新形勢下我國工業領域關鍵信息基礎設施安全保護工作實踐與探討
責編:gltian |2023-11-23 13:57:35工業領域關鍵信息基礎設施是國家重要的戰略資源,關系國家安全、國計民生和公共利益,具有基礎性、支撐性、全局性作用,是國家網絡安全工作中的重中之重。在《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)正式施行的兩年時間里,我國深入貫徹落實了《條例》的有關要求,積極推進相關研究部署和實踐探索,加快提升我國工業領域關鍵信息基礎設施的安全保護能力。與此同時,我們也要深刻認識到,我國工業領域關鍵信息基礎設施安全保護工作仍然任重道遠,在新形勢下面臨新問題和新挑戰,短板和弱項仍然突出,亟需加強統籌規劃和體系布局,做好把脈問診、把控源頭、筑牢根基、夯實基礎,加快推進安全保障體系的建設,為構筑新型工業化發展新格局夯實底座基石。
一、新形勢下工業領域關鍵信息基礎設施安全保護工作的重要性
工業領域關鍵信息基礎設施(簡稱“工業關基”)是指在工業生產制造中,一旦遭到破壞、喪失功能或者數據泄漏后,可能嚴重危害國家安全、國計民生和公共利益的關鍵信息基礎設施。從存在形態上,工業關基主要以工業控制系統為核心,同時也包括工業互聯網平臺、5G 網絡基礎設施、云計算中心、工業大數據中心等承載工業領域核心業務的重要設施和信息系統。從業務特點來看,工業關基分布廣泛、業務要求高,與國計民生關系密切。作為制造業大國,我國在工業領域擁有大量投資價值高、社會影響廣泛、業務運行重要的關鍵信息基礎設施。研究顯示,超過 80% 的國家關鍵信息基礎設施和智慧城市業務系統依賴以工業控制系統為核心的工業關基作為支撐。因此,如何保障工業關基安全已成為工業領域網絡安全工作亟待解決的首要任務。
(一)國際社會紛紛強化工業領域關鍵信息基礎設施安全保護
美國、歐洲、俄羅斯等國家和地區已先后將關鍵信息基礎設施安全保護提升到國家戰略的高度。以美國為例,他們已相繼發布了戰略方針、行政命令、實施指南等不同層級的政策管理文件,建立了多部門協同管理工作機制,并持續增加對關鍵信息基礎設施網絡安全的投入。2013年,美國頒布了《第 21 號總統政策指令》(PPD-21),針對化工、關鍵制造業、能源等重要工業領域的關鍵信息基礎設施提出了具體的安全要求。之后,他們又陸續發布了《化工行業網絡安全框架實施指南》《關鍵制造業部門網絡安全框架實施指南》《能源行業網絡安全多年計劃》等文件。2018 年,美國能源部(DOE)新設立了網絡安全、能源安全和應急響應辦公室(CESER),負責處理能源關鍵基礎設施網絡安全問題。2022 年,拜登政府簽署的《2022 年關鍵基礎設施網絡事件報告法案》明確了能源、制造業、化工等16個工業領域的相關行業部門的管理職責。俄羅斯也積極加強關鍵領域網絡安全保護,2022 年 3 月,普京簽署了第 166 號總統令《確保俄羅斯聯邦關鍵信息基礎設施技術獨立和安全的措施》,明確禁止在未經政府相關機構授權的情況下為國家關鍵基礎設施部門采購外國軟件,以強化對關鍵信息基礎設施領域的保護。2022 年 5 月,歐盟議會和歐盟成員國就《關于在歐盟范圍內實施高水平網絡安全措施的指令》達成協議,旨在加強電力、區域供熱和制冷、石油、天然氣、航空、鐵路、水利和公路,以及計算機及電子、機械設備、汽車制造等十類基礎實體和六類重要實體的安全保護。
(二)我國工業領域關鍵信息基礎設施安全保護工作有序推進
