾個方面。

（1）信息安全管理制度不健全，現階段制度未能獲取較為全面的落實，行業內部存在較為多樣的問題因素，一定程度上使得企業的工業信息安全整個層面的良好有序發展面臨著較為顯著的限制。（2）相關企業信息安全層面人才極度缺失，而具備信息安全以及信息防護專業知識、背景的人員更為稀缺。此種現狀不僅對信息安全理念發展以及技能進步帶來影響，同時安全層面也將出現相應風險因素。當企業發生行業信息安全問題時，自身將會出現應對手段不足的不良狀況。（3）宣傳教育培訓工作存在一定缺失，工作人員信息安全理念較為不足，實際經營開展期間無法通過相關行動實現安全風險的相應下降，未能針對安全風險開展及時的探尋。（4）很多業務系統和數據庫使用弱密碼，很大程度上致使黑客開展攻擊的困難程度明顯下降，企業也因此承擔著更為顯著的風險因素。

四、提升工業信息安全的對策建議

（一）健全工業信息安全管理制度，全方位加強安全防護

政策文件、標準指南等頂層設計是工業信息安全發展的方向指引。強化國家監督管理，對于行業內部相關制度、標準開展合理構建與不斷完善。針對不同政策文件開展相應制定，合理構建系統化、完善化的行業信息安全責任追溯制度，同時針對行業發展安全指引管理體系開展持續完善，持續強化安全層面相關設計。以安全為自身核心基礎，針對安全層面相關需求合理制定相應政策性文件制度，對于大數據、工業云、互聯網等信息進行相應結合。對于頂層設計而言，標準體系是其達成的核心基礎，基于不同層面相關需求針對標準體系設計研究開展不斷強化，同時針對國家層面相關標準制度的構建進行合理促進，最終達成工業信息安全標準體系系統化、完善化的構建。

（二）運用新技術加強工業信息安全防護能力

區塊鏈技術一度成為人們熱議的話題，它的出現建立了新的共識和互信機制。簡而言之，區塊鏈自身具備可編程、真實化、去中心化等特點，其本質為普遍使用的數據庫與賬簿。相關特點致使區塊鏈技術手段可在工業互聯網信息安全層面合理體現自身效用。

詳細依然，針對交易歷史開展記錄的能力可對數據追蹤起到合理協助。針對區塊鏈而言，全部交易信息均被全面記錄，同時可通過相關技術針對全部信息開展追溯。同時由于其自身具備分布式共享特點，在信息輸入區塊鏈之中后，便無法在整個可追溯過程中進行隨意操縱，并且會留下痕跡。所以，基于區塊鏈技術妥善合理地使用可實現工業互聯網自身信息可追溯性的顯著提升，進而達成企業數據防護能力的相應增強。但是，由于區塊鏈技術自身位于發展最初階段，仍然存在很多未解決的短板，如隱私問題、數據存儲容量等。針對區塊鏈技術開展使用期間，同時應對其導致的相關問題因素進行細致考慮，對于相關技術實際可行性與可用性進行合理增強，最終達成工業互聯網信息安全妥善合理的保障。

（三）落實主體責任，加強專業人才培養

“安全為重、責任至上”工業信息安全保障要求工業公司基于以下幾個方面對其可以執行的大部分安全責任：（1）針對國家制定的相關政策文件開展全面深入的學習，公司將按照文件要求，做好行業信息安全保護工作。（2）合理構建規范化、制度化工作機制，在各個城市組織開展工控安全檢查評價工作。（3）堅持企業參與和社會監督、第三方評估和政府持續監督相結合，不斷推進工業產品和服務的網絡安全審查任務。（4）加強行業信息安全意識培訓和基本技能，推動舉辦行業信息安全意識培訓、賽事實踐、技能大賽等活動，使得行業信息安全責任制全面實施到位，切實保障行業意識和責任感的加強。（5）加強人才培養，對于工業領域人力資源的加以重視，填補工業互聯網人才缺口。由專家對其進行統一管控，杜絕在操作過程中出現不當行為造成安全隱患。

五、結語

相對于大數據和工業互聯網，工業信息安全的重要性與日俱增。為保障工業互聯網的設計，解決日益深化的信息安全問題，工業企業首先要具備安全意識，建立和積累相應的知識和技能，并以國際和國家標準為遵循原則，為工業互聯網建立縱深防御體系。在全生命周期框架內針對工業企業人員、資產、環境和生產活動的信息安全予以防護，進一步開創工業信息安全新格局，為制造業人才和網絡力量建設貢獻一份保障力量。