◆劉泳銳

山西省工業(yè)互聯(lián)網(wǎng)安全威脅分析及應(yīng)對措施

◆劉泳銳

（國家計算機網(wǎng)絡(luò)與信息安全管理中心 山西 030002）

近年來，隨著國家對工業(yè)互聯(lián)網(wǎng)發(fā)展支持力度的不斷加大，工業(yè)互聯(lián)網(wǎng)建設(shè)正在深度實施。工業(yè)互聯(lián)網(wǎng)能有效推動產(chǎn)業(yè)數(shù)字化，帶動數(shù)字產(chǎn)業(yè)化，助力山西省轉(zhuǎn)型升級發(fā)展。當(dāng)前山西省工業(yè)互聯(lián)網(wǎng)發(fā)展面臨一定的威脅和挑戰(zhàn)，通過總結(jié)監(jiān)測發(fā)現(xiàn)的問題，對共性情況進(jìn)行分析說明，并提出安全防護建議，為促進(jìn)山西省工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定發(fā)展提供參考。

工業(yè)互聯(lián)網(wǎng)；新基建；網(wǎng)絡(luò)安全

1 背景概述

自2017年國務(wù)院發(fā)布《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》以來，關(guān)于工業(yè)互聯(lián)網(wǎng)的政策密集出臺，從2018年“發(fā)展工業(yè)互聯(lián)網(wǎng)平臺”首次寫入政府工作報告，到2019年政府工作報告明確提出“打造工業(yè)互聯(lián)網(wǎng)平臺，拓展‘智能﹢’為制造業(yè)轉(zhuǎn)型升級賦能”，再到2020年“發(fā)展工業(yè)互聯(lián)網(wǎng)，推進(jìn)智能制造”，進(jìn)入2021年，“工業(yè)互聯(lián)網(wǎng)”第四次寫入政府工作報告，2021年1月13日工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃（2021-2023年）》，提出了五方面、11項重點行動和10大重點工程，充分顯示出國家對工業(yè)互聯(lián)網(wǎng)助力制造業(yè)高質(zhì)量發(fā)展的重視程度[1-4]。

2018年8月，山西省人民政府印發(fā)了《山西省人民政府關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的實施意見》，山西省正處在智能制造加速發(fā)展，產(chǎn)業(yè)轉(zhuǎn)型升級的關(guān)鍵時期，迫切需要加強工業(yè)互聯(lián)網(wǎng)安全防護能力建設(shè)[5]。2021年3月，山西省通信管理局、山西省工業(yè)和信息化廳聯(lián)合印發(fā)《關(guān)于試行開展山西省工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分級分類管理工作的通知》，通過試行開展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理工作，進(jìn)一步完善分類分級規(guī)則標(biāo)準(zhǔn)、定級流程，提升工業(yè)互聯(lián)網(wǎng)安全防護能力。構(gòu)造線上線下全面安全體系，打造本地工業(yè)控制系統(tǒng)安全保障體系，提升省內(nèi)工業(yè)安全可控水平。

2 山西省工業(yè)互聯(lián)網(wǎng)安全分析

根據(jù)《山西互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告（2020）》數(shù)據(jù)，對暴露在互聯(lián)網(wǎng)上的核心聯(lián)網(wǎng)工控設(shè)備、聯(lián)網(wǎng)智能監(jiān)控設(shè)備情況進(jìn)行分析，發(fā)現(xiàn)其分布情況。并對山西省煤炭行業(yè)的聯(lián)網(wǎng)資產(chǎn)網(wǎng)絡(luò)安全情況進(jìn)行梳理，分析聯(lián)網(wǎng)設(shè)備類型和Web系統(tǒng)安全漏洞威脅情況[6]。

