大數(shù)據(jù)時代提升工業(yè)信息安全的對策研究

彭怡瑤

（北京對外經(jīng)貿(mào)大學(xué)）

一、引言

現(xiàn)如今，隨著科技發(fā)展的速度日益加快，信息技術(shù)在工業(yè)中的應(yīng)用越來越普及，這在一定程度上為工業(yè)控制提供了極大便利的同時，也使得工業(yè)網(wǎng)絡(luò)的信息安全面臨著重重挑戰(zhàn)[1]。由于信息技術(shù)的巨大發(fā)展及其對整個社會乃至經(jīng)濟發(fā)展的深刻影響，傳統(tǒng)工業(yè)領(lǐng)域為了使得經(jīng)營效率有所提升，逐漸開始使用更通用、更經(jīng)濟、更成熟的網(wǎng)絡(luò)通信、大數(shù)據(jù)存儲和處理、人工智能等先進(jìn)技術(shù)[2]。當(dāng)前，工業(yè)互聯(lián)網(wǎng)的實際發(fā)展速度不斷提升，隨著工業(yè)場景之中對于全新技術(shù)手段的使用，工業(yè)系統(tǒng)以及相關(guān)設(shè)備承擔(dān)著較為顯著的互聯(lián)網(wǎng)風(fēng)險因素，生產(chǎn)設(shè)備和工業(yè)系統(tǒng)日益增多[3]。

工業(yè)控制系統(tǒng)是一個龐大而復(fù)雜的系統(tǒng)，同樣也是一個系統(tǒng)不斷發(fā)展的過程，大規(guī)?；ミB也增加了安全風(fēng)險，使得攻擊者可以有更多鉆空子的空間和機會來攻擊工業(yè)控制體系[4]。與傳統(tǒng)網(wǎng)絡(luò)安全相比，工業(yè)信息安全自身有著更高水平要求，實際防護(hù)開展期間困難程度維持在較高水平[5]?，F(xiàn)如今，隨著全新信息技術(shù)手段的出現(xiàn)致使工業(yè)化以及信息化逐漸開展了較為深入的融合，工業(yè)信息安全問題日益突出。

二、工業(yè)信息安全的防護(hù)現(xiàn)狀分析

（一）工控系統(tǒng)有安全漏洞

時代以進(jìn)步驅(qū)動趨勢，生活生產(chǎn)開展期間信息化逐漸深入滲透，群眾自身生活也出現(xiàn)了較為顯著的轉(zhuǎn)變。隨著現(xiàn)階段信息技術(shù)的不斷發(fā)展，工業(yè)應(yīng)保障自身與時代發(fā)展的高度契合，反之將面臨被淘汰的風(fēng)險。2017年，我國指出應(yīng)將實體經(jīng)濟與人工智能、大數(shù)據(jù)以及互聯(lián)網(wǎng)開展全面深入的融合，象征著信息化和工業(yè)化融合有了跨階段的新發(fā)展。隨著計算機化和工業(yè)化深度融合的推進(jìn)，工業(yè)控制系統(tǒng)(ICS)中的設(shè)計缺陷使得利用系統(tǒng)漏洞、遠(yuǎn)程訪問盜竊和網(wǎng)絡(luò)釣魚成為有害攻擊的重要途徑。傳統(tǒng)的安全防御產(chǎn)品對于當(dāng)今復(fù)雜的多重安全威脅而言有了進(jìn)一步提升的空間。

2018年，國家工業(yè)信息安全中心共收集評估安全漏洞432個，主要集中在關(guān)鍵制造、能源、水利、化工、工業(yè)控制系統(tǒng)、智能設(shè)備、物聯(lián)網(wǎng)等領(lǐng)域。其中高危漏洞276個，中危漏洞151個，中高危漏洞所占的比重達(dá)到99%。至于漏洞類型，以緩沖區(qū)暴露的漏洞最為常見，所占的比重達(dá)到20%。排名前五位的漏洞分別是身份驗證錯誤漏洞、權(quán)限控制漏洞、信息泄露漏洞和數(shù)據(jù)驗證漏洞。基于漏洞影響領(lǐng)域排名前五的分別是關(guān)鍵制造業(yè)、能源、水務(wù)、醫(yī)藥與健康、食品與農(nóng)業(yè)，占總數(shù)的 74%。

