加强化工信息安全防护势在必行

2020-01-15 15:55:14 中化新网 70

  《2019~2020年度工业信息安全形势分析》发布,业内认为——

  1月10日,由工信智库联盟指导、国家工业信息安全发展研究中心主办的首届工信安全智库论坛在北京召开,会上发布了《2019~2020年度工业信息安全形势分析》(简称《报告》)。根据《报告》,2019年全球工业信息安全发展环境日益严峻,网络攻击对于包括化工行业在内的工业领域的影响进一步加剧,针对工业企业的工业信息安全防护能力亟待提升。

  网络攻击影响凸显

  《报告》显示,2019年,全球工业信息安全发展环境日益严峻,网络攻击对工业领域的影响进一步加剧。据国家工信安全中心不完全统计,2019年全球发生的工业信息安全事件数量超过了2018年总量的1.5倍,包括化工行业在内的制造业和能源产业成为网络攻击的重点目标,勒索病毒、APT等网络安全威胁严重影响工业企业正常生产运营。2019年3月两家美国化工企业以及挪威的铝业巨头遭受勒索软件攻击,造成大量生产系统关键数据损失,部分工厂被迫关闭。

  工控系统安全漏洞持续增多,并呈多样化特征。中国国家信息安全漏洞共享平台的统计数据显示,截至2019年12月,本年度新增工业控制系统安全漏洞数量同比增长12.8%,已达到567个,其中中高危漏洞占比96.5%。在已公开详细信息的338个新增工业控制系统漏洞的成因多样化特征明显,技术类型多达94种。从产品类型上看,PLC、SCADA软件、组态软件等产品的漏洞数量较多。

  “这些系统和设备广泛应用于制造业、能源及市政等主要领域,一旦被攻击入侵,将带来重大安全隐患或经济损失。”国家工信安全中心政策所网络安全研究室主任孙倩文表示,“与此同时,人员操作失误正在成为引发安全事故的最大‘漏洞’,防火墙错误配置、数据库错误配置等时常成为数据泄露、设备被攻击的直接原因。”

  问题犹存挑战严峻

  《报告》指出,随着工业信息安全发展环境日益严峻,我国工业领域在应对网络攻击方面的短板也凸现出来,挑战来自于多方面。

  一是工业互联网进入深耕阶段,新兴技术在工业领域融合应用带来的伴生效应将进一步显现,诸如联网设备、平台和数据安全风险日益严峻,5G或造成毫秒级的破坏,边缘计算加持下的物联网安全风险增加,人工智能可能导致攻击效率指数级增长等。

  二是工业行业的高度复杂性增大了安全防护难度。工业行业众多,企业数量庞大,异构化的工业数据对安全防护带来挑战。

  三是工业企业实施安全防护上缺乏可落地的具体指导。由于缺乏相关市场准入机制、行业标准、检测认证规范和技术手段,企业在工业信息安全产品和服务质量上缺乏判断能力。

  四是网络安全产业对工业领域针对性的支撑能力不足。我国的网络安全企业规模小、研发能力不足,且大多是以网络安全业务为主,在工业信息安全、工业互联网安全等领域的产品积累和服务经验不足。而专注于工业互联网安全的厂商多为初创企业,处于技术研发实力爬坡阶段,同时由于安全厂商对于工业领域制造技术、工艺流程等工业知识缺乏系统性掌握,无法提供部署在控制系统内部的安全产品和解决方案。

  业内人士表示,在化工行业,智慧园区、智能工厂、智能车间等正呈燎原之势,且化工生产存在诸多易燃易爆的高危环节,一旦遭受攻击后果不堪设想,因此加强信息安全、工控安全防护尤为必要。“网络安全产业对工业领域的支撑力度亟待加强。”孙倩文说。