勒索病毒爆發一年後每天仍有近千台設備受感染
資訊安全漏洞高發 工業控制系統“裸奔”上網
距離蠕蟲勒索病毒“WannaCry”的全球範圍大爆發已有一年,然而直到今天,我國每天仍有近千台設備受其感染,導致生産停滯或重要資訊丟失。這背後,是我國絕大多數工業控制系統含有漏洞,且在沒有防護的情況下“裸奔”上網的嚴峻現實。
隨著“網際網路+”、“智慧製造”與工業生産進一步深度融合,工業控制系統作為工業領域“神經中樞”,呈現互聯互通趨勢,與此同時,工業網際網路也成為駭客攻擊和網路戰的重要目標。
“萬物互聯”釋放巨大紅利
背後潛藏危機不可忽視
工業網際網路是“網際網路+”與工業系統的深度融合,是智慧製造的基石,也是企業提質增效的必由之路。不過,國家工業資訊安全産業發展聯盟統計數據顯示,全球工業資訊安全漏洞呈現連年高發態勢,2016年至2017年,漏洞增長率超過50%,其中半數以上為高危漏洞,廣泛分佈在能源、製造、商業設施、水務、市政等關鍵領域。
杭州一家輪胎生産企業的車間裏,一塊液晶大屏上跳動著一排排的參數,這些參數代表著橡膠原材料到成品輪胎的六十幾道環節。通過工業網際網路和人工智慧演算法匹配最優的合成方案,這家企業的産品合格率平均提升了3%到5%,年均增加利潤上千萬。這是工業網際網路為企業帶來巨大紅利的一個典型案例。
然而,“萬物互聯”背後潛伏的危機不容小視。不久前,一家電路板企業分公司的40台工業電腦突然出現藍屏、重啟現象,導致生産線癱瘓,企業的運維工程師為恢復生産,兩天兩夜沒有合眼。360集團在接到企業通報後前往現場應急維護,發現這場安全事件源自該企業總部此前曾感染的“WannaCry”病毒。
“這樣的安全事件並不少見。在‘WannaCry’病毒在全球大範圍爆發一年後,我們還能監測到,每天有近千台電腦感染此勒索病毒。”360集團董事長兼CEO周鴻祎説。“WannaCry”正是不法分子利用“永恒之藍”漏洞發起的攻擊。
攻擊者發起網路攻擊可以直接影響工業控制系統的正常運作,例如可以直接對某些聯網工控設備發送指令導致設備關機或參數修改,造成生産事故,甚至影響生命財産安全和國家安全。
自2015年以來,全球每年發生的大型工業網路安全事件數量都超過300起。像去年爆發、影響至今的“WannaCry”感染了全球150個國家的30萬台主機,雷諾、日産等汽車製造廠商被迫停産,多國能源、通信等重要行業遭受損失,我國教育、能源、通信領域也受到波及。
“近年來,工業網際網路安全事件高發,呈現出定向攻擊精準性提升迅速、技術手段複雜化專業化、攻擊行為組織化的顯著特徵。”國家工業資訊安全産業發展聯盟相關人士對記者説。
隨著越來越多的工控系統聯網,駭客有目的地探測並鎖定攻擊目標更為容易。大量漏洞、攻擊方法可以通過網際網路等多種公開、半公開渠道獲取,極易被駭客等不法分子利用。
知名駭客組織“影子經紀人”曾洩露出一份機密文檔,其中包含了Windows遠端漏洞利用工具,可影響全球70%的Windows伺服器。從2017年6月開始,該組織還每月出售瀏覽器、路由器、手機漏洞等相關入侵工具以及入侵數據,曝光的工具更進一步通過匿名網路“暗網”等渠道進行非法交易和大量擴散。
業內人士表示,針對工業網際網路的攻擊已從原有的一個代碼攻擊一兩種漏洞,進化成一個攻擊代碼可以嵌入數十種底層系統漏洞,“這絕非一個業餘愛好者能夠實現的攻擊”。
“這些攻擊通常都是經過精心策劃的,可以對現實世界造成嚴重後果。”周鴻祎説。
根據國家工業資訊安全産業發展聯盟對維基解密公開的美國CIA文件分析,美國已建立起網路攻擊武器庫和戰略資源庫,可引發國家級有組織的網路攻擊行動,具備全方位、多層次的攻擊能力,可持續對全球開展大範圍網路監聽與攻擊,不僅涵蓋Windows、OS X等主流作業系統,還包括手機、車載系統及智慧電視等。
“有些國家甚至謀求通過工業設施和工業系統的網路攻擊,達成政治訴求或經濟訴求。”國家工業資訊安全産業發展聯盟專家委員會委員宮亞峰説。
漏洞隱蔽難以檢測
部分系統帶毒運作
《經濟參考報》記者從國家工業資訊安全發展研究中心了解到,目前該中心監測到我國3000余個暴露在網際網路上的工控系統,九成以上含有漏洞,可以輕易被遠端控制,約兩成的重要工控系統可被遠端入侵並完全接管。
業內人士表示,由於網路安全事件具有很強的隱蔽性,一個技術漏洞、安全風險可能隱藏了幾年都不被發現,結果往往是“誰進來了不知道、是敵是友不知道、幹了什麼不知道”,隱患長期潛伏。
多數工業系統在設計之初是封閉的“單機系統”,沒有考慮聯網需求,現在隨著工業“網際網路+”的推進,將必然導致一批系統和設施暴露。很多的系統和設備沒有防護軟體,也不能安裝殺毒系統,一旦上了網就是“裸奔”狀態。