（二）針對工業(yè)企業(yè)的攻擊手段愈發(fā)新型多樣

攻擊者可以來自四面八方，并且發(fā)起攻擊的渠道可以通過Internet和無線網(wǎng)絡(luò)。使用的攻擊方法也不同，例如，掃描目標(biāo)使用的工業(yè)控制設(shè)備和協(xié)議，半路攔截數(shù)據(jù)包，將數(shù)據(jù)注入設(shè)備更改、更改控制器配置、操縱控制器數(shù)據(jù)、修改或刪除任何文件、竊取敏感信息、欺騙操作員或強迫他們做錯事等，如配置、控制數(shù)據(jù)操縱、修改或刪除所有文件、竊取敏感信息、脅迫操作員做出錯誤或欺詐操作等，它通過惡意響應(yīng)進(jìn)行簡單或復(fù)雜的攻擊，通過惡意狀態(tài)命令進(jìn)行注入攻擊，使用惡意功能碼進(jìn)行代碼注入攻擊和擁塞攻擊等，此外，攻擊中還使用了針對特定目標(biāo)和應(yīng)用程序的各種病毒，例如勒索病毒、木馬病毒和 Stuxnet 病毒等。不僅致使公司的敏感信息被盜，更糟糕的是，它可能會使得設(shè)施的運營癱瘓并產(chǎn)生嚴(yán)重的后果。

例如，全世界眾多車輛企業(yè)自身生產(chǎn)受到“WannaCry”病毒帶來的影響，物聯(lián)網(wǎng)設(shè)備受到“IoT_reaper”帶來的嚴(yán)重感染，而“Industroyer”則針對電力行業(yè)內(nèi)部控制系統(tǒng)開展了相應(yīng)攻擊。不同網(wǎng)絡(luò)安全事件的出現(xiàn)表明，相關(guān)供給模式與方法手段愈發(fā)成熟，若安全層面出現(xiàn)相關(guān)事件，則電信、交通、能源等行業(yè)將面臨較為顯著的影響。

（三）工控系統(tǒng)及設(shè)備的暴露比例增加

我國相關(guān)部門報名，全世界范圍內(nèi)呈現(xiàn)在互聯(lián)網(wǎng)之中的工業(yè)設(shè)備以及相關(guān)控制系統(tǒng)數(shù)量不斷提升，工業(yè)信息安全的風(fēng)險點也在持續(xù)遞增。根據(jù)卡巴斯基的報告，2018年上半年，越南、阿爾及利亞和摩洛哥是全球工控系統(tǒng)遭受網(wǎng)絡(luò)攻擊最多的三個國家。具體而言，越南承受攻擊的工業(yè)控制系統(tǒng)具體數(shù)量占據(jù)其全部系統(tǒng)數(shù)量的比例數(shù)值為75.1%；阿爾及利亞承受攻擊的工業(yè)控制系統(tǒng)具體數(shù)量占據(jù)其全部系統(tǒng)數(shù)量的比例數(shù)值為71.6%；摩洛哥承受攻擊的工業(yè)控制系統(tǒng)具體數(shù)量占據(jù)其全部系統(tǒng)數(shù)量的比例數(shù)值為64.8%。對于我國而言，相關(guān)事件嚴(yán)重程度相比于2017年排名有一定程度的下降，占比為57.4%，排名第六，但占比有所上升。

