信息安全漏洞高发 工业控制系统“裸奔”上网

随着“互联网＋”、“智能制造”与工业生产进一步深度融合，工业控制系统作为工业领域“神经中枢”，呈现互联互通趋势，与此同时，工业互联网也成为黑客攻击和网络战的重要目标。

工业互联网是“互联网＋”与工业系统的深度融合，是智能制造的基石，也是企业提质增效的必由之路。不过，国家工业信息安全产业发展联盟统计数据显示，全球工业信息安全漏洞呈现连年高发态势，２０１６年至２０１７年，漏洞增长率超过５０％，其中半数以上为高危漏洞，广泛分布在能源、制造、商业设施、水务、市政等关键领域。

然而，“万物互联”背后潜伏的危机不容小视。不久前，一家电路板企业分公司的４０台工业电脑突然出现蓝屏、重启现象，导致生产线瘫痪，企业的运维工程师为恢复生产，两天两夜没有合眼。３６０集团在接到企业通报后前往现场应急维护，发现这场安全事件源自该企业总部此前曾感染的“ＷａｎｎａＣｒｙ”病毒。

“这样的安全事件并不少见。在‘ＷａｎｎａＣｒｙ’病毒在全球大范围爆发一年后，我们还能监测到，每天有近千台电脑感染此勒索病毒。”３６０集团董事长兼ＣＥＯ周鸿祎说。“ＷａｎｎａＣｒｙ”正是不法分子利用“永恒之蓝”漏洞发起的攻击。

攻击者发起网络攻击可以直接影响工业控制系统的正常运行，例如可以直接对某些联网工控设备发送指令导致设备关机或参数修改，造成生产事故，甚至影响生命财产安全和国家安全。

“近年来，工业互联网安全事件高发，呈现出定向攻击精准性提升迅速、技术手段复杂化专业化、攻击行为组织化的显著特征。”国家工业信息安全产业发展联盟相关人士对记者说。随着越来越多的工控系统联网，黑客有目的地探测并锁定攻击目标更为容易。大量漏洞、攻击方法可以通过互联网等多种公开、半公开渠道获取，极易被黑客等不法分子利用。

知名黑客组织“影子经纪人”曾泄露出一份机密文档，其中包含了Ｗｉｎｄｏｗｓ远程漏洞利用工具，可影响全球７０％的Ｗｉｎｄｏｗｓ服务器。从２０１７年６月开始，该组织还每月出售浏览器、路由器、手机漏洞等相关入侵工具以及入侵数据，曝光的工具更进一步通过匿名网络“暗网”等渠道进行非法交易和大量扩散。

业内人士表示，针对工业互联网的攻击已从原有的一个代码攻击一两种漏洞，进化成一个攻击代码可以嵌入数十种底层系统漏洞，“这绝非一个业余爱好者能够实现的攻击”。根据国家工业信息安全产业发展联盟对维基解密公开的美国ＣＩＡ文件分析，美国已建立起网络攻击武器库和战略资源库，可引发国家级有组织的网络攻击行动，具备全方位、多层次的攻击能力，可持续对全球开展大范围网络监听与攻击，不仅涵盖Ｗｉｎｄｏｗｓ、ＯＳ　Ｘ等主流操作系统，还包括手机、车载系统及智能电视等。

业内人士表示，由于网络安全事件具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏了几年都不被发现，结果往往是“谁进来了不知道、是敌是友不知道、干了什么不知道”，隐患长期潜伏。

多数工业系统在设计之初是封闭的“单机系统”，没有考虑联网需求，现在随着工业“互联网＋”的推进，将必然导致一批系统和设施暴露。很多的系统和设备没有防护软件，也不能安装杀毒系统，一旦上了网就是“裸奔”状态。

一些重要的企业工控系统还被留下了后门程序，黑客或者恶意人员可以随意进出操作。目前，绝大多数的企业没有能力识别或应对这些入侵和攻击。国家工业信息安全发展研究中心通过安全监测发现，工业企业的信息安全应急手段普遍不足，约７０％的被查工业企业缺少完善的应灾备灾体系。

随着我国工业领域数字化、网络化、智能化水平提升，安全问题已经逐渐引起重视。高速发展的同时，工业互联网相关法规政策正逐步健全，标准体系建立取得进展，安全检查评估也正有序开展。目前我国还存在安全防护意识薄弱、技术水平偏低、人才匮乏的问题，工业互联网发展亟待补足短板。

对工业互联网漏洞不重视、修复不及时的现象普遍存在。３６０补天漏洞响应平台监测的工控信息系统漏洞中，有２５．６％的漏洞未进行修复，一些行业漏洞平均修复时间长达数月之久。不少设备遭受攻击的案例，是由于企业员工私自利用设备上网、使用Ｕ盘或在远程维护过程中感染病毒造成的。

业内人士认为，ＣＰＵ、服务器、操作系统等核心产品和技术发展滞后，国产化率低，竞争力不足，是工业互联网实现自主可控过程中的关键症结。《工业信息安全态势白皮书（２０１７年）》显示，目前我国包括产品、技术和服务在内的工业信息安全产业占整个ＩＴ业比重不足２％，远低于欧美发达国家的１０％水平。

随着ＩＰｖ６下一代互联网技术的部署和５Ｇ时代的到来，工业互联网将面临更为复杂多变的挑战。加强工业信息安全建设、加快构建全方位的安全保障体系，是制造大国迈向制造强国的基础。“从现实情况看，政企单位还存在遭受网络攻击时不愿及时上报的问题。及时上报网络攻击事件对于早期发现、追踪溯源和防止攻击范围及危害进一步扩大、保障国家网络安全具有重大价值和意义。”周鸿祎认为，应出台鼓励网络攻击事件上报的相关政策，建立起漏洞管理全流程监督处罚制度和监督检查力量。

“只有自主可控的产业做强做大，工业互联网才能有安全可言。”多名业内人士表示，应尽快研究制定新一代信息技术在工业领域应用的安全架构，突破工业信息安全关键核心技术，重点发展一批高端产品，形成具有市场竞争力的产品体系。

启明星辰信息技术集团股份有限公司ＣＥＯ严望佳建议，大力推动国产安全设备在关键信息基础设施保护中的应用，如对关键信息基础设施的运营企业购置国产网络安全设备出台税收优惠政策等，以激励企业加大投入，推动相关产业的发展。

还有专家建议，从整体产业角度推动人才培养和建设，支持相关教育培训机构开展网络安全学科联合建设，将工业网络安全纳入职业技能鉴定体系，培养一支门类齐全、技术精湛的专业人才队伍。眼下，我国国家网络安全人才培养已取得一定进展，“网络空间安全”被增设为一级学科，意味着网络安全高层次人才培养迈出了重要一步。不久前，我国首个工业信息安全技能大赛、阿里巴巴安全响应中心生态大会等相关领域会议召开，推动了行业内外进一步关注工业网络安全和人才培养问题。

“阿里巴巴安全响应中心将大额提升发现漏洞的奖金，激发技术人才积极性。同时通过线下活动等形式，联动国内国际技术人才，与高校等合作加大安全人才的培养力度。”阿里巴巴集团首席风险官郑俊芳表示，在技术化、全球化、生态化、多元化等趋势下，工业互联网呼唤产业联合共治、安全共建。