張格:新形勢下我國工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保護工作實踐與探討
時間:2024-07-02
工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施是國家重要的戰(zhàn)略資源,關(guān)系國家安全、國計民生和公共利益,具有基礎(chǔ)性、支撐性、全局性作用,是國家網(wǎng)絡安全工作中的重中之重。在《關(guān)鍵信息基礎(chǔ)設施安全保護條例》(以下簡稱《條例》)正式施行的兩年時間里,我國深入貫徹落實《條例》有關(guān)要求,積極推進相關(guān)研究部署和探索實踐,加快提升我國工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保護能力。與此同時,我們也要深刻認識到,我國工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保護工作仍任重道遠,面臨新形勢下的新問題新挑戰(zhàn),短板弱項仍然突出,亟待強化統(tǒng)籌規(guī)劃和體系布局,做好把脈問診、把控源頭、筑牢根基、夯實基礎(chǔ),加快推進安全保障體系建設,為構(gòu)筑新型工業(yè)化發(fā)展新格局夯實底座基石。
一、新形勢下工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保護工作的重要性
工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施(簡稱“工業(yè)關(guān)基”)是指在工業(yè)生產(chǎn)制造中遭到破壞、喪失功能或者數(shù)據(jù)泄漏后,可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設施。從存在形態(tài)上,工業(yè)關(guān)基主要以工業(yè)控制系統(tǒng)為核心,也包括工業(yè)互聯(lián)網(wǎng)平臺、5G網(wǎng)絡基礎(chǔ)設施、云計算中心、工業(yè)大數(shù)據(jù)中心等承載工業(yè)領(lǐng)域核心業(yè)務的重要設施及信息系統(tǒng)。從業(yè)務特點看,工業(yè)關(guān)基分布廣泛、業(yè)務要求高,與國計民生關(guān)系密切。我國作為制造業(yè)大國,工業(yè)領(lǐng)域分布著大量投資價值高、社會影響廣、業(yè)務運行高的關(guān)鍵信息基礎(chǔ)設施。研究顯示,超過80%以上的國家關(guān)鍵信息基礎(chǔ)設施及智慧城市業(yè)務系統(tǒng)都依賴以工業(yè)控制系統(tǒng)為核心的工業(yè)關(guān)基作為支撐。如何保障工業(yè)關(guān)基安全已成為工業(yè)領(lǐng)域網(wǎng)絡安全工作亟待解決的首要任務。
(一)國際社會紛紛強化工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保護
美國、歐洲、俄羅斯等國家和地區(qū)已先后將關(guān)鍵信息基礎(chǔ)設施安全保護上升到國家戰(zhàn)略高度。以美國為例,已先后發(fā)布戰(zhàn)略方針、行政命令、實施指南等不同層級政策管理文件,建立多部門協(xié)同管理工作機制,并持續(xù)加大關(guān)鍵信息基礎(chǔ)設施網(wǎng)絡安全投入。2013年,美國頒布《第21號總統(tǒng)政策指令》(PPD-21),對化工、關(guān)鍵制造業(yè)、能源等重要工業(yè)領(lǐng)域的關(guān)鍵信息基礎(chǔ)設施提出針對性安全要求。之后又陸續(xù)發(fā)布了《化工行業(yè)網(wǎng)絡安全框架實施指南》《關(guān)鍵制造業(yè)部門網(wǎng)絡安全框架實施指南》《能源行業(yè)網(wǎng)絡安全多年計劃》等文件。2018年,美國能源部(DOE)新建了網(wǎng)絡安全、能源安全和應急響應辦公室(CESER),負責處理能源關(guān)鍵基礎(chǔ)設施網(wǎng)絡安全問題。2022年,拜登政府簽署了2023財年綜合撥款法案,《2022年關(guān)鍵基礎(chǔ)設施網(wǎng)絡事件報告法案》作為其中之一,明確了能源、制造業(yè)、化工等16個工業(yè)領(lǐng)域在內(nèi)的相關(guān)行業(yè)部門管理職責。