在法規層面,2021 年 9 月正式施行的《關鍵信息基礎設施安全保護條例》,明確了關鍵信息基礎設施安全保護的監督管理工作機制以及關基運營者的責任和義務。同時,該條例也對網絡安全監測、檢測、風險評估、預警通報和響應處置等方面提出了明確要求。2022 年 2 月,《網絡安全審查辦法》正式施行,明確要求對關基運營者采購的網絡產品和服務進行網絡安全審查,以確保關鍵信息基礎設施供應鏈的安全。在政策層面,工業和信息化部陸續發布了《工業控制系統信息安全防護指南》《關于加強工業互聯網安全工作的指導意見》《工業和信息化領域數據安全管理辦法(試行)》等系列文件,旨在提升工業領域的網絡安全和數據安全保障能力。
此外,在標準層面,國家標準《信息安全技術關鍵信息基礎設施安全保護要求》(GB/T 39204-2022)于 2023 年 5 月正式實施,加快了工業領域網絡安全、數據安全標準體系以及重點標準的制定。
由于工業領域關鍵信息基礎設施的安全與國家安全、國計民生和公共利益密切相關,因此迫切需要加強工業領域關鍵信息基礎設施的安全保護,構筑完備的安全保障能力。
二、新形勢下工業領域關鍵信息基礎設施安全保護的新問題、新要求
當前,我國正在加快推進新型基礎設施建設、數字化轉型和新型工業化進程。然而,在國家級對抗博弈加劇、工業領域安全事件頻發高發態勢下,我國工業領域關鍵信息基礎設施已成為網絡攻擊的重點目標,我國亟需解決體系建設不完善、安全防御技術短板突出以及綜合保障能力薄弱等關鍵難題。
(一)工業領域關鍵信息基礎設施已成為網絡攻擊重災區,攻擊對其造成的影響大且后果嚴重
當前,全球工業領域網絡安全事件高發頻發,工業領域已成為網絡攻擊的主要目標。據有關監測數據顯示,2022 年我國工業領域受到的各類網絡安全攻擊超過 7975 萬次,同比增長超過 23.9%。同時,網絡攻擊已滲透到工業領域關基的物理世界,其破壞效應呈指數放大,極易引發系統性的重大風險。一方面,網絡攻擊可造成巨大的經濟損失。例如,2023 年 2 月,美國應用材料公司受勒索攻擊,造成的經濟損失高達 2.5 億美元。同年 6 月,賓士域集團遭受勒索攻擊,損失超過 7000 萬美元。另一方面,以鋼鐵、電力、石油石化等為代表的工業關基一旦遭遇勒索攻擊,可能導致關鍵的生產和生活用品供應中斷、大量產線癱瘓停擺,核心數據泄漏,甚至引發大規模斷水、斷電、斷氣、火災和爆炸,嚴重擾亂公共秩序、威脅產業和戰略資源安全以及國家安全。例如,2019 年,委內瑞拉發生了大規模斷電事件和南美五國大規模停電事件,不僅導致關鍵基礎設施服務失靈,還引發了社會恐慌和國家政權動蕩。另外,2021 年 5 月 7 日,美國最大成品油管道運營商科洛尼爾管道運輸公司遭到網絡攻擊,導致美國東部沿海主要城市的輸送油氣的管道系統被迫下線,影響了美國東部 45% 的燃料供應。2023 年 7 月,名古屋港遭受勒索攻擊事件,不僅導致港口貨運中斷和運營停滯,還嚴重干擾了日本全國的貨物流通。
尤其是在大國博弈日趨激烈,集團對抗日漸凸顯,戰爭風險不斷升高的背景下,針對關鍵基礎設施的全方位攻擊不斷發生并持續升級。關鍵基礎設施已成為地緣政治博弈的新前線。關鍵信息基礎設施的安全問題日益成為國家安全治理中至關重要的問題,并成為國家安全角力的新領域。根據媒體報道及相關資料顯示,在俄烏沖突中,美國及其盟國組織了國家級黑客組織并謀劃了一系列攻擊活動,以分布式拒絕服務攻擊、釣魚欺詐、漏洞利用、供應鏈攻擊以及偽裝成勒索軟件的惡意數據擦除攻擊等多種“網絡武力”手段,持續對俄羅斯及白俄羅斯的鐵路系統、重要物流網絡等實施網絡攻擊。同時黑客組織“匿名者”(Anonymous)在官方 Twitter 發布了涉及超過 900 個俄羅斯工業控制系統在公網上的暴露情況,將其作為攻擊目標,給俄羅斯關鍵領域的生產和運營帶來了巨大危害。
(二)工業領域關鍵基礎設施安全短板弱項突出,難以抵御高水平定向攻擊
