蔣艷:譜寫工業(yè)控制系統(tǒng)網(wǎng)絡安全新篇章,走好新型工業(yè)化之路
時間:2024-07-01
為適應新型工業(yè)化發(fā)展形勢,提高我國工業(yè)控制系統(tǒng)網(wǎng)絡安全保障水平,指導工業(yè)企業(yè)開展工控安全防護工作,以高水平安全護航新型工業(yè)化,工業(yè)和信息化部正式印發(fā)《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》(以下簡稱《指南》),立足我國工業(yè)控制系統(tǒng)發(fā)展和安全建設實際,圍繞安全管理、技術防護、安全運營、責任落實四方面,面向工業(yè)企業(yè)提出33項指導性安全防護基線要求,指導工業(yè)企業(yè)切實提升工控安全防護水平。
一、保障工控安全是加快推進新型工業(yè)化的重要舉措
(一)工業(yè)控制系統(tǒng)已成為網(wǎng)絡攻擊的重要打擊目標
工業(yè)控制系統(tǒng)廣泛應用于關系國民經(jīng)濟命脈的重要領域,是工業(yè)生產(chǎn)運行的基礎核心,其網(wǎng)絡安全事關工業(yè)生產(chǎn)穩(wěn)定運行,事關經(jīng)濟社會發(fā)展和國家安全。隨著攻擊者針對關鍵工業(yè)領域的網(wǎng)絡攻擊能力不斷提升,工業(yè)控制系統(tǒng)已成為國家、組織間網(wǎng)絡攻擊的重要打擊目標。據(jù)國家工信安全中心監(jiān)測,2023年瞄準境內(nèi)工業(yè)控制系統(tǒng)實施的掃描嗅探行為超460萬次。
(二)做好工控安全是護航新型工業(yè)化必要之舉
當前,新一輪科技革命和產(chǎn)業(yè)變革加速演進,制造業(yè)數(shù)字化轉型步伐加快,數(shù)字經(jīng)濟和實體經(jīng)濟深度融合,工業(yè)控制系統(tǒng)作為推進新型工業(yè)化的重要支撐,工控安全的基礎性、保障性作用愈發(fā)凸顯。我國工業(yè)企業(yè)工控安全防護能力普遍薄弱,傳統(tǒng)網(wǎng)絡安全隱患和新型風險交織疊加問題突出,企業(yè)安全建設遠遠滯后于數(shù)字化轉型,重發(fā)展、輕安全思想仍普遍存在。要走好新型工業(yè)化之路,需堅持以發(fā)展促安全、以安全保發(fā)展,筑牢工業(yè)企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡安全防線。
二、工業(yè)控制系統(tǒng)網(wǎng)絡安全面臨新形勢與新挑戰(zhàn)
(一)新技術加快工業(yè)網(wǎng)絡開放互聯(lián),新型網(wǎng)絡安全威脅持續(xù)升級
工業(yè)以太網(wǎng)、TSN、WiFi6、5G等新型工業(yè)網(wǎng)絡技術的應用進一步推動工業(yè)網(wǎng)絡互聯(lián)互通,在提供更多設備連接、更高網(wǎng)絡帶寬、更低傳輸延時、更遠傳輸距離、更強穿透能力的同時,工控網(wǎng)絡邊界愈發(fā)模糊,工業(yè)控制器、工業(yè)主機、儀器儀表、生產(chǎn)業(yè)務系統(tǒng)等工業(yè)控制系統(tǒng)暴露的攻擊路徑越來越多,傳統(tǒng)網(wǎng)絡安全風險向工業(yè)研發(fā)、設計、生產(chǎn)、運行、管理等各環(huán)節(jié)各領域全面滲透,勒索病毒等惡意軟件在工業(yè)控制網(wǎng)絡中加速蔓延,APT攻擊等新型網(wǎng)絡威脅頻發(fā)。隨著工業(yè)互聯(lián)網(wǎng)的應用深入,工業(yè)控制系統(tǒng)上云上平臺趨勢明顯,但企業(yè)普遍缺乏“安全上云”技術手段,平臺與設備間的風險傳導問題突出,平臺自身漏洞以及互聯(lián)網(wǎng)攻擊風險可滲透到工業(yè)控制系統(tǒng)及現(xiàn)場設備,接入設備的漏洞隱患也可被惡意利用并成為攻擊云平臺的入口。