此外，在國家工業(yè)信息安全中心的監(jiān)管下，我國互聯(lián)網(wǎng)可識別工業(yè)控制系統(tǒng)和智能設(shè)備達(dá)10000余臺，其中包括全國31個?。▍^(qū)、市）。而廣東、浙江、北京的數(shù)量位居前列，所占比重為37%。暴露的互聯(lián)網(wǎng)系統(tǒng)和設(shè)備最常用于市政、能源和智能制造，其中 SCADA 軟件和 Modbus設(shè)備最為常見。根據(jù)調(diào)研和評估案例統(tǒng)計，沒有采取有效的安全措施的設(shè)備和系統(tǒng)在89%左右，被攻擊的風(fēng)險較高，對我國的工業(yè)信息安全構(gòu)成很大威脅。

（四）工業(yè)信息安全事件時有發(fā)生，形勢嚴(yán)峻

隨著現(xiàn)階段網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，不同產(chǎn)業(yè)之間的關(guān)聯(lián)愈發(fā)緊密。現(xiàn)有的網(wǎng)絡(luò)威脅，如病毒和木馬不斷傳播到工業(yè)控制系統(tǒng)中，勒索軟件攻擊持續(xù)增加，安全事件頻繁暴露出現(xiàn)，安全層面實際形式極為嚴(yán)峻。2010年后，全世界行業(yè)信息安全事件頻繁出現(xiàn)，對于國家自身安全帶來了較為顯著的負(fù)面影響，同時國家社會、經(jīng)濟發(fā)展起到嚴(yán)重阻礙。比如：

伊朗于2010年受到“震網(wǎng)”病毒的攻擊，全國范圍內(nèi)受到影響的網(wǎng)絡(luò)終端實際數(shù)量超出30000個。

2012年4月，由于源自不明網(wǎng)絡(luò)病毒針對伊朗石油公司開展的攻擊，致使一些用戶數(shù)據(jù)失竊。

波蘭航空公司于2015年年中受到黑客攻擊，其自身地面操作系統(tǒng)面臨較為顯著的影響，系統(tǒng)實際停運時間超出5小時，取消了至少10個航班，最終滯留的游客數(shù)量超出1400人。

2015年年末，黑客針對烏克蘭電力供應(yīng)系統(tǒng)開展攻擊，最終致使三個區(qū)域出現(xiàn)了數(shù)小時的停電。

2016年2月，一個代號為“沙塵暴”的黑客攻擊了日本的一個主要基礎(chǔ)設(shè)施，日本境內(nèi)交通、電力、能源等眾多領(lǐng)域網(wǎng)絡(luò)面臨顯著影響。

烏克蘭于2017年年中受到“Petwrap”病毒的攻擊，全國電信、運輸、電力等眾多行業(yè)都面臨著較為顯著的影響。

同年之內(nèi)，東歐國家受到“Bad Rabbit”病毒的攻擊，所受影響范圍極為廣泛，實際涵蓋政府機構(gòu)、交通系統(tǒng)等，其均遭到源自網(wǎng)絡(luò)的惡意攻擊。

2017年12月，位于中東的一家能源企業(yè)自身安全儀表面臨外界共計，導(dǎo)致其被迫停產(chǎn)維護(hù)。

2018年年中，由于系統(tǒng)漏洞的存在，導(dǎo)致三一重工自身泵車出現(xiàn)失蹤狀況，企業(yè)實際承擔(dān)的經(jīng)濟損失超出10億元。

