工業(yè)信息安全尋找加速度

石菲

隨著云計(jì)算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與制造技術(shù)加速融合，工業(yè)信息安全經(jīng)歷了從傳統(tǒng)制造時代到全新時代的蛻變。而隨著制造強(qiáng)國戰(zhàn)略的實(shí)施，在我國，工業(yè)信息安全的重要性也越來越凸顯。

以數(shù)據(jù)安全為例，2018年100余家汽車制造商的關(guān)鍵生產(chǎn)數(shù)據(jù)遭泄露事件，敲響了工業(yè)數(shù)據(jù)安全防護(hù)的警鐘。據(jù)《2018年數(shù)據(jù)泄露調(diào)查報(bào)告》統(tǒng)計(jì)，2018年全球制造業(yè)的數(shù)據(jù)泄露事件多達(dá)536起，其中涉及大型企業(yè)事件375起。

在網(wǎng)絡(luò)攻擊層面，2018年，法國、俄羅斯等數(shù)百家工業(yè)企業(yè)成為網(wǎng)絡(luò)釣魚的攻擊目標(biāo)，涉及制造業(yè)、石油天然氣、冶金等行業(yè)。

據(jù)國家工信安全中心統(tǒng)計(jì)，2017-2018年，工業(yè)領(lǐng)域公開報(bào)道的勒索病毒攻擊事件高達(dá)17起，其中制造業(yè)是攻擊的重點(diǎn)目標(biāo)。2019年以來，針對制造業(yè)的勒索病毒攻擊事件已發(fā)生5起，涉及多國知名化工、食品、汽車制造企業(yè)，直接造成了系統(tǒng)癱瘓、生產(chǎn)停滯、運(yùn)營中斷等嚴(yán)重后果。未來，隨著制造業(yè)企業(yè)價(jià)值密度增大、網(wǎng)絡(luò)依賴性提升，將愈發(fā)成為勒索者的“理想目標(biāo)”。

進(jìn)入2019年，隨著工業(yè)企業(yè)上云、工業(yè)App培育進(jìn)程的加速，有一些關(guān)乎工業(yè)企業(yè)命脈的海量關(guān)鍵數(shù)據(jù)會進(jìn)一步向云平臺匯聚，這些數(shù)據(jù)如果成為不法分子牟取利益的攻擊目標(biāo)，則會引發(fā)進(jìn)一步的工業(yè)信息安全危機(jī)。而隨著物聯(lián)網(wǎng)的進(jìn)一步應(yīng)用，物聯(lián)網(wǎng)的安全漏洞也會引發(fā)對終端安全更深層次的思考。在工業(yè)互聯(lián)網(wǎng)平臺快速發(fā)展的同時，我們更應(yīng)該把安全元素放在首位，只有在建設(shè)之初就充分考慮到安全因素，工業(yè)互聯(lián)網(wǎng)平臺才能充分發(fā)揮他的價(jià)值。

那么，隨著智能制造的加速發(fā)展，新時代下工業(yè)信息安全會迎來怎樣的趨勢，又應(yīng)該向什么方向發(fā)展？有哪些短板需要補(bǔ)足？讓我們嘗試去尋找到工業(yè)信息安全發(fā)展的加速度，為“智能+”與工業(yè)發(fā)展的融合打牢基礎(chǔ)。

物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)增加

據(jù)Gartner預(yù)測，到2020年，全球?qū)⒂?04億件聯(lián)網(wǎng)產(chǎn)品投入使用?！?018-2019中國物聯(lián)網(wǎng)發(fā)展年度報(bào)告》也顯示，2018年我國物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模已超1.2萬億元，物聯(lián)網(wǎng)產(chǎn)業(yè)將呈現(xiàn)蓬勃發(fā)展的態(tài)勢。

隨著工業(yè)互聯(lián)網(wǎng)發(fā)展速度加快，海量工業(yè)設(shè)備泛在連接、企業(yè)業(yè)務(wù)系統(tǒng)云化服務(wù)、網(wǎng)絡(luò)化協(xié)調(diào)制造的趨勢日益明顯，工業(yè)生產(chǎn)裝備、傳感器、工業(yè)控制系統(tǒng)等極易成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)，在邊緣計(jì)算的加持下，物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)更是不斷增加，這也導(dǎo)致工業(yè)企業(yè)受攻擊的風(fēng)險(xiǎn)進(jìn)一步增大。