2.1 核心聯(lián)網(wǎng)工控設(shè)備情況

對山西省聯(lián)網(wǎng)核心工控設(shè)備常用通信協(xié)議及端口（例如S7comm、Modbus、BACnet、Fox等）進(jìn)行識別分析，共發(fā)現(xiàn)山西省聯(lián)網(wǎng)核心工控設(shè)備36例，其中忻州和長治聯(lián)網(wǎng)核心工控設(shè)備最多。資產(chǎn)統(tǒng)計分析如圖1所示。

圖1 山西省聯(lián)網(wǎng)核心工控設(shè)備按地域分布情況

2.2 智能監(jiān)控設(shè)備

通過探測分析，發(fā)現(xiàn)山西省聯(lián)網(wǎng)智能監(jiān)控設(shè)備24963例，按地市統(tǒng)計，排在前三位的地市分別是太原、長治、呂梁，如圖2所示。

圖2 山西省智能監(jiān)控設(shè)備按地市分布統(tǒng)計

2.3 山西省煤炭企業(yè)安全態(tài)勢分析

針對山西省煤炭行業(yè)的聯(lián)網(wǎng)資產(chǎn)網(wǎng)絡(luò)安全情況進(jìn)行分析，發(fā)現(xiàn)排名前三的聯(lián)網(wǎng)設(shè)備分別是數(shù)據(jù)安全設(shè)備、路由器、交換機，具體情況如圖3所示。其中攝像頭等物聯(lián)網(wǎng)設(shè)備部署在生產(chǎn)和辦公的網(wǎng)絡(luò)環(huán)境中，一旦受控，將使工業(yè)控制系統(tǒng)面臨“一點突破、全網(wǎng)皆失”的風(fēng)險。

圖3 設(shè)備類型統(tǒng)計圖

對Web系統(tǒng)漏洞危險等級狀況進(jìn)行分析，發(fā)現(xiàn)51個系統(tǒng)存在329個安全漏洞，其中高危漏洞32個、中危漏洞134個、低危漏洞163個，漏洞危險等級情況如圖4所示。

圖4 WEB系統(tǒng)漏洞等級占比圖

3 山西省工業(yè)互聯(lián)網(wǎng)安全共性問題分析

3.1 網(wǎng)絡(luò)安全相關(guān)制度體系基本建立，安全主體責(zé)任落實參差不齊

工業(yè)互聯(lián)網(wǎng)相關(guān)單位基本建立健全了網(wǎng)絡(luò)安全管理體制機制，成立了網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，明確了安全責(zé)任部門和人員，并制定了網(wǎng)絡(luò)安全相關(guān)管理制度，但網(wǎng)絡(luò)安全管理落實程度參差不齊。部分企業(yè)日常網(wǎng)絡(luò)安全工作未有效開展，應(yīng)急處置和網(wǎng)絡(luò)威脅監(jiān)測發(fā)現(xiàn)、應(yīng)急處置機制較為簡單。

3.2 網(wǎng)絡(luò)安全管理不規(guī)范，重視程度不高

在企業(yè)內(nèi)部管理方面，企業(yè)網(wǎng)絡(luò)信息安全部門往往擔(dān)心承擔(dān)影響企業(yè)生產(chǎn)效率的責(zé)任，而未按規(guī)定設(shè)置相應(yīng)級別的安全策略，導(dǎo)致安全管理制度和實際安全防護工作“兩張皮”。企業(yè)網(wǎng)絡(luò)安全意識淡薄，普遍更加注重生產(chǎn)安全，工業(yè)互聯(lián)網(wǎng)安全建設(shè)未得到重視，認(rèn)為網(wǎng)絡(luò)安全建設(shè)投入大，效果不明顯，難以給企業(yè)帶來收益。缺乏配套資金支持，未及時部署安全措施，未形成系統(tǒng)建設(shè)、網(wǎng)絡(luò)監(jiān)測預(yù)警、運維防護、應(yīng)急響應(yīng)、有效處置等網(wǎng)絡(luò)安全管理機制。

