《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 95%工業(yè)控制系統(tǒng)有漏洞,,面臨巨大安全風(fēng)險(xiǎn)

95%工業(yè)控制系統(tǒng)有漏洞,面臨巨大安全風(fēng)險(xiǎn)

2018-04-26

  全球近年來(lái)發(fā)生多起重大工業(yè)信息安全事件,。一些組織或個(gè)人通過(guò)對(duì)工業(yè)設(shè)施和工業(yè)系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊,,謀求達(dá)成政治訴求或經(jīng)濟(jì)訴求。目前,,我國(guó)絕大多數(shù)工業(yè)控制系統(tǒng)在沒(méi)有防護(hù)措施的情況下暴露于互聯(lián)網(wǎng),,且含有系統(tǒng)漏洞,能夠輕易被遠(yuǎn)程操控,,面臨巨大安全風(fēng)險(xiǎn),。

  本文引用地址: http://www.21ic.com/news/control/201804/758796.htm

3e5d9dcd3d770dd009afb15dcfc960f9.png

  95%工業(yè)控制系統(tǒng)含漏洞易受控

  記者從國(guó)家工業(yè)信息安全發(fā)展研究中心了解到,目前該中心監(jiān)測(cè)到的我國(guó)3000余個(gè)暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng),,95%以上有漏洞,,可以輕易被遠(yuǎn)程控制,約20%的重要工控系統(tǒng)可被遠(yuǎn)程入侵并完全接管,。

  過(guò)去,,我國(guó)絕大多數(shù)工業(yè)系統(tǒng)是封閉系統(tǒng),也稱單機(jī)系統(tǒng),,不用考慮聯(lián)網(wǎng)情況,,現(xiàn)在隨著工業(yè)“互聯(lián)網(wǎng)+”的推進(jìn),IT和OT(操作技術(shù))實(shí)現(xiàn)互聯(lián),,必然導(dǎo)致一批系統(tǒng)和設(shè)施暴露,。

  “很多系統(tǒng)和設(shè)備沒(méi)有防護(hù)軟件,也不能安裝殺毒系統(tǒng),,一旦上了網(wǎng)就處于‘裸奔’狀態(tài),?!币晃粯I(yè)內(nèi)人士告訴記者,通信,、能源,、水利、電力等關(guān)鍵基礎(chǔ)設(shè)施存在安全風(fēng)險(xiǎn),,而入侵和控制工控系統(tǒng)也已成為商業(yè)上打壓競(jìng)爭(zhēng)對(duì)手的不法手段,。

  在蘇浙就有消費(fèi)品加工廠被國(guó)外競(jìng)爭(zhēng)廠家入侵網(wǎng)絡(luò),破壞設(shè)備運(yùn)行,,造成生產(chǎn)斷檔,。

  從全球發(fā)展趨勢(shì)來(lái)看,工業(yè)控制系統(tǒng)日益成為黑客攻擊和網(wǎng)絡(luò)戰(zhàn)的重點(diǎn)目標(biāo),。

  近年全球重大工業(yè)信息安全事件頻發(fā):2010年伊朗核設(shè)施遭受“震網(wǎng)病毒”攻擊;2016年美國(guó)東海岸大面積斷網(wǎng);2017年“Wanna Cry”勒索病毒肆虐全球……全球工業(yè)網(wǎng)絡(luò)安全總體風(fēng)險(xiǎn)持續(xù)攀升,,呈現(xiàn)高危態(tài)勢(shì)。

  定向攻擊精準(zhǔn)性提升迅速,。大量工控系統(tǒng)漏洞,、攻擊方法可以通過(guò)互聯(lián)網(wǎng)等多種公開(kāi)、半公開(kāi)渠道獲取,,許多技術(shù)分析報(bào)告給出了網(wǎng)絡(luò)攻擊步驟,、攻擊代碼甚至攻擊工具等詳細(xì)信息,極易被黑客等不法分子利用,。