一是我國工業領域關鍵信息基礎設施在網絡安全方面存在眾多“軟肋”。當前,在我國工業控制系統大規模上云的背景下,“安全上云”的技術手段嚴重不足。這為網絡攻擊在“云”和“終端”兩側進行雙向傳導提供了新通道:病毒植入和滲透入侵。攻擊者可以通過互聯網或工業云平臺侵入關鍵工控系統,也可利用工控系統內的智能設備滲透進入工業云平臺。此外,隨著“5G+工業互聯網”廣泛應用和 5G 全連接工廠建設的加速,工廠網絡已由封閉向開放轉變。然而,工業企業普遍缺乏對多樣化、海量工業設備接入網絡的安全防護管理,難以抵御網絡攻擊的入侵。另外,廣泛應用于工業現場的工業級 PDA、工業智能網關等多種智能設備,在研發設計之初通常缺乏安全性考慮,存在漏洞和后門等安全隱患,因而很難有效抵御網絡攻擊。
二是工業領域關鍵信息基礎設施安全保障基礎薄弱。一方面,我國工業關基產品部分依賴進口,其技術和產品的網絡安全無法得到保障。比如,目前我國大量依賴進口的工業基礎軟件、研發設計軟件、生產控制軟件、工業嵌入式軟件等,以及重點行業使用的數據采集與監視控制系統(SCADA)、可編程邏輯控制器(PLC)、分散控制系統(DCS)等,國內市場被大部分國外產品占據。在供應鏈全球化趨勢下,利用企業外部合作伙伴、供應商或第三方服務機構發起的供應鏈攻擊已成為一種新型網絡威脅。工業產品生產環節預留后門、在開發工具及協議棧等基礎軟件植入惡意代碼或后門程序、利用工業產品漏洞實施遠程設備控制或拒絕服務攻擊等重大網絡安全事件屢見不鮮,工業關基源頭安全問題短期內難以得到改善。另一方面,工業網絡安全技術產品對外依賴仍然很高。當前,我國依托工業互聯網網絡安全保障體系建設,正在探索構建覆蓋威脅識別、攻擊防御、響應恢復等全生命周期的工業領域網絡安全技術產品體系。但深入分析發現,相關網絡安全產品使用的關鍵軟硬件技術、核心零部件等,比如 CPU、內存、操作系統、數據庫等組件仍依賴國外現成的技術和產品。工業領域網絡安全作為做好新型工業化網絡安全保障的基礎前提,一旦自身引入后門或安全漏洞,非但起不到安全防護作用,反而可能成為新的攻擊突破口。此外,我國尚未完全掌握工業領域網絡安全防御決策的核心主導權。比如,漏洞庫、檢測規則庫、威脅情報等規則是漏洞掃描、入侵檢測、工業防火墻等典型網絡安全技術產品的防御決策依據,對技術產品能力起到決定性的作用。近年來,美國對我國實施的網絡安全審查、供應商評定、風險評估等一系列供應鏈管控不斷加碼,管控行為已滲透擴張至網絡安全領域。奇虎 360、美亞柏科等網絡安全公司被美國納入技術產品出口管控實體清單,對我國網絡安全產業實施打壓遏制,不利于我國網絡安全技術產品發展。
(三)工業領域關鍵基礎設施安全保護面臨全新挑戰
一是新形勢下的工業領域網絡安全管理體系亟待優化。目前,我國工業領域關鍵信息基礎設施保護工作仍處于起步和探索階段,尚未構建起適應發展需求的管理體系,工業領域關基保護措施體系性不足。一方面,在關鍵信息基礎設施認定方面,缺乏有效的行業配套政策指導文件。由于工業領域行業眾多,運行狀態和防護需求存在較大差異,實施過程中容易出現運營者對要求認知不足、理解不一致、工作落實不到位等問題。另一方面,在新型工業化的推進下,工業企業往往跳出傳統單一供需關系,形成深度融合的發展局面。傳統的工業領域網絡安全責任界定理念“誰建設誰負責、誰運行誰負責”的安全管理思路將難以適應新形勢下的安全管理需要。