3.3 網(wǎng)絡(luò)安全專職技術(shù)人員匱乏，應(yīng)用基礎(chǔ)技術(shù)薄弱

大多數(shù)工業(yè)企業(yè)網(wǎng)絡(luò)安全專職技術(shù)人員缺乏，專業(yè)技術(shù)水平不高，網(wǎng)絡(luò)安全部門的技術(shù)人員數(shù)量不足，對于網(wǎng)絡(luò)安全專業(yè)知識掌握不夠，分析和解決工業(yè)網(wǎng)絡(luò)安全問題能力較弱。一些企業(yè)雖配有網(wǎng)絡(luò)安全防護產(chǎn)品，但缺乏配置管理和技術(shù)應(yīng)用能力，存在購買了安全設(shè)備就能確保網(wǎng)絡(luò)安全的思想。

4 山西省工業(yè)互聯(lián)網(wǎng)安全防護建議

4.1 進(jìn)一步強化落實企業(yè)主體責(zé)任

工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)明確工業(yè)互聯(lián)網(wǎng)安全責(zé)任部門和責(zé)任人，按照《網(wǎng)絡(luò)安全法》的相關(guān)要求，落實網(wǎng)絡(luò)安全防護、關(guān)鍵信息基礎(chǔ)設(shè)施保護、用戶信息保護和數(shù)據(jù)安全等網(wǎng)絡(luò)安全防護管理，主動開展自主定級、安全建設(shè)、風(fēng)險評估、安全整改和應(yīng)急保障等工作，加大安全投入，部署有效安全技術(shù)防護手段，落實安全防護標(biāo)準(zhǔn)，有效應(yīng)對網(wǎng)絡(luò)安全風(fēng)險，保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運行，確保企業(yè)主體責(zé)任落實到位。

4.2 不斷完善工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系

積極探索工業(yè)互聯(lián)網(wǎng)設(shè)備、控制、網(wǎng)絡(luò)（含標(biāo)識解析系統(tǒng)）、平臺、數(shù)據(jù)等重點領(lǐng)域安全標(biāo)準(zhǔn)在山西的落地工作。堅持以工業(yè)互聯(lián)網(wǎng)安全防護為導(dǎo)向，推動標(biāo)準(zhǔn)的有效實施，形成比較系統(tǒng)的安全管理和技術(shù)標(biāo)準(zhǔn)規(guī)范體系。

4.3 提升企業(yè)網(wǎng)絡(luò)安全防護水平

企業(yè)需要增強網(wǎng)絡(luò)安全意識，強化網(wǎng)絡(luò)安全管理體制機制和技術(shù)手段建設(shè)，在網(wǎng)絡(luò)安全設(shè)備、控制、網(wǎng)絡(luò)、平臺、數(shù)據(jù)安全等方面加強自身安全防護能力建設(shè)，切實做好日常網(wǎng)絡(luò)安全防護工作，強化網(wǎng)絡(luò)安全教育培訓(xùn)，提升工業(yè)互聯(lián)網(wǎng)本質(zhì)安全。

4.4 工業(yè)互聯(lián)網(wǎng)組網(wǎng)規(guī)劃需遵循網(wǎng)絡(luò)安全三同步原則

在工業(yè)互聯(lián)網(wǎng)信息系統(tǒng)生命周期中，網(wǎng)絡(luò)與信息安全要實現(xiàn)“同步規(guī)劃”、“同步建設(shè)”、“同步使用”。只有落實“三同步”，在項目規(guī)劃、建設(shè)階段中強化落實安全要求，才能避免在后期的運營/使用階段進(jìn)行安全整改導(dǎo)致的業(yè)務(wù)風(fēng)險大、改造難度大、投入成本高、耗時、耗力等問題，有效形成信息系統(tǒng)的安全防護能力，為做好后續(xù)運維工作打下基礎(chǔ)。