臺灣電路制造行業(yè)于2018年受到勒索病毒攻擊，實際損失金額超出17.6億元，市值縮水78億元。

三、我國工業(yè)信息安全防護(hù)面臨的問題

（一）工業(yè)信息安全的管理制度不完善

眾多數(shù)字控制系統(tǒng)設(shè)計、構(gòu)建以及運作期間均未能針對網(wǎng)絡(luò)安全問題進(jìn)行細(xì)致考慮，致使系統(tǒng)接入網(wǎng)絡(luò)之后將面臨較為顯著安全風(fēng)險，安全設(shè)計存在較為顯著的風(fēng)險因素。國內(nèi)工業(yè)信息安全管理較為不足，實際管理機制存在一定缺失，工業(yè)互聯(lián)應(yīng)用速度嚴(yán)重落后，難以適應(yīng)當(dāng)前工業(yè)信息安全形勢的需要。另一方面，在我國各行各業(yè)的實業(yè)公司數(shù)量較多，管理機制以及體制具備較為繁雜的內(nèi)在關(guān)聯(lián)。眾多重點行業(yè)以及相關(guān)管理部門針對規(guī)章制度開展設(shè)計不具備較為全面、系統(tǒng)的法律法規(guī)作為自身基礎(chǔ)。同時，針對部分管理較為復(fù)雜的私有或混合制企業(yè)而言，相關(guān)管理部門構(gòu)建的安全管理制度未能針對社會以及企業(yè)進(jìn)行合理整合與系統(tǒng)化管理，未能保障不同企業(yè)的實際實施。相關(guān)問題的出現(xiàn)對于信息安全長期穩(wěn)定的發(fā)展帶來了較為顯著的負(fù)面影響。整體而言，相關(guān)部門、企業(yè)針對行業(yè)信息安全問題的關(guān)注程度還不夠，行業(yè)信息安全管理機制有待完善，構(gòu)建行之有效的工作機制和管理體系是當(dāng)務(wù)之急。

（二）攻擊來源和攻擊方式復(fù)雜多樣，傳統(tǒng)防護(hù)方式存在隱患

工控系統(tǒng)最開始構(gòu)建的時候自身狀態(tài)較為獨立封閉，但由于信息、網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及企業(yè)所處環(huán)境的逐漸轉(zhuǎn)變，工業(yè)控制系統(tǒng)開放程度逐漸提升，傳統(tǒng)工業(yè)控制系統(tǒng)實際使用環(huán)境逐漸消失。此種現(xiàn)狀的出現(xiàn)導(dǎo)致系統(tǒng)自身數(shù)據(jù)、控制、網(wǎng)絡(luò)等不同層面風(fēng)險因素愈發(fā)顯現(xiàn)，風(fēng)險也越來越顯著。

工控系統(tǒng)的運行環(huán)境主要是內(nèi)網(wǎng)，而局域網(wǎng)是內(nèi)網(wǎng)的具體構(gòu)成，普遍通過信息孤島模式存在，所以，工業(yè)控制漏洞無法通過傳統(tǒng)病毒防護(hù)手段進(jìn)行合理解決。信息系統(tǒng)是傳統(tǒng)信息防護(hù)開展期間核心目標(biāo)，未能針對工控系統(tǒng)開展安全防護(hù)舉措設(shè)計，現(xiàn)階段方法手段無法實現(xiàn)病毒的精準(zhǔn)消殺，同時無法保障其實際覆蓋范圍。但是，隨著工業(yè)生產(chǎn)環(huán)境的不斷發(fā)展與轉(zhuǎn)變，傳統(tǒng)安全方法手段已經(jīng)無法保障自身效用的合理體現(xiàn)，同時隨著時間推移，攻擊方法手段也不斷轉(zhuǎn)變，單純憑借物理手段針對安全風(fēng)險開展規(guī)避已經(jīng)無法實現(xiàn)。同時，工程控制系統(tǒng)自身實時性、實用性同樣具備較高水平需求，實際運作環(huán)境也更為苛刻。所以，針對工控安全防護(hù)方法手段開展構(gòu)建期間應(yīng)與系統(tǒng)實際特點高度契合，保障系統(tǒng)可實現(xiàn)實時運作與監(jiān)控，以免系統(tǒng)中斷，從而避免諸如業(yè)務(wù)中斷，工業(yè)控制。系統(tǒng)與主業(yè)具備緊密關(guān)聯(lián)，系統(tǒng)自身較為復(fù)雜，同時相關(guān)協(xié)議數(shù)量眾多，無法獲取全面適用的安全防護(hù)方法手段，所以，應(yīng)以工業(yè)控制協(xié)議自身特點為基礎(chǔ)，通過最終目標(biāo)合理制定安全防護(hù)手段。所以，傳統(tǒng)信息安全防護(hù)手段無法針對工業(yè)信息安全進(jìn)行合理有效的保障，應(yīng)在相關(guān)問題解決期間針對全新理念開展合理有效的使用。