2018年，國家工信安全中心收集研判工業(yè)控制系統(tǒng)、智能設(shè)備、物聯(lián)網(wǎng)等領(lǐng)域的安全漏洞共計(jì)432個，主要分布于關(guān)鍵制造、能源、水務(wù)化學(xué)化工等領(lǐng)域。其中，高危漏洞276個，中危漏洞151個，中高危漏洞占比高達(dá)99%。從漏洞類型來看，緩沖區(qū)溢出漏洞數(shù)量最多，占比20%。排名前五的漏洞類型還有認(rèn)證錯誤漏洞、權(quán)限控制漏洞、信息泄露漏洞、輸入驗(yàn)證漏洞。從漏洞影響領(lǐng)域來看，排名前五的分別是關(guān)鍵制造、能源、水務(wù)、醫(yī)療健康、食品農(nóng)業(yè)，共占比74%。

由于邊緣計(jì)算分布廣、環(huán)境復(fù)雜、數(shù)量龐大、在計(jì)算機(jī)存儲上資源受限，且很多應(yīng)用在設(shè)計(jì)之初并沒有充分考慮到安全風(fēng)險(xiǎn)，傳統(tǒng)信息安全已不能完全適應(yīng)邊緣計(jì)算的防護(hù)需求。而在實(shí)際應(yīng)用中部分物聯(lián)網(wǎng)產(chǎn)品未經(jīng)權(quán)威安全評測就會直接投入使用，產(chǎn)品安全性也存在風(fēng)險(xiǎn)。同時，由于邊緣計(jì)算的特殊性，大多數(shù)用戶無法及時察覺他們的設(shè)備是否被黑客入侵。而對于服務(wù)提供商來說，隨著設(shè)備數(shù)量顯著增加，管理難度加大，也很難有效監(jiān)控所有設(shè)備。

因此，物聯(lián)網(wǎng)安全已經(jīng)成為工業(yè)發(fā)展道路上的重要議題。對此，很多人視區(qū)塊鏈為解決物聯(lián)網(wǎng)安全的有效手段。區(qū)域鏈的主要好處是其分散的基礎(chǔ)架構(gòu)，一個訪問點(diǎn)出問題不會損害整個系統(tǒng)，并且它能記錄與之交互的每個設(shè)備的時間戳，可以利用區(qū)域鏈的特性確保只有經(jīng)過批準(zhǔn)的設(shè)備才能訪問系統(tǒng)，并記錄任何違規(guī)或未經(jīng)授權(quán)的訪問，可以快速有效地對其進(jìn)行處理。從這個角度來說，區(qū)塊鏈或許會成為物聯(lián)網(wǎng)設(shè)備的最佳搭檔。但區(qū)塊鏈技術(shù)的成熟還需要時間，希望工業(yè)而企業(yè)在進(jìn)行物聯(lián)網(wǎng)設(shè)備的安裝管理時能夠充分考慮到安全問題，提前做好防御規(guī)劃。

工業(yè)互聯(lián)網(wǎng)走向快車道

眾所周知，工業(yè)互聯(lián)網(wǎng)是推動制造業(yè)數(shù)字化轉(zhuǎn)型的重要抓手。工業(yè)互聯(lián)網(wǎng)的本質(zhì)是以機(jī)器、原材料、控制系統(tǒng)、信息系統(tǒng)、產(chǎn)品及人之間的網(wǎng)絡(luò)互連為基礎(chǔ)，通過對工業(yè)數(shù)據(jù)深度感知、實(shí)時傳輸交換、快速計(jì)算處理及高級建模分析，實(shí)現(xiàn)智能控制、運(yùn)營優(yōu)化和生產(chǎn)組織方式的變革。

目前，我國工業(yè)互聯(lián)網(wǎng)已由理念研究加速走向落地實(shí)施，進(jìn)入發(fā)展快車道，各地各類工業(yè)互聯(lián)網(wǎng)應(yīng)用創(chuàng)新不斷涌現(xiàn)。工業(yè)互聯(lián)網(wǎng)已廣泛應(yīng)用于石油石化、鋼鐵冶金等行業(yè)，具有一定影響力的工業(yè)互聯(lián)網(wǎng)平臺已超過50家，重點(diǎn)平臺平均連接設(shè)備數(shù)量達(dá)到近60萬臺。但據(jù)有關(guān)機(jī)構(gòu)對20余家典型工業(yè)互聯(lián)網(wǎng)平臺企業(yè)進(jìn)行的安全評估，發(fā)現(xiàn)2000多個安全威脅，存在較多的風(fēng)險(xiǎn)隱患。