4.5 加強工業(yè)APP管理和技術(shù)檢測

要強化針對工業(yè)APP及工業(yè)智能終端設(shè)備的定向防護措施，要建立基于工業(yè)行業(yè)APP安全開發(fā)基線和監(jiān)測評估體系，讓安全防護工作貫穿工業(yè)APP的全生命周期。同時在工業(yè)APP上線前對其進(jìn)行安全評估和檢測，針對平臺分層部署安全防護措施；在APP上線后，建立風(fēng)險評估、安全審計等機制，保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運行。

4.6 強化工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)全生命周期管理

加強工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全生命周期管理和防護，包括數(shù)據(jù)收集、傳輸、存儲、處理等全生命周期的各個環(huán)節(jié)，在數(shù)據(jù)用途、數(shù)據(jù)加密、訪問控制、業(yè)務(wù)隔離、接入認(rèn)證、數(shù)據(jù)脫敏等方面加強防護措施，建立工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理體系，加強工業(yè)互聯(lián)網(wǎng)重要數(shù)據(jù)安全監(jiān)測和管理，完善重大工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)泄露事件觸發(fā)響應(yīng)機制。

4.7 加強對工業(yè)互聯(lián)網(wǎng)新技術(shù)應(yīng)用的安全監(jiān)測能力建設(shè)

加強對新技術(shù)在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的應(yīng)用場景分析、安全風(fēng)險分析。加強對物聯(lián)網(wǎng)安全監(jiān)測能力建設(shè)，統(tǒng)籌考慮物聯(lián)網(wǎng)（含車聯(lián)網(wǎng)）與工業(yè)互聯(lián)網(wǎng)在資產(chǎn)發(fā)現(xiàn)、安全監(jiān)測、處置等方面的融合分析，強化工業(yè)互聯(lián)網(wǎng)安全核心技術(shù)研究和應(yīng)用，推進(jìn)工業(yè)互聯(lián)網(wǎng)安全健康發(fā)展。

5 總結(jié)

發(fā)展工業(yè)互聯(lián)網(wǎng)已成為制造企業(yè)轉(zhuǎn)型升級的必然選擇，同時也是數(shù)字經(jīng)濟發(fā)展的重要部分。隨著大量工業(yè)設(shè)備泛在互聯(lián)，工業(yè)互聯(lián)網(wǎng)安全隱患日益凸顯。本文通過對發(fā)現(xiàn)的山西省工業(yè)互聯(lián)網(wǎng)安全情況進(jìn)行梳理，分析面臨的共性問題，有針對性地提出了安全防護建議，為加快推進(jìn)山西省工業(yè)互聯(lián)網(wǎng)安全技術(shù)應(yīng)用研究和保障能力建設(shè)提供參考。

[1]工業(yè)互聯(lián)網(wǎng)專項工作組. 關(guān)于印發(fā)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃（2021-2023年）》的通知[EB/OL]. http://www.gov.cn/zhengce/zhengceku/2021-01/13/content_5579519.htm.

[2]國家工業(yè)信息安全發(fā)展研究中心.2020年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢報告[R].2021.

[3]姚羽.“諦聽”工控網(wǎng)絡(luò)空間：進(jìn)展與思考[J].網(wǎng)信軍民融合，2017（04）：35-37.

[4]牛建偉.工業(yè)互聯(lián)網(wǎng)：基礎(chǔ)創(chuàng)新研究和關(guān)鍵技術(shù)亟待突破[J].網(wǎng)絡(luò)安全和信息化，2020（12）：22-24.

[5]山西省人民政府辦公廳. 山西省人民政府關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的實施意見[EB/OL].http://www.shanxi.gov.cn/sxszfxxgk/sxsrmzfzcbm/sxszfbgt/flfg_7203/szfgfxwj_7205/201808/t20180830_473656.shtml.

[6]國家計算機網(wǎng)絡(luò)與信息安全管理中心山西分中心.山西互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告（2020）[R].2020.

國家242信息安全計劃基金項目（2018A119）