俄羅斯也積極加強關(guān)鍵領(lǐng)域網(wǎng)絡安全保護,2022年3月,普京簽署第166號總統(tǒng)令《確保俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設施技術(shù)獨立和安全的措施》,明確禁止在未經(jīng)政府相關(guān)機構(gòu)授權(quán)的情況下,為國家關(guān)鍵基礎(chǔ)設施部門采購外國軟件,強化對關(guān)鍵信息基礎(chǔ)設施領(lǐng)域的保護。2022年5月,歐盟議會和歐盟成員國就《關(guān)于在歐盟范圍內(nèi)實施高水平網(wǎng)絡安全措施的指令》達成協(xié)議,以加強電力、區(qū)域供熱和制冷、石油、天然氣、航空、鐵路、水利和公路,以及計算機及電子、機械設備、汽車制造等十類基本實體和六類重要實體的安全保護。
(二)我國工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保護工作有序推進
法規(guī)層面,2021年9月正式施行的《關(guān)鍵信息基礎(chǔ)設施安全保護條例》,明確了關(guān)鍵信息基礎(chǔ)設施安全保護的監(jiān)督管理工作機制及工業(yè)關(guān)基運營者的責任和義務,同時也對網(wǎng)絡安全監(jiān)測、檢測、風險評估、預警通報和響應處置等方面提出了明確要求。2022年2月,《網(wǎng)絡安全審查辦法》正式施行,明確了對關(guān)基運營者采購網(wǎng)絡產(chǎn)品和服務,影響或可能影響國家安全的應進行網(wǎng)絡安全審查,以確保關(guān)鍵信息基礎(chǔ)設施供應鏈安全。政策層面,工業(yè)和信息化部陸續(xù)出臺《工業(yè)控制系統(tǒng)信息安全防護指南》《關(guān)于加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》等系列文件,以提升工業(yè)領(lǐng)域網(wǎng)絡安全和數(shù)據(jù)安全保障能力。
標準層面,2023年5月,國家標準GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設施安全保護要求》已正式實施,細化的工業(yè)領(lǐng)域網(wǎng)絡安全、數(shù)據(jù)安全標準體系及重點標準正在加快研究制定。
工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施的安全事關(guān)國家安全、國計民生和公共利益,如何強化工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保護,構(gòu)筑完備的安全保障能力已迫在眉睫。
二、新形勢下工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保護的新問題、新要求
當前,新型基礎(chǔ)設施建設、數(shù)字化轉(zhuǎn)型、新型工業(yè)化等建設進程加速推進,在國家級對抗博弈加劇、工業(yè)領(lǐng)域安全事件頻發(fā)高發(fā)態(tài)勢下,我國工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施已成為網(wǎng)絡攻擊的焦點。我國亟待補齊體系化布局不足、安全防御技術(shù)短板突出、綜合保障能力薄弱等重點難點問題。
(一)工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施已成為網(wǎng)絡攻擊重災區(qū),攻擊影響大、后果嚴重
當前,全球工業(yè)領(lǐng)域網(wǎng)絡安全事件高發(fā)頻發(fā),工業(yè)領(lǐng)域成為網(wǎng)絡攻擊的最主要目標。據(jù)有關(guān)監(jiān)測數(shù)據(jù)顯示,2022年我國監(jiān)測發(fā)現(xiàn)的工業(yè)領(lǐng)域各類網(wǎng)絡安全攻擊超過7975萬次,同比增長超過23.9%。同時,網(wǎng)絡攻擊已滲透進入工業(yè)領(lǐng)域關(guān)基的物理世界,其破壞效應呈指數(shù)放大,極易誘發(fā)系統(tǒng)性重大風險。一方面,網(wǎng)絡攻擊可造成巨大的經(jīng)濟損失。2023年2月,美國應用材料公司受勒索攻擊事件造成的經(jīng)濟損失高達2.5億美元。6月,賓士域集團受勒索攻擊造成的損失超過7000萬美元。另一方面,以鋼鐵、電力、石油石化等為代表的工業(yè)關(guān)基一旦遭遇勒索攻擊,可引發(fā)關(guān)鍵生產(chǎn)生活用品供應中斷、大量產(chǎn)線癱瘓停擺,核心數(shù)據(jù)泄漏,甚至引發(fā)大規(guī)模斷水、斷電、斷氣、火災、爆炸,嚴重擾亂公共秩序、威脅產(chǎn)業(yè)和戰(zhàn)略資源安全、威脅國家安全。2021年5月7日,美國最大成品油管道運營商科洛尼爾管道運輸公司遭到網(wǎng)絡攻擊,導致美國東部沿海主要城市輸送油氣的管道系統(tǒng)被迫下線,影響了美國東部45%的燃料供應。2019年的委內(nèi)瑞拉大規(guī)模斷電事件、南美五國大規(guī)模停電事件,不但造成關(guān)鍵基礎(chǔ)設施服務失靈,且引發(fā)了社會恐慌和國家政權(quán)動蕩。2023年7月,名古屋港的勒索攻擊事件不僅造成港口貨運中斷、運營停滯,更嚴重干擾了往來日本全國的貨物流通。