“我們遇到的很多現場設備比較老舊,有的還在使用十幾年前的作業系統,沒有任何安全防護軟體,這樣就可能存在很大的安全風險,而系統維護人員還沒有認識到。很多系統帶毒運作,有的主機甚至有三千多個病毒。一旦感染的惡意軟體在某個特定觸發條件下發作,就會對企業造成嚴重影響。”周鴻祎説。
一些重要的企業工控系統還被留下了後門程式,駭客或者惡意人員可以隨意進出操作。
目前,絕大多數的企業沒有能力識別或應對這些入侵和攻擊。國家工業資訊安全發展研究中心通過安全監測發現,工業企業的資訊安全應急手段普遍不足,約70%的被查工業企業缺少完善的應災備災體系。
技術不足人才匱乏
安全防護短板待補
隨著我國工業領域數字化、網路化、智慧化水準提升,安全問題已經逐漸引起重視。高速發展的同時,工業網際網路相關法規政策正逐步健全,標準體系建立取得進展,安全檢查評估也正有序開展。目前我國還存在安全防護意識薄弱、技術水準偏低、人才匱乏的問題,工業網際網路發展亟待補足短板。
對工業網際網路漏洞不重視、修復不及時的現象普遍存在。360補天漏洞響應平臺監測的工控資訊系統漏洞中,有25.6%的漏洞未進行修復,一些行業漏洞平均修復時間長達數月之久。不少設備遭受攻擊的案例,是由於企業員工私自利用設備上網、使用隨身碟或在遠端維護過程中感染病毒造成的。
“從工業網際網路整體技術基礎上看,國外的技術産品還是主流,我們國家也在逐步用自己的産品進行替代,但還沒有完全替代。很多地方既有自己的智慧財産權,也有國外的智慧財産權,技術體系複雜,也在一定程度上造成不穩定性和安全隱患。”國家工業資訊安全發展研究中心網安部副主任張格説。
業內人士認為,CPU、伺服器、作業系統等核心産品和技術發展滯後,國産化率低,競爭力不足,是工業網際網路實現自主可控過程中的關鍵癥結。《工業資訊安全態勢白皮書(2017年)》顯示,目前我國包括産品、技術和服務在內的工業資訊安全産業佔整個IT業比重不足2%,遠低於歐美發達國家的10%水準。
根據白皮書對我國近幾年重點領域資訊安全檢查工作統計,數千個工控系統均由外國廠商提供運作維護,大量企業不具備自主維護能力,缺乏對國外産品和服務的監管。記者在浙江一家企業採訪時發現,進口設備廠商對工控系統控制異常嚴格,系統控制室的門禁卡甚至都掌握在進口廠商的維保人員手中,對於控制室內的情況,中方人員根本無法知曉和干預。
“網路安全實質是人與人的對抗,不是購買和部署一批網路安全設備、安裝一批軟體就能解決的。就像國家安全有了武器,還要有掌握武器的軍人和警察。網路安全更需要專業安全運維人員來做分析、規劃、態勢研判、響應和處置。”周鴻祎認為,網路安全將成為一個智力密集型的服務業,形成巨大的人才需求,但眼下行業人才儲備與需求規模相比還存在較大差距。
通力協作共同應對
織牢織密“安全網”
隨著IPv6下一代網際網路技術的部署和5G時代的到來,工業網際網路將面臨更為複雜多變的挑戰。加強工業資訊安全建設、加快構建全方位的安全保障體系,是製造大國邁向製造強國的基礎。
“從國家到企業,應首先落實責任與分工。企業尤其需要重視並承擔起主體責任,工業網際網路不僅帶來經濟利益,也有相應的社會責任。”張格説。
“從現實情況看,政企單位還存在遭受網路攻擊時不願及時上報的問題。及時上報網路攻擊事件對於早期發現、追蹤溯源和防止攻擊範圍及危害進一步擴大、保障國家網路安全具有重大價值和意義。”周鴻祎認為,應出臺鼓勵網路攻擊事件上報的相關政策,建立起漏洞管理全流程監督處罰制度和監督檢查力量。
“只有自主可控的産業做強做大,工業網際網路才能有安全可言。”多名業內人士表示,應儘快研究制定新一代資訊技術在工業領域應用的安全架構,突破工業資訊安全關鍵核心技術,重點發展一批高端産品,形成具有市場競爭力的産品體系。
啟明星辰資訊技術集團股份有限公司CEO嚴望佳建議,大力推動國産安全設備在關鍵資訊基礎設施保護中的應用,如對關鍵資訊基礎設施的運營企業購置國産網路安全設備出臺稅收優惠政策等,以激勵企業加大投入,推動相關産業的發展。
還有專家建議,從整體産業角度推動人才培養和建設,支援相關教育培訓機構開展網路安全學科聯合建設,將工業網路安全納入職業技能鑒定體系,培養一支門類齊全、技術精湛的專業人才隊伍。
眼下,我國國家網路安全人才培養已取得一定進展,“網路空間安全”被增設為一級學科,意味著網路安全高層次人才培養邁出了重要一步。
不久前,我國首個工業資訊安全技能大賽、阿里巴巴安全響應中心生態大會等相關領域會議召開,推動了行業內外進一步關注工業網路安全和人才培養問題。
“阿里巴巴安全響應中心將大額提升發現漏洞的獎金,激發技術人才積極性。同時通過線下活動等形式,聯動國內國際技術人才,與高校等合作加大安全人才的培養力度。”阿里巴巴集團首席風險官鄭俊芳表示,在技術化、全球化、生態化、多元化等趨勢下,工業網際網路呼喚産業聯合共治、安全共建。
(責任編輯:王擎宇)