侯彬炳

“工業(yè)控制系統(tǒng)多應(yīng)用于國家關(guān)鍵基礎(chǔ)設(shè)施，一旦遭受網(wǎng)絡(luò)攻擊，會(huì)造成較為嚴(yán)重的損失。”近日，奇安信行業(yè)安全研究中心聯(lián)合工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實(shí)驗(yàn)室（以下簡(jiǎn)稱聯(lián)合實(shí)驗(yàn)室），發(fā)布了《2021工業(yè)互聯(lián)網(wǎng)安全發(fā)展與實(shí)踐分析報(bào)告》（以下簡(jiǎn)稱《報(bào)告》）。

根據(jù)《報(bào)告》的統(tǒng)計(jì)，2021年，Common Vulnerabilities & Exposures（CVE）、National Vulnerability Database（NVD）、中國國家信息安全漏洞共享平臺(tái)（CNVD）以及國家信息安全漏洞庫（CNNVD）國內(nèi)外四大漏洞平臺(tái)共計(jì)新收錄工業(yè)系統(tǒng)安全漏洞636個(gè)，較2020年的804個(gè)下降了20.9 %。但新增超高危漏洞明顯增加，達(dá)到16個(gè)，相較于2020年增長了166.7 %。總體而言，工業(yè)系統(tǒng)安全漏洞總數(shù)明顯下降，但超高危漏洞一旦被攻擊者利用可能造成的重大損失和嚴(yán)重后果，仍然不容小覷。

勒索軟件仍然是最大威脅，數(shù)據(jù)安全成為行業(yè)新痛點(diǎn)

在與工業(yè)互聯(lián)網(wǎng)相關(guān)的各個(gè)行業(yè)中，制造業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)最大，88.7 %的新增工業(yè)系統(tǒng)安全漏洞會(huì)對(duì)制造業(yè)產(chǎn)生影響。《報(bào)告》顯示，四大漏洞平臺(tái)收錄的工業(yè)控制系統(tǒng)安全漏洞多數(shù)分布在制造業(yè)、能源、水務(wù)、商業(yè)設(shè)施、石化、醫(yī)療、交通、農(nóng)業(yè)、信息技術(shù)和航空等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)。在636個(gè)漏洞中，有564個(gè)漏洞涉及到制造業(yè)，是占比最高的行業(yè)，其次是能源行業(yè)，漏洞數(shù)量高達(dá)508個(gè)。對(duì)比2020年數(shù)據(jù)，制造業(yè)和能源行業(yè)的工業(yè)安全建設(shè)仍然是需要關(guān)注的重點(diǎn)。

從應(yīng)急響應(yīng)形勢(shì)層面分析，2021年，奇安信安服團(tuán)隊(duì)共處置國內(nèi)的網(wǎng)絡(luò)安全事件1 097起，與工業(yè)互聯(lián)網(wǎng)相關(guān)的安全事件90起，占比8.2 %。在這90起安全事件中，46.7 %發(fā)生在制造業(yè)。值得注意的是，勒索事件在奇安信安服團(tuán)隊(duì)處置的90起應(yīng)急響應(yīng)事件中占比最高，達(dá)到了57.6 %。而《報(bào)告》針對(duì)勒索攻擊引發(fā)的工業(yè)互聯(lián)網(wǎng)應(yīng)急響應(yīng)事件進(jìn)行行業(yè)分析發(fā)現(xiàn)，制造業(yè)仍然占比最高，高達(dá)52.8 %。綜合上述數(shù)據(jù)來看，勒索軟件仍然是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全的最大威脅，制造業(yè)則深受其害。

此外，數(shù)據(jù)安全問題也是困擾工業(yè)互聯(lián)網(wǎng)發(fā)展的重要威脅，成為工業(yè)互聯(lián)網(wǎng)安全建設(shè)的新痛點(diǎn)。《報(bào)告》的數(shù)據(jù)顯示，根據(jù)應(yīng)急響應(yīng)事件的損失類型，直接與工業(yè)數(shù)據(jù)相關(guān)的事件占比達(dá)到了42.1 %，包括數(shù)據(jù)丟失（23.3 %）、數(shù)據(jù)損壞（11.1 %）、數(shù)據(jù)泄漏（4.4 %）、數(shù)據(jù)篡改（3.3 %）。另外，系統(tǒng)/網(wǎng)絡(luò)不可用（7.8 %）和破壞性攻擊（6.7 %）也會(huì)間接導(dǎo)致工業(yè)數(shù)據(jù)的安全問題。

《報(bào)告》分析指出，從統(tǒng)計(jì)數(shù)據(jù)來看，我國工業(yè)互聯(lián)網(wǎng)安全形勢(shì)依然嚴(yán)峻，特別是制造業(yè)的安全防護(hù)能力薄弱，安全事件高發(fā)。需要提高整個(gè)行業(yè)的安全防范意識(shí)，加強(qiáng)日常安全巡檢制度，定期對(duì)系統(tǒng)配置、網(wǎng)絡(luò)設(shè)備及安全策略進(jìn)行檢查，主動(dòng)發(fā)現(xiàn)目前系統(tǒng)、應(yīng)用存在的安全隱患，保障工業(yè)互聯(lián)網(wǎng)的安全穩(wěn)健運(yùn)行。