尤其是在大國博弈日趨激烈,集團對抗日漸凸顯,戰(zhàn)爭風險不斷升高的背景下,針對關(guān)鍵基礎(chǔ)設施的全方位攻擊不斷發(fā)生并愈演愈烈,關(guān)鍵基礎(chǔ)設施已成為地緣政治博弈的新前沿。關(guān)鍵信息基礎(chǔ)設施的安全問題日益成為至關(guān)重要的國家安全治理問題,成為國家安全角力的新領(lǐng)域。俄烏沖突中,美國及其盟國有組織、有預謀的國家級黑客組織,以分布式拒絕服務攻擊、釣魚欺詐、漏洞利用、供應鏈攻擊、偽裝成勒索軟件的惡意數(shù)據(jù)擦除攻擊等多種“網(wǎng)絡武力”,持續(xù)對索羅斯及白俄羅斯的鐵路系統(tǒng)、重要物流網(wǎng)絡等實施網(wǎng)絡打擊。同時黑客組織“匿名者”(Anonymous)在官方Twitter發(fā)布了涉及超過900個俄羅斯暴露在公網(wǎng)的工業(yè)控制系統(tǒng)作為攻擊目標,給俄羅斯關(guān)鍵領(lǐng)域的生產(chǎn)運營造成巨大危害。
(二)工業(yè)領(lǐng)域關(guān)鍵基礎(chǔ)設施安全短板弱項突出,難以抵御高水平定向攻擊
一是我國工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施網(wǎng)絡安全“軟肋”眾多。當前,我國工業(yè)控制系統(tǒng)上云上平臺規(guī)模化擴大下的“安全上云”技術(shù)手段應用嚴重不足,為網(wǎng)絡攻擊在“云”和“終端”側(cè)的雙向傳導,進行病毒植入、滲透入侵提供了新通道,通過互聯(lián)網(wǎng)或工業(yè)云平臺可入侵進入關(guān)鍵工控系統(tǒng),也可利用工控系統(tǒng)內(nèi)的智能設備滲透進入工業(yè)云平臺。“5G+工業(yè)互聯(lián)網(wǎng)”廣泛應用、5G全連接工廠加速建設,工廠網(wǎng)絡已由封閉轉(zhuǎn)向開放,工業(yè)企業(yè)普遍缺乏對多樣、海量工業(yè)設備接入網(wǎng)絡的安全防護管理,難以抵御網(wǎng)絡攻擊入侵。工業(yè)現(xiàn)場廣泛應用的工業(yè)級PDA、工業(yè)智能網(wǎng)關(guān)等多種智能設備,在研發(fā)設計之初通常缺乏安全性考慮,存在漏洞、后門等安全隱患,難以有效抵御網(wǎng)絡攻擊風險。
二是工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保障基礎(chǔ)薄弱。一方面,我國工業(yè)關(guān)基產(chǎn)品部分依賴進口,其技術(shù)和產(chǎn)品的網(wǎng)絡安全無法得到保障。比如,目前我國工業(yè)基礎(chǔ)軟件、研發(fā)設計軟件、生產(chǎn)控制軟件、工業(yè)嵌入式軟件等大量依靠進口,重點行業(yè)使用的數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、可編程邏輯控制器(PLC)、分散控制系統(tǒng)(DCS),國內(nèi)國內(nèi)市場被大部分國外產(chǎn)品占據(jù)。在供應鏈全球化趨勢下,利用企業(yè)外部合作伙伴、供應商或第三方服務機構(gòu)發(fā)起的供應鏈攻擊已成為一種新型網(wǎng)絡威脅。工業(yè)產(chǎn)品生產(chǎn)環(huán)節(jié)預留后門、在開發(fā)工具及協(xié)議棧等基礎(chǔ)軟件植入惡意代碼或后門程序、利用工業(yè)產(chǎn)品漏洞實施遠程設備控制或拒絕服務攻擊等重大網(wǎng)絡安全事件屢見不鮮,工業(yè)關(guān)基源頭安全的問題短期內(nèi)難以得到改善。另一方面,工業(yè)網(wǎng)絡安全技術(shù)產(chǎn)品對外依賴高的情況依然存在。當前,我國依托工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全保障體系建設,正在探索構(gòu)建覆蓋威脅識別、攻擊防御、響應恢復等全生命周期的工業(yè)領(lǐng)域網(wǎng)絡安全技術(shù)產(chǎn)品體系。