二是新技術加速融合應用,挑戰既有工業關基安全防御思路。一方面,新型網絡攻擊技術持續演變,工業領域的攻防對抗加劇,“易攻難守”的局面更加突出。工業領域關鍵信息基礎設施逐步呈現跨域互聯、融合開放的特點,以工業操作系統、智能機器人等為代表的工業生產系統智能化水平進一步提升,網絡安全風險也呈現出攻擊方式由單一到多樣、攻擊范圍由點到面、攻擊擴散速度呈指數級增長的發展態勢。另一方面,工業領域關鍵信息基礎設施的安全保護措施缺乏系統性。現有的安全防護思路的完備性、防護產品的成熟度和適配性都需要檢驗和提升,以滿足關基“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的安全需求。此外,新形勢下的網絡安全產品需要與企業的實際生產場景和安全場景融合,工業關基安全保障能力建設需要與工業建設同步發展。傳統的工業關基安全產品體系亟待從過去的零散、局部、被動建設轉變為以構建內在、體系化、主動有序為特點的安全體系建設。
總體來看,新形勢下工業領域關鍵信息基礎設施安全保護工作面臨時代賦予的更高挑戰。在外因方面,新技術、新模式、新業態構建了更為開放融合的安全生態,需要建立完善的網絡安全工作機制,以實現協同共治和服務供給的目標,提供與新形勢下發展需求相匹配的按需供給、智能主動的安全保護能力;在內因方面,部分工業基礎技術及其網絡安全技術產品仍存在受制于他人的問題,這在部署工業關基安全防線過程中形成了兩難困境:使用則存隱患,不使用則存在安全漏洞。這一問題亟待解決。
三、新形勢下工業領域關鍵信息基礎設施安全保護工作的新思路、新舉措
工業領域關鍵信息基礎設施是國家關鍵基礎設施和智慧城市業務系統的核心支撐。為了保障關鍵信息基礎設施安全,我們既要突破既有網絡安全防御定式,又要加速重構工業網絡安全管理生態,建設適用新時代新任務下的綜合安全保障體系。
一是把控供應鏈源頭,加速建設信息創新產業體系。基于我國工業生產制造種類全、信息化基礎良好的優勢,應加速構建工業領域信息創新產業體系,以確保工業關鍵信息基礎設施供應鏈源頭的安全。我們需要加快提升工業領域關鍵技術產品的創新能力,尤其是在高端制造和高科技產品領域進行重點突破,加快建立自主創新的產業體系。同時,我們應該開展試點示范,加快推動國產信息技術應用創新產業的關鍵技術和產品的規模化應用,探索在不同的生產制造門類和工業場景下可推廣、可復制的產品及解決方案,并在關鍵細分行業加速應用部署,以保障關鍵基礎設施的安全。
二是筑牢根基,大力提升工業領域關基的安全保障能力。在推進工業領域關鍵信息基礎設施識別認定管理的基礎上,“緊抓關鍵少數、謀求重點突破”,探索建立工業領域關鍵信息基礎設施網絡安全和數據安全監督檢查工作機制,推動常態化的安全檢查評估。以查促建、以查促防,持續加強安全保障能力建設。我們應加強工業領域安全檢測技術的研究和創新,加大在工業漏洞挖掘與分析、惡意軟件檢測清除、開源代碼安全檢測、工業情報智能分析、威脅檢測與動態預警等方面的資源投入。同時,我們還要加強對重點行業、關鍵場景下的工業關鍵信息基礎設施安全管理,加強工業關基產品的安全防御技術,部署安全審查、產品溯源、威脅監測等技術手段,研究并部署基于人工智能、商用密碼、區塊鏈、可信計算等安全技術的應用,以保障工業關基供應鏈的安全。
三是夯實基礎,建立適應時代需要的工業領域安全人才保障體系。針對工業領域關鍵信息基礎設施安全保護,應組織跨區域、跨行業的應急演練、攻防對抗、專項賽事等實戰化活動,按照分行業、分領域、抓重點的原則進行組織,開展實戰攻防演練,驗證各類網絡攻擊技術手段,還原真實的攻擊方式和現實情況。逐步將工業關基攻防演練工作納入重點工業企業管理制度和考核指標,定期組織實戰演練,切實檢驗和提升工業網絡勒索發現、監測與應急處置能力。通過“以賽促改、以賽促建”的方式,持續舉辦國家級、省市級的工業領域安全大賽,通過“全場景競賽、實際環境演練、安全眾測”等賽事活動,培養和選拔專業技能人才,解決行業人才緊缺的難題,打破企業人才輸出的壁壘。
(本文刊登于《中國信息安全》雜志2023年第9期)
來源:中國信息安全