工業網際網路信息安全漏洞逐年激增
文章推薦指數: 80 %
隨著製造業的轉型升級,萬物互聯已經成為工業信息系統中不可逆轉的趨勢,在工業信息系統逐步與網際網路進行融合的過程中,安全問題也逐漸凸顯出來。
日前在成都舉行的2018年網絡安全周上,與會專家和業內人士紛紛表示,由於工業信息系統安全水平相對較低,漏洞較多,這些漏洞極易被黑客利用。
安全漏洞成了工業網際網路面臨的首要安全問題。
據我國國家信息安全漏洞共享平台(CNVD)統計,2017年新增信息安全漏洞4798個,其中工控系統新增漏洞數351個,與2016年同期相比,新增數量幾乎翻番,工業控制系統漏洞呈快速增長趨勢。
未來,工業物聯網領域的安全事件還會繼續呈現高髮狀態。
來自補天平台的監測數據顯示,我國工業網際網路聯盟成員中82家工業企業的ICS、SCADA等工控系統里,有28.05%都出現過漏洞,並且23.2%是高危漏洞。
值得注意的是,這些漏洞還僅僅是全部系統漏洞的一小部分,大量的工業設備暴露在公網上,因為缺乏基礎的安全保障,成為黑客甚至是全球不法分子攻擊的目標。
360企業安全集團董事長齊向東在接受《經濟參考報》記者採訪時說,工業網際網路下的信息安全,暴露出工業企業的內部問題。
首先,工業設備資產的「底數不清」,很多工業協議、設備、系統在設計之初並沒有考慮到複雜網絡環境中的安全性,系統生命周期長、升級維護少也是巨大的安全隱患。
其次,很多工控設備缺乏安全設計。
再次,設備聯網機制缺乏安全保障。
另外,IT和OT系統安全管理相互獨立,操作困難,一些智能製造工廠內部生產管理數據等面臨丟失、泄露、篡改等安全威脅。
FOFA系統通過對1182種工業網際網路系統和16種工業網際網路協議進行統計,發現全網共有195243個工業網際網路系統暴露在外。
其中工業控制系統中Somfy產品最多,占62%;其次是德國Beck IPC,占23%;霍尼韋爾的EnergyICT和Tridium_NiagaraAX各占3%;其餘均低於2%。
這些設備主要針對智能電網、能源管理、樓宇自控系統、工業控制等領域。
北京華順信安科技有限公司安全總監吳明表示,這些設備沒有任何的安全防護措施,大部分也都爆出過漏洞,這些漏洞一旦被黑客掌握並加以利用,則可以直接通過遠程的方式獲取設備權限、竊取信息,甚至還可能導致系統癱瘓。
國家的重要基礎設施一旦被侵入,將不僅僅涉及民生,國家安全也將受到極大威脅。
例如,2017年影子經紀人泄露的NSA網絡武器庫,包含眾多工業網際網路系統漏洞,可以實現對設備的精確打擊。
通過該方式還可以實現頻繁的、大規模的漏洞打擊。
席捲全球的「WannaCry」勒索病毒就利用了影子經紀人公布的NSA漏洞——「永恆之藍」漏洞進行傳播。
而通過該漏洞,中石油、銀行ATM機、高校系統等眾政企、高校中招。
吳明表示,對於目前的網絡安全形勢,可通過對全球網絡對外開放服務的資產進行主動或被動方式探測、抓取、存儲,分析整理不同種類的網絡空間資產指紋信息(規則),並對符合規則的資產進行統計分析,進而快速檢索全球網絡空間資產。
多位與會專家表示,應建立漏洞管理全流程監督處罰制度,制定覆蓋網絡安全漏洞的發現、審核、披露、通報、修復、追責等全流程管理細則,強制要求漏洞及時修復,對漏洞修復時間以及違規處罰措施予以明確規定。
此外,應建立監督檢查機制和力量,及時發現未及時修復漏洞的行為,並追究相關單位和責任人責任。
與此同時,有專家呼籲,應該研究制定新一代信息技術在工業領域應用的安全架構,儘快突破一批工業信息安全關鍵核心技術,重點發展一批高端產品,形成具有市場競爭力的產品體系。
我國現有工業信息安全產業(包括產品、技術、服務等)占整個IT行業的比重不足2%,遠低於歐美已開發國家近10%的水平。
只有做強自主可控的工控系統相關行業,才能夠在安全問題上掌握話語權。
當心!95%工業控制系統有漏洞,面臨巨大安全風險
全球近年來發生多起重大工業信息安全事件。一些組織或個人通過對工業設施和工業系統進行網絡攻擊,謀求達成政治訴求或經濟訴求。目前,我國絕大多數工業控制系統在沒有防護措施的情況下暴露於網際網路,且含有...
雙創「英雄匯」-安洽科技悉心守護工控系統
認知物聯網 應對新挑戰 今年5月12日,新型勒索軟體「Wannacry」大鬧全球。這不禁讓我們聯想到《速度與激情8》里的場景——黑客組織黑掉數百輛汽車,把交通狀況本就混亂不堪的紐約變成了主角們的...
工業網際網路成黑客攻擊目標 多數系統仍「裸奔」
原標題:信息安全漏洞高發 工業控制系統「裸奔」上網距離蠕蟲勒索病毒「WannaCry」的全球範圍大爆發已有一年,然而直到今天,我國每天仍有近千台設備受其感染,導致生產停滯或重要信息丟失。這背後,...
搶先看|《2015年工業控制網絡安全態勢報告》
4月11日,由匡恩網絡撰寫的《2015年工業控制網絡安全態勢報告》正式公開發布,該報告披露了大量國內外重大工控網絡安全的事件和案例,並進行了深度分析,是了解國內外工控安全形勢,幫助政府、研究機構...
2016網絡空間安全態勢之工控安全報告
以工控系統為代表的關鍵基礎設施領域是一個新興的安全領域,近年來備受關注。工控即工業自動化控制,主要是指使用計算機技術,微電子技術,電氣手段,使工廠的生產和製造過程更加自動化、效率化、精確化,並...
烏鎮關注物聯網安全 卡巴斯基重獲中國政府投標許可
【觀察者網綜合】今年10月,美國遭遇全球第一起「大規模物聯網攻擊」,有黑客利用攝像頭組織了殭屍網絡攻擊,使美國東海岸發生斷網。三天後,美國宣布將出台物聯網安全原則。11月16日至18日舉行的第三...
WNCRYP爆發世界兩大工業控制系統入侵事件,做好防禦工作!
本期導讀:伊朗布希爾核電站開車之際為何1/5的離心機報廢?烏克蘭西部伊萬諾-弗蘭科夫斯克地區為何突然30座變電站下線,使得超過23萬名居民陷入無電可用的困境?你的工控系統是在「裸奔」嗎?拿什麼手...
原創 | 智能製造背景下化工行業工業控制系統安全分析與探討
摘要:文章介紹了化工行業工業控制系統信息安全面臨的形勢,研究與分析在智能製造的背景下存在的信息安全漏洞與風險,提出了防範措施與建議。1概述眾所周知,工業控制系統(Industrial and C...
有漏洞的小船說翻就翻 製造業不僅要聰明還要安全
南報網訊 (記者 張希)國內某機場從國外進口了一套行李自動檢查系統,系統的安全運行數據可以傳輸到國外,中方卻無法查看。某工廠購買的進口數控工具機,裝好了就不能移動,一旦平移超過1米、旋轉超過10...