(二)工業(yè)控制系統(tǒng)海量異構,“帶病”運行與低防護聯(lián)網(wǎng)成常態(tài)
PLC、數(shù)控機床、RTU等傳統(tǒng)類型設備以及AGV小車、無線手持HMI、智能無線傳感器、智能網(wǎng)關等智能工業(yè)設備廣泛應用于工業(yè)內(nèi)網(wǎng),工業(yè)控制系統(tǒng)在設計之初缺乏安全考慮,設備固件、操作系統(tǒng)、應用軟件、控制協(xié)議等漏洞頻發(fā)。據(jù)國家工信安全中心統(tǒng)計,2023年國家工業(yè)信息安全漏洞庫收錄工業(yè)領域漏洞1875條,累計收錄9000余條,其中超60%為高危或極高危,漏洞在被利用時可能導致遠程代碼執(zhí)行或拒絕服務等嚴重威脅。大量漏洞存在較長修復周期,且難以驗證漏洞修復是否會影響工業(yè)生產(chǎn)穩(wěn)定運行,病毒威脅難以深層掃描、系統(tǒng)無法定期升級,導致工控系統(tǒng)“帶病”運行成常態(tài)。
(三)工控系統(tǒng)重點保護的“關鍵少數(shù)”不突出,企業(yè)安全建設與運維管理問題嚴峻
工控系統(tǒng)生命周期長達15-20年,工業(yè)領域門類復雜,不同行業(yè)工控系統(tǒng)形態(tài)和功能差別明顯,存在安全防護重點、保護規(guī)則不同等特點。我國規(guī)上工業(yè)企業(yè)超48萬家,運行的工控系統(tǒng)眾多,各工控系統(tǒng)對于國民經(jīng)濟和行業(yè)發(fā)展的重要程度、遭破壞后對國家安全和社會穩(wěn)定的影響程度也存在差異,工控系統(tǒng)重點保護的對象不突出。目前,工業(yè)企業(yè)對工業(yè)控制系統(tǒng)網(wǎng)絡安全防護意識薄弱,人員專業(yè)技能匱乏,供應鏈管理不規(guī)范、安全責任落實不到位、采購云服務后責任劃分不明晰、安全運維難以落到實處等問題較為嚴峻。
三、《指南》有力指導企業(yè)提升工控安全防護水平
(一)指導企業(yè)建立工控安全綜合防護體系
為應對復雜嚴峻的安全威脅形勢、多變的網(wǎng)絡攻擊路徑、持續(xù)升級的網(wǎng)絡攻擊手段,《指南》強調(diào)技管結合,從技術防護、安全管理、安全運營、責任落實四方面指導企業(yè)建立綜合防護能力,突出管理重點對象,強化技術應對策略,增強威脅發(fā)現(xiàn)及處置能力,切實提升企業(yè)工控安全防護水平。
(二)提升新形勢新挑戰(zhàn)下的風險防范應對能力
順應異構工業(yè)終端海量接入、新型工業(yè)網(wǎng)絡技術應用、工業(yè)控制系統(tǒng)設備上云上平臺、新型網(wǎng)絡威脅頻發(fā)等新發(fā)展趨勢,《指南》與時俱進,充分銜接已有法律法規(guī)相關要求,提出貼合實際、適應變化、落實有效的安全防護策略。《指南》明確智能終端安全、無線網(wǎng)絡安全、上云安全、監(jiān)測預警運營中心、應急處置、漏洞管理、供應鏈安全、資產(chǎn)管理等要求,指導企業(yè)理清系統(tǒng)資產(chǎn)底數(shù),防范內(nèi)外部網(wǎng)絡攻擊,強化網(wǎng)絡安全事前、事中、事后全流程安全風險應對能力。
(三)聚焦重要工業(yè)控制系統(tǒng)網(wǎng)絡安全防護