  技術(shù)手段復(fù)雜化,、專業(yè)化。針對(duì)工控系統(tǒng)的攻擊已從原來(lái)一個(gè)代碼攻擊一兩種漏洞,,進(jìn)化成一個(gè)代碼嵌入數(shù)十種底層系統(tǒng)漏洞,,絕非一個(gè)業(yè)余愛(ài)好者能夠?qū)崿F(xiàn)。

  美國(guó)網(wǎng)絡(luò)武器庫(kù)遭泄埋下重大隱患,。維基解密,、影子經(jīng)紀(jì)人等黑客組織公開(kāi)披露了大批網(wǎng)絡(luò)攻擊工具和安全漏洞,可被用于入侵感染工控系統(tǒng),,引發(fā)高頻次,、大規(guī)模的網(wǎng)絡(luò)攻擊。

  例如震驚全球的“Wanna Cry”勒索病毒就利用了影子經(jīng)紀(jì)人披露的美國(guó)國(guó)安局“永恒之藍(lán)”漏洞進(jìn)行傳播,。在一次網(wǎng)絡(luò)攻擊中,中石油等眾多中國(guó)工業(yè)企業(yè)中招,。

  意識(shí)薄弱,、技術(shù)不足、人才匱乏加劇風(fēng)險(xiǎn)

  目前,,我國(guó)在工業(yè)信息安全方面存在安全防護(hù)意識(shí)薄弱,、技術(shù)水平偏低,、人才匱乏等問(wèn)題,形勢(shì)較為嚴(yán)峻,。

  多地區(qū),、部門、工業(yè)企業(yè)對(duì)工控系統(tǒng)信息安全重視不夠,,重發(fā)展輕安全,,漏洞不重視、修復(fù)不及時(shí)現(xiàn)象普遍存在,。

  據(jù)360補(bǔ)天漏洞響應(yīng)平臺(tái)統(tǒng)計(jì),,所有工控信息系統(tǒng)漏洞中,25.6%的漏洞未進(jìn)行修復(fù),,一些行業(yè)漏洞平均修復(fù)時(shí)間長(zhǎng)達(dá)數(shù)月之久,。

  我國(guó)對(duì)工業(yè)信息領(lǐng)域安全的認(rèn)識(shí)還處在初級(jí)階段。2017年5月“Wanna Cry”勒索病毒事件爆發(fā),,微軟在當(dāng)年3月就發(fā)布了相應(yīng)安全漏洞補(bǔ)丁,,但我國(guó)很多單位一直沒(méi)有打補(bǔ)丁,導(dǎo)致近30萬(wàn)臺(tái)主機(jī)和電腦被感染,。

  直到目前,,360公司還能監(jiān)測(cè)到每天有近千臺(tái)電腦感染此勒索病毒。

  在企業(yè)中,,因私人行為暴露并感染病毒的情況也較為多見(jiàn),,例如個(gè)人通過(guò)工控設(shè)備違規(guī)上網(wǎng),或是廠商的維護(hù)人員電腦感染后造成設(shè)備系統(tǒng)全網(wǎng)感染病毒等,。

  部分工控系統(tǒng)依賴進(jìn)口,,核心產(chǎn)品自主可控度低。

  國(guó)家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟發(fā)布的《2017年工業(yè)信息安全態(tài)勢(shì)白皮書》顯示,,國(guó)產(chǎn)數(shù)據(jù)庫(kù)僅占據(jù)7%的低端市場(chǎng),,數(shù)千個(gè)工控系統(tǒng)由外國(guó)廠商提供運(yùn)行維護(hù),大量企業(yè)不具備自主維護(hù)能力,,同時(shí)缺乏對(duì)外國(guó)產(chǎn)品和服務(wù)的監(jiān)管,。

  記者了解到,設(shè)備廠商的維保人員對(duì)工控系統(tǒng)控制權(quán)非常大,,在部分企業(yè),,工控系統(tǒng)控制室的門禁卡甚至都掌握在外方手中。