一直以來，關(guān)于工業(yè)互聯(lián)網(wǎng)的政策都非常明確。2017年11月27日，國務(wù)院發(fā)布了《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》，第一次對于工業(yè)互聯(lián)網(wǎng)做出全面論述，是規(guī)范和指導(dǎo)我國工業(yè)互聯(lián)網(wǎng)發(fā)展的綱領(lǐng)性文件。2018年底中央經(jīng)濟(jì)會議明確提出：加強(qiáng)人工智能，工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施建設(shè)。各部委文件逐漸由指定綱領(lǐng)進(jìn)入到引導(dǎo)實(shí)施階段。

其中，關(guān)于工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域，政府和主管部門也都投注了足夠的重視。近日，工業(yè)和信息化部、教育部、人力資源和社會保障部、生態(tài)環(huán)境部、國家衛(wèi)生健康委員會、應(yīng)急管理部、國務(wù)院國有資產(chǎn)監(jiān)督管理委員會、國家市場監(jiān)督管理總局、國家能源局、國家國防科技工業(yè)局聯(lián)合印發(fā)了加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見?！都訌?qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》從指導(dǎo)思想、基本原則、總體目標(biāo)三個層面上對我國工業(yè)互聯(lián)網(wǎng)的發(fā)展方向進(jìn)行了清晰的規(guī)劃。

工業(yè)互聯(lián)網(wǎng)的建設(shè)不是單純的企業(yè)行為，而是一項(xiàng)重大的國家發(fā)展戰(zhàn)略。因此，工業(yè)互聯(lián)網(wǎng)的發(fā)展是需要多方力量匯聚的結(jié)果。工業(yè)互聯(lián)網(wǎng)的安全體系建設(shè)要獲得集聚發(fā)展，各地相關(guān)部門需要結(jié)合本地工業(yè)互聯(lián)網(wǎng)的發(fā)展特征，制定相應(yīng)的政府支持機(jī)制和發(fā)展策略，為企業(yè)安全技術(shù)創(chuàng)新和應(yīng)用推廣方面提供充分的支持條件。

《指導(dǎo)意見》中強(qiáng)調(diào)了通過部門協(xié)同、部省協(xié)作提高工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)的運(yùn)作效率，面向企業(yè)的安全需求，充分發(fā)揮市場引導(dǎo)、政府支持作用，形成政產(chǎn)學(xué)研用多方力量的有效匯聚。通過開展安全宣傳教育、安全競賽演練、安全人才培養(yǎng)等一系列工作，優(yōu)化工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)的人才培育和生態(tài)環(huán)境。工業(yè)互聯(lián)網(wǎng)的安全體系建設(shè)關(guān)乎我國制造業(yè)轉(zhuǎn)型發(fā)展過程的穩(wěn)定性與持續(xù)性。工業(yè)互聯(lián)網(wǎng)融合、跨越、系統(tǒng)的工程特征要求其安全體系的建設(shè)需要政府部門、企業(yè)、市場多方的統(tǒng)籌協(xié)作，樹立全局觀念，通過分類分級、突出重點(diǎn)、鼓勵創(chuàng)新，營造工業(yè)互聯(lián)網(wǎng)穩(wěn)定安全的開放發(fā)展環(huán)境，才能夠?qū)崿F(xiàn)安全與發(fā)展的同步運(yùn)行。

“增強(qiáng)免疫力”替代“打補(bǔ)丁”

除了工業(yè)領(lǐng)域的特殊性，呈幾何倍數(shù)增長的新科技在進(jìn)行產(chǎn)業(yè)升級的同時也帶來了不可避免的安全問題。這些新技術(shù)都需要在發(fā)展的同時注入安全基因，比如在人工智能領(lǐng)域，2019年8月底，2019世界人工智能安全高端對話聯(lián)合2019世界人工智能大會法治論壇發(fā)布了《人工智能安全與法治導(dǎo)則（2019）》。該導(dǎo)則從算法安全、數(shù)據(jù)安全、知識產(chǎn)權(quán)、社會就業(yè)和法律責(zé)任等五大方面，對人工智能發(fā)展的安全風(fēng)險(xiǎn)作出了預(yù)判，提出了人工智能未來發(fā)展的安全與法治應(yīng)對策略。

隨著人工智能在工業(yè)領(lǐng)域的不斷深入應(yīng)用，隨之而來的安全風(fēng)險(xiǎn)的確應(yīng)該引起人們的足夠重視。在算法安全方面，如果在研究算法的同時考慮到安全因素，可以避免很多不必要的安全漏洞；數(shù)據(jù)安全方面，在民用領(lǐng)域數(shù)據(jù)隱私保護(hù)已經(jīng)引發(fā)了人們的重視，但還缺乏相關(guān)配套的法律法規(guī)。而在工業(yè)領(lǐng)域，數(shù)據(jù)安全危機(jī)造成的損害更為重大，理應(yīng)受到企業(yè)、供應(yīng)商和政府部門各方的高度重視；在法律責(zé)任方面，我們還應(yīng)期待政府出臺更多的相關(guān)規(guī)范，完善人工智能及其在工業(yè)領(lǐng)域進(jìn)一步應(yīng)用的法律規(guī)范。