政策法規(guī)不斷完善，加速構(gòu)建工業(yè)互聯(lián)網(wǎng)發(fā)展新格局

“建立健全的工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系對(duì)網(wǎng)絡(luò)安全建設(shè)具有重要的指導(dǎo)意義，也進(jìn)一步推進(jìn)了我國工業(yè)互聯(lián)網(wǎng)建設(shè)落地工作?！薄秷?bào)告》提到，2021年，《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃（2021-2023年）》《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理指南（試行）》《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)管理辦法》《中華人民共和國數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相關(guān)法律法規(guī)發(fā)布。

與此同時(shí)，2021年新發(fā)布了多項(xiàng)與工業(yè)互聯(lián)網(wǎng)安全相關(guān)的國家標(biāo)準(zhǔn)，包括《信息安全技術(shù)安全處理器技術(shù)要求》《信息安全技術(shù)惡意軟件事件預(yù)防和處理指南》《信息安全技術(shù)工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)要求和測(cè)試評(píng)價(jià)方法》《工業(yè)自動(dòng)化和控制系統(tǒng)安全I(xiàn)ACS服務(wù)提供商的安全程序要求》在內(nèi)的多項(xiàng)國家標(biāo)準(zhǔn)發(fā)布，健全了我國工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系的建設(shè)，從而加快工業(yè)網(wǎng)絡(luò)安全建設(shè)工作的落實(shí)。

《報(bào)告》詳細(xì)列舉了2021年發(fā)布的政策法規(guī)和國家標(biāo)準(zhǔn)，2021年是“十四五”開局之年，我國工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展新格局加速構(gòu)建，政策法規(guī)和技術(shù)標(biāo)準(zhǔn)體系進(jìn)一步健全完善，展現(xiàn)出新型工業(yè)化進(jìn)程的強(qiáng)勁動(dòng)力和壯闊前景。

2021年，工業(yè)互聯(lián)網(wǎng)的發(fā)展延續(xù)了近幾年來的趨勢(shì)，正處在創(chuàng)新活躍期、戰(zhàn)略窗口期和關(guān)鍵發(fā)展期。結(jié)合奇安信在工業(yè)互聯(lián)網(wǎng)安全研究、建設(shè)和服務(wù)實(shí)踐中掌握的漏洞、安全威脅以及應(yīng)急事件等信息分析，《報(bào)告》總結(jié)了工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢(shì)，具體包含以下3個(gè)方面。

其一，工業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)日益高漲。針對(duì)數(shù)據(jù)層面的攻擊方式類型多樣，端口開放、漏洞未修復(fù)、接口未認(rèn)證等問題成為黑客便捷入侵的攻擊點(diǎn)，新一代信息技術(shù)應(yīng)用帶來新的數(shù)據(jù)安全風(fēng)險(xiǎn)；

其二，車聯(lián)網(wǎng)安全關(guān)注度顯著增加。車聯(lián)網(wǎng)安全風(fēng)險(xiǎn)日益凸顯，車聯(lián)網(wǎng)安全保障體系亟須健全完善，為此，奇安信成立了專注車聯(lián)網(wǎng)安全的星輿實(shí)驗(yàn)室，實(shí)驗(yàn)室致力于新四化（智能、網(wǎng)聯(lián)、電動(dòng)和共享）汽車安全研究，漏洞挖掘，滲透測(cè)試和攻防演練等工作；

其三，5G+工業(yè)互聯(lián)網(wǎng)安全能力亟需提升。網(wǎng)絡(luò)開放打破了傳統(tǒng)工業(yè)封閉的生產(chǎn)環(huán)境，帶來了包括技術(shù)融合帶來新風(fēng)險(xiǎn)、安全運(yùn)營能力不足帶來新風(fēng)險(xiǎn)、數(shù)據(jù)采集難度增加、供應(yīng)鏈安全能力不足、亟需加快國產(chǎn)化進(jìn)程在內(nèi)的諸多安全挑戰(zhàn)。

此外，《報(bào)告》還選取2021年奇安信安服團(tuán)隊(duì)處理過的具有代表性的工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)事件典型案例、2021工業(yè)互聯(lián)網(wǎng)安全重大事件、2021年新公開工業(yè)互聯(lián)網(wǎng)超高危漏洞及相關(guān)防護(hù)解決方案。

綜合上述內(nèi)容，可以看到《報(bào)告》從工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)、政策法規(guī)建設(shè)與發(fā)展、典型案例及安全發(fā)展趨勢(shì)等層面，深度還原了工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀和發(fā)展變化趨勢(shì)，為網(wǎng)絡(luò)安全企業(yè)、工業(yè)互聯(lián)網(wǎng)相關(guān)行業(yè)的安全建設(shè)提供了一定的參考價(jià)值。