  防護(hù)技術(shù)較為落后,,人才匱乏,,難以與網(wǎng)絡(luò)攻擊相抗衡。國(guó)家工業(yè)信息安全發(fā)展研究中心通過(guò)安全監(jiān)測(cè)發(fā)現(xiàn),,工業(yè)企業(yè)信息安全應(yīng)急備災(zāi)手段不足,,約70%的被調(diào)查工業(yè)企業(yè)缺少完善應(yīng)災(zāi)備災(zāi)體系,。

  公共信息安全人才是自動(dòng)化和網(wǎng)絡(luò)安全人才的復(fù)合型人才,缺口巨大,,在高校中沒(méi)有工業(yè)控制領(lǐng)域的碩士,、博士培養(yǎng)方向,工業(yè)信息安全從業(yè)人員幾乎都是在實(shí)戰(zhàn)中學(xué)習(xí),。

  如何擰緊工業(yè)網(wǎng)絡(luò)“安全閥”

  針對(duì)工業(yè)安全領(lǐng)域復(fù)雜多變的挑戰(zhàn),,須從政策制度、技術(shù)產(chǎn)品研發(fā),、人才培養(yǎng)等方面著力,,進(jìn)一步開(kāi)展工業(yè)互聯(lián)網(wǎng)安全建設(shè),構(gòu)建安全保障體系,。

  強(qiáng)化網(wǎng)絡(luò)安全漏洞管理,,降低被攻擊風(fēng)險(xiǎn)。

  360集團(tuán)董事長(zhǎng)兼CEO周鴻祎認(rèn)為,,應(yīng)建立漏洞管理全流程監(jiān)督處罰制度,,制定覆蓋網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)、審核,、披露,、通報(bào)、修復(fù),、追責(zé)等全流程管理細(xì)則,,強(qiáng)制要求漏洞必須及時(shí)修復(fù),對(duì)漏洞修復(fù)時(shí)間以及違規(guī)處罰措施予以明確規(guī)定,。

  此外,,應(yīng)建立監(jiān)督檢查機(jī)制和力量,及時(shí)發(fā)現(xiàn)未及時(shí)修復(fù)漏洞的行為,,追究相關(guān)單位和責(zé)任人責(zé)任,。

  研究制定新一代信息技術(shù)在工業(yè)領(lǐng)域應(yīng)用的安全架構(gòu),盡快突破一批工業(yè)信息安全關(guān)鍵核心技術(shù),,重點(diǎn)發(fā)展一批高端產(chǎn)品,,形成具有市場(chǎng)競(jìng)爭(zhēng)力的產(chǎn)品體系。

  我國(guó)現(xiàn)有工業(yè)信息安全產(chǎn)業(yè)(包括產(chǎn)品,、技術(shù),、服務(wù)等)占整個(gè)IT行業(yè)的比重不足2%,遠(yuǎn)低于歐美發(fā)達(dá)國(guó)家近10%的水平,。只有做強(qiáng)自主可控的工控系統(tǒng)相關(guān)行業(yè),,才能夠在安全問(wèn)題上有話語(yǔ)權(quán)。

  支持相關(guān)教育培訓(xùn)機(jī)構(gòu),,開(kāi)展網(wǎng)絡(luò)安全學(xué)科聯(lián)合建設(shè),,將網(wǎng)絡(luò)安全納入職業(yè)技能鑒定體系,培養(yǎng)一支門類齊全,、技術(shù)精湛的專業(yè)人才隊(duì)伍,。

  網(wǎng)絡(luò)安全的本質(zhì)在攻防兩端能力的較量。在我國(guó)巨大的網(wǎng)絡(luò)安全人才缺口中,,90%以上是防御型人才,。

  與進(jìn)攻型、研究型人才不同,,防御型人才可以通過(guò)職業(yè)培訓(xùn)形式大批量培養(yǎng),,依靠社會(huì)力量開(kāi)展職業(yè)教育,可以在短期內(nèi)彌補(bǔ)網(wǎng)絡(luò)安全人才缺口,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:aet@chinaaet.com。