（三）工業(yè)企業(yè)缺乏信息安全主體意識

針對現(xiàn)階段工控國家安全檢查工作實際開展?fàn)顩r而言，全部受訪企業(yè)之中一些企業(yè)自身信息安全理念存在較為顯著的缺失，主要表現(xiàn)在以下幾個方面。

（1）信息安全管理制度不健全，現(xiàn)階段制度未能獲取較為全面的落實，行業(yè)內(nèi)部存在較為多樣的問題因素，一定程度上使得企業(yè)的工業(yè)信息安全整個層面的良好有序發(fā)展面臨著較為顯著的限制。（2）相關(guān)企業(yè)信息安全層面人才極度缺失，而具備信息安全以及信息防護(hù)專業(yè)知識、背景的人員更為稀缺。此種現(xiàn)狀不僅對信息安全理念發(fā)展以及技能進(jìn)步帶來影響，同時安全層面也將出現(xiàn)相應(yīng)風(fēng)險因素。當(dāng)企業(yè)發(fā)生行業(yè)信息安全問題時，自身將會出現(xiàn)應(yīng)對手段不足的不良狀況。（3）宣傳教育培訓(xùn)工作存在一定缺失，工作人員信息安全理念較為不足，實際經(jīng)營開展期間無法通過相關(guān)行動實現(xiàn)安全風(fēng)險的相應(yīng)下降，未能針對安全風(fēng)險開展及時的探尋。（4）很多業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫使用弱密碼，很大程度上致使黑客開展攻擊的困難程度明顯下降，企業(yè)也因此承擔(dān)著更為顯著的風(fēng)險因素。

四、提升工業(yè)信息安全的對策建議

（一）健全工業(yè)信息安全管理制度，全方位加強安全防護(hù)

政策文件、標(biāo)準(zhǔn)指南等頂層設(shè)計是工業(yè)信息安全發(fā)展的方向指引。強化國家監(jiān)督管理，對于行業(yè)內(nèi)部相關(guān)制度、標(biāo)準(zhǔn)開展合理構(gòu)建與不斷完善。針對不同政策文件開展相應(yīng)制定，合理構(gòu)建系統(tǒng)化、完善化的行業(yè)信息安全責(zé)任追溯制度，同時針對行業(yè)發(fā)展安全指引管理體系開展持續(xù)完善，持續(xù)強化安全層面相關(guān)設(shè)計。以安全為自身核心基礎(chǔ)，針對安全層面相關(guān)需求合理制定相應(yīng)政策性文件制度，對于大數(shù)據(jù)、工業(yè)云、互聯(lián)網(wǎng)等信息進(jìn)行相應(yīng)結(jié)合。對于頂層設(shè)計而言，標(biāo)準(zhǔn)體系是其達(dá)成的核心基礎(chǔ)，基于不同層面相關(guān)需求針對標(biāo)準(zhǔn)體系設(shè)計研究開展不斷強化，同時針對國家層面相關(guān)標(biāo)準(zhǔn)制度的構(gòu)建進(jìn)行合理促進(jìn)，最終達(dá)成工業(yè)信息安全標(biāo)準(zhǔn)體系系統(tǒng)化、完善化的構(gòu)建。

（二）運用新技術(shù)加強工業(yè)信息安全防護(hù)能力

區(qū)塊鏈技術(shù)一度成為人們熱議的話題，它的出現(xiàn)建立了新的共識和互信機制。簡而言之，區(qū)塊鏈自身具備可編程、真實化、去中心化等特點，其本質(zhì)為普遍使用的數(shù)據(jù)庫與賬簿。相關(guān)特點致使區(qū)塊鏈技術(shù)手段可在工業(yè)互聯(lián)網(wǎng)信息安全層面合理體現(xiàn)自身效用。