一方面，由“萬物互聯(lián)”、智能系統(tǒng)等引發(fā)的新安全問題（如車聯(lián)網(wǎng)安全、能源網(wǎng)安全、工控系統(tǒng)安全等）帶來的挑戰(zhàn)日益凸顯。另一方面，智能制造的加速發(fā)展又必須建立在安全保障的基礎(chǔ)之上。

因此，在全新的IT架構(gòu)下，我們應(yīng)該重新審視信息安全漏洞，用最新的技術(shù)和應(yīng)用構(gòu)建一個全新的安全規(guī)則和防護(hù)體系，并建立應(yīng)急響應(yīng)體系。在工業(yè)信息安全領(lǐng)域也是如此，未來信息安全保障機(jī)制需要由“打補(bǔ)丁”式的被動檢測防護(hù)向以“增強(qiáng)免疫力”為目標(biāo)的預(yù)測引導(dǎo)防護(hù)方向演進(jìn)，最終實(shí)現(xiàn)全新時代下的防護(hù)理念、技術(shù)思想和產(chǎn)業(yè)思維的全面升級。所以，只有以主動防御技術(shù)為核心基礎(chǔ)，構(gòu)建全方位、一體化的縱深防護(hù)體系，并根據(jù)各行業(yè)實(shí)際應(yīng)用提供因地制宜的整體解決方案，才能夠解決工業(yè)信息安全的關(guān)鍵需求。

我們看到在政策層面，近年來工業(yè)和信息化部作為工業(yè)信息安全主管部門，一直在持續(xù)完善政策和標(biāo)準(zhǔn)體系，陸續(xù)發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《工業(yè)控制系統(tǒng)信息安全行動計(jì)劃（2018-2020年）》等政策文件，指導(dǎo)開展工控安全標(biāo)準(zhǔn)體系建設(shè)，通過貫徹落實(shí)相關(guān)政策標(biāo)準(zhǔn)，促使企業(yè)以較低成本實(shí)現(xiàn)重大安全風(fēng)險(xiǎn)的防范。工業(yè)和信息化部發(fā)布的多份文件對工業(yè)互聯(lián)網(wǎng)安全提出了一系列要求，為我國工業(yè)互聯(lián)網(wǎng)安全保障工作提供了強(qiáng)有力的政策支撐。國家能源局、公安部、水利部也相繼出臺網(wǎng)絡(luò)安全相關(guān)政策，進(jìn)一步提升重點(diǎn)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障能力。同時，工控安全、工業(yè)互聯(lián)網(wǎng)安全、電力系統(tǒng)安全檢查等方面多份標(biāo)準(zhǔn)也相繼發(fā)布，安全標(biāo)準(zhǔn)體系持續(xù)完善。

此外，在國際環(huán)境中，對工業(yè)互聯(lián)網(wǎng)的重視也在同步加強(qiáng)。歐美發(fā)達(dá)國家高度重視工業(yè)信息安全，持續(xù)強(qiáng)化戰(zhàn)略部署。比如美國出臺《能源行業(yè)網(wǎng)絡(luò)安全多年計(jì)劃》《2019財(cái)年國防授權(quán)法案》《2018年國防部網(wǎng)絡(luò)戰(zhàn)略》《國家網(wǎng)絡(luò)戰(zhàn)略》等文件，不斷完善制造業(yè)、能源、電力、交通等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域政策法規(guī)體系。歐盟也發(fā)布了《工業(yè)4.0網(wǎng)絡(luò)安全挑戰(zhàn)和建議》明確新形勢下的智能制造和工業(yè)物聯(lián)網(wǎng)帶來的安全挑戰(zhàn)，并提出了具體可行的建議。

綜上所述，工業(yè)信息安全已經(jīng)迎來了快速發(fā)展的機(jī)遇，同時也存在技術(shù)和管理方面的挑戰(zhàn)。在機(jī)遇與挑戰(zhàn)當(dāng)中，如何找到適合自己的發(fā)展加速度，補(bǔ)足短板，快速發(fā)展是我們應(yīng)該深度思考并快速落實(shí)的重要問題。