重要工業(yè)控制系統(tǒng)承載業(yè)務的重要性高、規(guī)模大,發(fā)生網(wǎng)絡安全事件的危害程度高,《指南》強調(diào)要建立重要工業(yè)控制系統(tǒng)清單并實施重點保護,要求對重要工業(yè)控制系統(tǒng)相關設備實施冗余備份,加強對重要工業(yè)控制系統(tǒng)安全防護能力評估,定期開展重要工業(yè)控制系統(tǒng)漏洞排查,及時對系統(tǒng)升級加固。
(四)壓實企業(yè)工控安全主體責任
企業(yè)是網(wǎng)絡安全的責任主體,承載著維護網(wǎng)絡安全的重要職責,《指南》強調(diào)工業(yè)企業(yè)承擔本企業(yè)工控安全主體責任,應明確責任部門和責任人,建立健全工控安全管理制度,落實工控安全防護要求,強化企業(yè)資源保障力度,確保安全防護措施與工業(yè)控制系統(tǒng)同步規(guī)劃、同步建設、同步使用。
四、以高水平工控安全護航新型工業(yè)化
新時期、新形勢下,要積極落實《指南》要求,以護航新型工業(yè)化網(wǎng)絡安全為目標,以重點行業(yè)企業(yè)、重要工業(yè)控制系統(tǒng)安全管理為主線,加強政策標準體系建設、優(yōu)化安全管理模式、提升技術手段能力、增強協(xié)同化產(chǎn)業(yè)供給。
(一)完善工業(yè)領域網(wǎng)絡安全政策標準體系
加強《指南》與工業(yè)領域網(wǎng)絡安全工作的統(tǒng)籌協(xié)同,完善標準體系建設,有序推動重點國家與行業(yè)標準研制與發(fā)布。研究制定重要工業(yè)控制系統(tǒng)識別認定規(guī)則,建立健全工業(yè)領域網(wǎng)絡安全信息共享與通報、應急處置等工作機制。體系化開展工業(yè)領域網(wǎng)絡安全政策標準宣貫與培訓,引導企業(yè)提升安全意識與防護水平。
(二)強化重點行業(yè)企業(yè)、重要系統(tǒng)安全管理
有序推進工業(yè)領域網(wǎng)絡安全工作向重點行業(yè)深化落地,深入實施工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理,建立重點工業(yè)互聯(lián)網(wǎng)企業(yè)清單。推動開展全國重要工業(yè)控制系統(tǒng)識別認定,強化重要工業(yè)控制系統(tǒng)防護能力評估、漏洞排查與修復,掌握“關鍵少數(shù)”底數(shù),“以點帶面”探索構建工業(yè)控制系統(tǒng)差異化安全管理和防護。
(三)提升工業(yè)領域網(wǎng)絡安全技術能力
打造集工業(yè)領域網(wǎng)絡安全監(jiān)測預警、信息通報、應急處置、分析溯源于一體的技術手段,強化主動監(jiān)測、精準預警、實時處置等關鍵能力,形成“橫向聯(lián)通、縱向聯(lián)動”的協(xié)同監(jiān)測與響應體系。深入開展工控安全漏洞專項治理行動,提升工業(yè)控制系統(tǒng)安全漏洞發(fā)現(xiàn)、驗證、修復能力,強化工控安全漏洞全生命周期管理。
(四)把握《指南》重點要求,推動工控安全防護管理走深向實
督促企業(yè)落實網(wǎng)絡安全主體責任,強化安全防護體系建設與資源保障力度。有序開展全國工控安全防護能力評估試點,深入開展安全深度行活動,遴選打造工控安全防護優(yōu)秀解決方案。加強產(chǎn)學研用協(xié)同,優(yōu)化工業(yè)控制系統(tǒng)網(wǎng)絡安全產(chǎn)業(yè)供給。
(本文作者蔣艷,系國家工業(yè)信息安全發(fā)展研究中心主任)
來源:中國電子報