工業網際網路信息安全漏洞逐年激增

隨著製造業的轉型升級，萬物互聯已經成為工業信息系統中不可逆轉的趨勢，在工業信息系統逐步與網際網路進行融合的過程中，安全問題也逐漸凸顯出來。

日前在成都舉行的2018年網絡安全周上，與會專家和業內人士紛紛表示，由於工業信息系統安全水平相對較低，漏洞較多，這些漏洞極易被黑客利用。

安全漏洞成了工業網際網路面臨的首要安全問題。

據我國國家信息安全漏洞共享平台(CNVD)統計，2017年新增信息安全漏洞4798個，其中工控系統新增漏洞數351個，與2016年同期相比，新增數量幾乎翻番，工業控制系統漏洞呈快速增長趨勢。

未來，工業物聯網領域的安全事件還會繼續呈現高髮狀態。

來自補天平台的監測數據顯示，我國工業網際網路聯盟成員中82家工業企業的ICS、SCADA等工控系統里，有28.05%都出現過漏洞，並且23.2%是高危漏洞。

值得注意的是，這些漏洞還僅僅是全部系統漏洞的一小部分，大量的工業設備暴露在公網上，因為缺乏基礎的安全保障，成為黑客甚至是全球不法分子攻擊的目標。

360企業安全集團董事長齊向東在接受《經濟參考報》記者採訪時說，工業網際網路下的信息安全，暴露出工業企業的內部問題。

首先，工業設備資產的「底數不清」，很多工業協議、設備、系統在設計之初並沒有考慮到複雜網絡環境中的安全性，系統生命周期長、升級維護少也是巨大的安全隱患。

其次，很多工控設備缺乏安全設計。

再次，設備聯網機制缺乏安全保障。

另外，IT和OT系統安全管理相互獨立，操作困難，一些智能製造工廠內部生產管理數據等面臨丟失、泄露、篡改等安全威脅。

FOFA系統通過對1182種工業網際網路系統和16種工業網際網路協議進行統計，發現全網共有195243個工業網際網路系統暴露在外。

其中工業控制系統中Somfy產品最多，占62%；其次是德國Beck IPC，占23%；霍尼韋爾的EnergyICT和Tridium_NiagaraAX各占3%；其餘均低於2%。

這些設備主要針對智能電網、能源管理、樓宇自控系統、工業控制等領域。

北京華順信安科技有限公司安全總監吳明表示，這些設備沒有任何的安全防護措施，大部分也都爆出過漏洞，這些漏洞一旦被黑客掌握並加以利用，則可以直接通過遠程的方式獲取設備權限、竊取信息，甚至還可能導致系統癱瘓。

國家的重要基礎設施一旦被侵入，將不僅僅涉及民生，國家安全也將受到極大威脅。

例如，2017年影子經紀人泄露的NSA網絡武器庫，包含眾多工業網際網路系統漏洞，可以實現對設備的精確打擊。

通過該方式還可以實現頻繁的、大規模的漏洞打擊。

席捲全球的「WannaCry」勒索病毒就利用了影子經紀人公布的NSA漏洞——「永恆之藍」漏洞進行傳播。

而通過該漏洞，中石油、銀行ATM機、高校系統等眾政企、高校中招。

吳明表示，對於目前的網絡安全形勢，可通過對全球網絡對外開放服務的資產進行主動或被動方式探測、抓取、存儲，分析整理不同種類的網絡空間資產指紋信息(規則)，並對符合規則的資產進行統計分析，進而快速檢索全球網絡空間資產。

多位與會專家表示，應建立漏洞管理全流程監督處罰制度，制定覆蓋網絡安全漏洞的發現、審核、披露、通報、修復、追責等全流程管理細則，強制要求漏洞及時修復，對漏洞修復時間以及違規處罰措施予以明確規定。

此外，應建立監督檢查機制和力量，及時發現未及時修復漏洞的行為，並追究相關單位和責任人責任。

與此同時，有專家呼籲，應該研究制定新一代信息技術在工業領域應用的安全架構，儘快突破一批工業信息安全關鍵核心技術，重點發展一批高端產品，形成具有市場競爭力的產品體系。

我國現有工業信息安全產業(包括產品、技術、服務等)占整個IT行業的比重不足2%，遠低於歐美已開發國家近10%的水平。

只有做強自主可控的工控系統相關行業，才能夠在安全問題上掌握話語權。