但從深入分析看,相關(guān)網(wǎng)絡安全產(chǎn)品使用的關(guān)鍵軟硬件技術(shù)、核心零部件等,比如CPU、內(nèi)存、操作系統(tǒng)、數(shù)據(jù)庫等組件仍依賴國外現(xiàn)成的技術(shù)和產(chǎn)品。工業(yè)領(lǐng)域網(wǎng)絡安全作為做好新型工業(yè)化網(wǎng)絡安全保障的基礎(chǔ)前提,一旦自身引入后面隱患或安全漏洞,非但起不到安全防護作用,反而可能成為新的攻擊突破口。此外,我國尚未完全掌握工業(yè)領(lǐng)域網(wǎng)絡安全防御決策的核心主導權(quán)。比如,漏洞庫、檢測規(guī)則庫、威脅情報等規(guī)則是漏洞掃描、入侵檢測、工業(yè)防火墻等典型網(wǎng)絡安全技術(shù)產(chǎn)品的防御決策依據(jù),對技術(shù)產(chǎn)品能力起到非常決定性的作用。但近年來,美國對我國實施的網(wǎng)絡安全審查、供應商評定、風險評估等一系列供應鏈管控不斷加碼,管控行為已滲透擴張至網(wǎng)絡安全領(lǐng)域。奇虎360、美亞柏科等網(wǎng)絡安全公司被美國納入技術(shù)產(chǎn)品出口管控實體清單,對我網(wǎng)絡安全產(chǎn)業(yè)實施打壓遏制,不利于我國網(wǎng)絡安全技術(shù)產(chǎn)品發(fā)展。
(三)工業(yè)領(lǐng)域關(guān)鍵基礎(chǔ)設施安全保護面臨全新挑戰(zhàn)
一是新形勢下的工業(yè)領(lǐng)域網(wǎng)絡安全管理體系亟待優(yōu)化。目前,我國工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施保護工作仍處于起步和探索階段,尚未構(gòu)建起適配發(fā)展需求的管理體系,工業(yè)領(lǐng)域關(guān)基保護措施體系性不足。一方面,在關(guān)鍵信息基礎(chǔ)設施認定方面,缺乏有效的行業(yè)配套政策指導文件,工業(yè)領(lǐng)域行業(yè)眾多,運行狀態(tài)、防護需求均存在較大差異性,實施過程中容易出現(xiàn)運營者對要求認知不夠、理解不一、工作落實不到位等問題。另一方面,在新型工業(yè)化的推進下,工業(yè)企業(yè)往往跳出傳統(tǒng)單一供需關(guān)系,形成深入融合的發(fā)展局面。傳統(tǒng)的工業(yè)領(lǐng)域網(wǎng)絡安全責任界定理念“誰建設誰負責、誰運行誰負責”的安全管理思路,將難以適應新形勢下的安全管理需要。
二是新技術(shù)加速融合應用,挑戰(zhàn)既有工業(yè)關(guān)基安全防御思路。一方面,新型網(wǎng)絡攻擊技術(shù)持續(xù)衍生,工業(yè)領(lǐng)域攻防對抗加劇,“易攻難守”局面更加突出。工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施逐步呈現(xiàn)跨域互聯(lián)、融合開放的特點,以工業(yè)操作系統(tǒng)、智能機器人等為代表的工業(yè)生產(chǎn)系統(tǒng)智能化水平進一步提升,網(wǎng)絡安全風險也呈現(xiàn)出攻擊方式由單一到多樣、攻擊范圍由點到面、攻擊擴散速度以指數(shù)級巨變等發(fā)展態(tài)勢。另一方面,工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施的安全保護措施缺乏體系性,現(xiàn)有安全防護思路的完備性、防護產(chǎn)品的成熟度和適配性都有待檢驗和提升,不能滿足關(guān)基“動態(tài)防御、主動防御、縱深防御、精準防護、整體防控、聯(lián)防聯(lián)控”的安全需求。此外,新形勢下網(wǎng)絡安全產(chǎn)品需要與企業(yè)的實際生產(chǎn)場景和安全場景融合,工業(yè)關(guān)基安全保障能力建設需要與建設同步發(fā)展。傳統(tǒng)的工業(yè)關(guān)基安全產(chǎn)品體系亟待從過去的零散、局部、被動建設,轉(zhuǎn)變?yōu)闃?gòu)建內(nèi)在、體系化、主動有序為特點的安全體系建設。