詳細(xì)依然，針對交易歷史開展記錄的能力可對數(shù)據(jù)追蹤起到合理協(xié)助。針對區(qū)塊鏈而言，全部交易信息均被全面記錄，同時可通過相關(guān)技術(shù)針對全部信息開展追溯。同時由于其自身具備分布式共享特點，在信息輸入?yún)^(qū)塊鏈之中后，便無法在整個可追溯過程中進(jìn)行隨意操縱，并且會留下痕跡。所以，基于區(qū)塊鏈技術(shù)妥善合理地使用可實現(xiàn)工業(yè)互聯(lián)網(wǎng)自身信息可追溯性的顯著提升，進(jìn)而達(dá)成企業(yè)數(shù)據(jù)防護(hù)能力的相應(yīng)增強。但是，由于區(qū)塊鏈技術(shù)自身位于發(fā)展最初階段，仍然存在很多未解決的短板，如隱私問題、數(shù)據(jù)存儲容量等。針對區(qū)塊鏈技術(shù)開展使用期間，同時應(yīng)對其導(dǎo)致的相關(guān)問題因素進(jìn)行細(xì)致考慮，對于相關(guān)技術(shù)實際可行性與可用性進(jìn)行合理增強，最終達(dá)成工業(yè)互聯(lián)網(wǎng)信息安全妥善合理的保障。

（三）落實主體責(zé)任，加強專業(yè)人才培養(yǎng)

“安全為重、責(zé)任至上”工業(yè)信息安全保障要求工業(yè)公司基于以下幾個方面對其可以執(zhí)行的大部分安全責(zé)任：（1）針對國家制定的相關(guān)政策文件開展全面深入的學(xué)習(xí)，公司將按照文件要求，做好行業(yè)信息安全保護(hù)工作。（2）合理構(gòu)建規(guī)范化、制度化工作機制，在各個城市組織開展工控安全檢查評價工作。（3）堅持企業(yè)參與和社會監(jiān)督、第三方評估和政府持續(xù)監(jiān)督相結(jié)合，不斷推進(jìn)工業(yè)產(chǎn)品和服務(wù)的網(wǎng)絡(luò)安全審查任務(wù)。（4）加強行業(yè)信息安全意識培訓(xùn)和基本技能，推動舉辦行業(yè)信息安全意識培訓(xùn)、賽事實踐、技能大賽等活動，使得行業(yè)信息安全責(zé)任制全面實施到位，切實保障行業(yè)意識和責(zé)任感的加強。（5）加強人才培養(yǎng)，對于工業(yè)領(lǐng)域人力資源的加以重視，填補工業(yè)互聯(lián)網(wǎng)人才缺口。由專家對其進(jìn)行統(tǒng)一管控，杜絕在操作過程中出現(xiàn)不當(dāng)行為造成安全隱患。

五、結(jié)語

相對于大數(shù)據(jù)和工業(yè)互聯(lián)網(wǎng)，工業(yè)信息安全的重要性與日俱增。為保障工業(yè)互聯(lián)網(wǎng)的設(shè)計，解決日益深化的信息安全問題，工業(yè)企業(yè)首先要具備安全意識，建立和積累相應(yīng)的知識和技能，并以國際和國家標(biāo)準(zhǔn)為遵循原則，為工業(yè)互聯(lián)網(wǎng)建立縱深防御體系。在全生命周期框架內(nèi)針對工業(yè)企業(yè)人員、資產(chǎn)、環(huán)境和生產(chǎn)活動的信息安全予以防護(hù)，進(jìn)一步開創(chuàng)工業(yè)信息安全新格局，為制造業(yè)人才和網(wǎng)絡(luò)力量建設(shè)貢獻(xiàn)一份保障力量。