工业转型,其实缺少一道“防火墙”。如今,工业互联网已进入发展快车道,但安全问题却给工业互联网原本晴朗的天空蒙上了一层乌云。上个月,美国最大成品油管道运营商Colonial Pipeline因一次勒索软件攻击,致使燃油管道系统被迫关闭,并且让美国17个州及华盛顿特区一度进入紧急状态,被迫支付440万美元的赎金以恢复系统正常;日本相机大厂富士胶片遭勒索软件攻击,使部分系统受到影响。有些据点的所有通信,包括电子邮件和经由网络系统打入的电话都受到了不同程度的影响。而国内,许多企业也受到了不同程度的安全威胁。
轰动一时的三一重工泵车失踪案,因无法传递设备工况数据与正常锁机,导致三一重工技术研发和售后服务大受影响,更有大量客户恶意拖欠该公司货款,失联泵车价值高达10亿元;台积电三大制造厂区因电脑大规模勒索病毒现象,造成约17.6亿元的营收损失。在华为安全架构师王雨晨看来,无论国内企业还是国外企业,勒索软件,蠕虫,挖矿、APT等是最主要的高级安全攻击且是威胁最大的。其中,勒索软件是目前最常见的安全威胁手段。
显然,工业互联网安全问题已成为工业企业发展过程中必要的考虑因素。
安全或成工业互联网最大“绊脚石”
网络是基础,安全是保障,平台是核心。工业互联网是新一代信息通信技术与制造业深度融合所形成的新兴业态与新模式。
自2018年,工业互联网被首次写入政府工作报告,到2020年被划定为新基建的重要组成部分,经过三年时间,工业互联网已进入发展快车道。据赛迪顾问数据显示,2020年,中国工业互联网市场规模总量达到6712.7亿元,同比增长10.4%。
新技术带来新机遇的同时,往往也会带来新问题。由于工业互联网中各种设备互联,设备种类多,漏洞后门资源多,攻击路径多,攻击性强,所以新问题主要聚焦在安全方面。
这与工业互联网与生俱来的特性相关,在浪潮工业互联网副总经理宋志刚看来,工业互联网先天具有的专业性、复杂性和技术起点高的特点,以及开放性和异构性的特性,加剧了其面临的安全风险。
图源:《2020年工业信息安全态势报告》
在工业互联网专有特点的基础上,百度相关负责人认为,工业互联网安全威胁事件频发是由于云计算、人工智能、大数据等技术仍处于不断创新和高速迭代阶段,工业互联网仍处于摸索阶段,诸如工业互联网安全等许多难题有待进一步攻克。目前,工业领域的网络攻击事件、工业设备、系统安全漏洞数量呈现逐年递增之势。
据《2020年工业信息安全态势报告》显示,工业领域因运营成本大、数据价值达、社会影响广成为了首要攻击目标,仅2020年工业相关勒索软件攻击事件就有33起,远超2017年至2019年两年的总合。
除去工业互联网专有特性和发展速度来看,华为安全架构师王雨晨认为,工业互联网安全和传统IT安全的差异也是安全威胁事件频发的重要原因。
首先,补丁、杀毒软件等侵入式安全技术不可实施,终端安全不可接受,漏洞处于开放状态;
其次,互联网是统一架构,而工业系统架构、业务类型、设备组合千差万别,通用的威胁情报作用很小;
再者,工业互联网系统是高度自动化,低交互的,基于安全专家的人工运维不可实施。
而且,工业互联网中一旦发生事情就是大事,事后处置的损失不可接受,安全手段也绝对不能在业务系统中造成新增故障点,不能引入“安全悖论”。
所以说,对于工业互联网安全来说,传统IT安全架构早已不适用,亟需构建新型的工业互联网安全架构。
百度相关负责人也表示,传统互联网时代,人们对网络安全习惯于采取“事后补救”的措施,而这些措施往往是“头痛医头、脚痛医脚”,不能彻底、全面地解决问题,也无法满足新型工业互联网的安全需求。
工业互联网不止网络和平台,安全也是重要的一环
停留在口头上的安全,也只是空中楼阁。虽然,安全威胁事件频发,但工业互联网的热度仍吸引了不少企业的入局。根据IDC中国工业互联网调研数据显示,80.3%的受访用户表示已经部署或计划在未来1~3年内部署工业互联网,包括传统制造企业海尔、美的等,互联网巨头BAT,新兴独角兽企业AI四小龙等,还有一些不起眼的小型企业。
据不完全统计,标识解析体系方面,我国已拥有5个国家顶级节点,90多个二级节点平台已上线,成为三级节点的企业超一万家;工业互联网平台方面,我国多层级工业互联网平台体系初步形成,国内已涌现出100余个工业互联网平台,其中跨行业跨领域平台达到15个;
工业APP方面,截至3月底,工业互联网平台连接工业设备总数达7300万台,工业App突破59万个。
虽然,目前在工业互联网领域我国已经取得了显著的成就。但是,三一重工泵车失踪案、台积电工厂大面积勒索病毒等事件也说明了企业在安全方面的严重缺失。
据相关调研数据显示,仅有36.5%的工业企业认为自己的工控系统遭受网络攻击的可能性很大,57.4%的企业认为基本不会,甚至有6.1%的受调研企业认为,自己完全不会遭到工控网络攻击。
六方云总裁李江力表示,这主要是源于各企业对工业互联网安全的认知水平不一,有的企业是经历了安全威胁之后才引起重视,有的企业是根据工信部下发的文件进行着安全实践,还有一批没有接入网络的小型企业并没有工业互联网安全方面的考虑。
李江力坦言,国内的工业互联网平台企业超过500家,这些平台企业在设计时都会有安全因素的考虑,但不同的平台对安全的理解、设计实现与投入都不一样,整体看,工业互联网平台的安全防护能力还需要提高。
虽然做的工业安全的企业多越来越多,但是参差不齐的安全认知水平现象愈发严重。现如今,从事工业互联网安全的企业,大部分只重视信息安全,侧重于政府、金融行业等传统领域,但是关于工业领域的生产保护,却很少有企业专注。
奇安信工业互联网安全事业部产品总监王弢这样说,从调研结果可以看出,表示非常重视工业互联网安全的企业,仅为40.9%。近六成的企业表示较少重视或完全不关心。这也成为了国内工业互联网安全建设始终发展较慢的重要原因之一。
“软”安全里的“硬”实力
目前,工业互联网安全究竟做的怎么样?经综合研判,数据显示,预计2020年我国工业信息安全市场增长率将达23.12%,市场整体规模将增长至122.81亿元。
图源:《2020-2021年度工业信息安全形势分析》
反观去年工业安全事件发生情况,据数据显示,我国2020年公开报道的工业信息安全事件约70件,装备制造、能源等行业为遭受网络攻击最严重领域,占比分别达到27%、22%;2020年新增工业控制系统安全漏洞数达682个,增长率为20%。其中高危漏洞272个,中危漏洞364个,中高危漏洞占比高达93.3%。