總體來看,新形勢下工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保護工作面臨時代賦予的更高挑戰(zhàn)。在外因方面,新技術(shù)、新模式、新業(yè)態(tài)構(gòu)建了更為開放融合的安全生態(tài),需要構(gòu)建完善向協(xié)同共治、服務供給傾斜的網(wǎng)絡安全工作機制,提供與新形勢下發(fā)展需求相匹配的按需供給、智能主動的安全保護能力;在內(nèi)因方面,部分工業(yè)基礎(chǔ)技術(shù)及其網(wǎng)絡安全技術(shù)產(chǎn)品受制于人問題依然嚴峻,在部署工業(yè)關(guān)基安全防線過程中,用則存隱患,不用則存空缺的兩難窘境亟待解決。
三、深化建立新形勢下工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保護工作的新思路、新舉措
工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施是國家關(guān)鍵基礎(chǔ)設施及智慧城市業(yè)務系統(tǒng)的核心支撐,為保障關(guān)鍵信息基礎(chǔ)設施安全,既要突破既有網(wǎng)絡安全防御定式,又要加速重構(gòu)工業(yè)網(wǎng)絡安全管理生態(tài),建設適用新時代新任務下的綜合安全保障體系。
一是把控供應鏈源頭,加速建設信息創(chuàng)新產(chǎn)業(yè)體系。基于我國工業(yè)生產(chǎn)制造種類全、信息化基礎(chǔ)良好的優(yōu)勢,應加速構(gòu)建工業(yè)領(lǐng)域信息創(chuàng)新產(chǎn)業(yè)體系,把控工業(yè)關(guān)鍵信息基礎(chǔ)設施供應鏈源頭安全。加快提升工業(yè)領(lǐng)域關(guān)鍵技術(shù)產(chǎn)品創(chuàng)新能力,尤其是重點突破高端制造、高科技產(chǎn)品,加快打造自主創(chuàng)新產(chǎn)業(yè)體系。開展試點示范,加快推動國產(chǎn)信息技術(shù)應用創(chuàng)新產(chǎn)業(yè)關(guān)鍵技術(shù)和產(chǎn)品的規(guī)模化應用,探索形成分生產(chǎn)制造門類、分工業(yè)場景下可推廣、可復制的產(chǎn)品及解決方案,并在關(guān)鍵細分行業(yè)加速應用部署,保障關(guān)鍵基礎(chǔ)設施安全。
二是筑牢根基,強有力提升工業(yè)領(lǐng)域關(guān)基安全保障能力。在推進工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施識別認定管理基礎(chǔ)之上,“緊抓關(guān)鍵少數(shù)、謀求重點突破”,探索建立工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施網(wǎng)絡安全和數(shù)據(jù)安全監(jiān)督檢查工作機制,推動常態(tài)化安全檢查評估,以查促建、以查促防,持續(xù)強化安全保障能力建設。強化工業(yè)領(lǐng)域安全檢測技術(shù)研究創(chuàng)新,加大在工業(yè)漏洞挖掘與分析、惡意軟件檢測清除、開源代碼安全檢測、工業(yè)情報智能分析、威脅檢測及動態(tài)預警等方面的資源投入。加強重點行業(yè)、關(guān)鍵場景下的工業(yè)關(guān)鍵信息基礎(chǔ)設施安全管理,強化工業(yè)關(guān)基產(chǎn)品安全防御技術(shù),部署安全審查、產(chǎn)品溯源、威脅監(jiān)測等技術(shù)手段,研究部署基于人工智能、商用密碼、區(qū)塊鏈、可信計算等安全技術(shù)的應用,保障工業(yè)關(guān)基供應鏈安全。
三是夯實基礎(chǔ),建立適配時代需要的工業(yè)領(lǐng)域安全人才保障體系。聚焦工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設施安全保護,組織跨區(qū)域、跨行業(yè)應急演練、攻防對抗、專項賽事等實戰(zhàn)化活動,分行業(yè)、分領(lǐng)域、抓重點,組織實戰(zhàn)攻防演練,驗證各類網(wǎng)絡攻擊技術(shù)手段,還原真實攻擊方式和現(xiàn)實情況。逐步將工業(yè)關(guān)基攻防演練工作納入重點工業(yè)企業(yè)管理制度和考核指標,定期組織實戰(zhàn)演練,切實檢驗、鍛煉工業(yè)網(wǎng)絡勒索發(fā)現(xiàn)、監(jiān)測與應急處置能力。“以賽促改、以賽促建”,持續(xù)舉辦國家級、省市級工業(yè)領(lǐng)域安全大賽,通過“全場景競賽、實際環(huán)境演練、安全眾測”等賽事活動,培養(yǎng)選拔專業(yè)技能人才,解決行業(yè)人才緊缺難題,打破企業(yè)人才輸出壁壘。
來源:工信安全之窗