9月5日,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。本次调查发现,在近年里,美国国家安全局下属的“特定入侵行动办公室”(以下简称“TAO”)对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,包括:网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等,窃取了超过140GB的高价值数据。
TAO利用其网络攻击武器平台、“零日漏洞”(0day)及其控制的网络设备等,持续扩大网络攻击和范围。经技术分析与溯源,技术团队现已澄清TAO攻击活动中使用的网络攻击基础设施、专用武器装备及技战术,还原了攻击过程和被窃取的文件,掌握了美国NSA及其下属TAO对中国信息网络实施网络攻击和数据窃密的相关证据,涉及在美国国内对中国直接发起网络攻击的人员13名,以及NSA通过掩护公司为构建网络攻击环境而与美国电信运营商签订的合同60余份,电子文件170余份。
工控环境的网络攻击事件频频发生
近年来,除了办公环境网络攻击事件层出不穷之外,工控环境的网络攻击事件也频频发生,信息安全问题日趋严峻,利用勒索软件进行工控网络攻击更是屡见不鲜。
2018年8月,世界500强的半导体制造公司台积电生产园区电脑遭大规模勒索病毒“wanna cry”入侵,导致新竹、台中、台南三大生产基地全线停工,损失高达17.4亿元。
2020年2月,美国一家天然气管道运营商,在遭到勒索软件攻击后关闭压缩设施达两天之久。据悉,攻击从钓鱼邮件内的恶意链接发起, 从其IT网络渗透到OT网络。勒索软件对IT和OT资产都造成了影响,损失巨大。
2020年5月,瑞士铁路机车制造商Stadler披露数据泄露,遭遇黑客窃取公司数据。攻击者破坏了公司的IT网络,并在其中一些计算机上部署了恶意软件,这些恶意软件用于从受感染设备中窃取数据,并以公开数据为威胁,勒索巨额赎金。
2020年9月,顶象洞见安全实验室发现某工控头部厂商多款工业交换机存在高危漏洞,并第一时间上报CNNVD和CNVD。利用这些高危漏洞,黑客能够远程窃取网络传输的工控指令、账户密码等敏感信息,并直接对联网工控设备下达停止、销毁、开启、关闭等各种指令。据统计,至少有17款该厂商的设备产品受影响。
IEC62443对工业控制系统信息安全的定义是:“为保护系统而采取的措施;通过建立和维护保护系统的措施获得的系统状态;避免对系统资源的未经授权的访问以及未经授权或意外的更改、破坏或丢失;基于计算机系统的能力,可以保证未授权的人员和系统既不能修改软件及其数据,也不能访问系统功能,但保证授权的人员和系统不被阻塞;防止对工业控制系统的非法或有害入侵或干扰其正确和有计划的操作。”
随着工业自动化系统的发展,工业控制系统的信息安全技术也得到了长足的发展。未来,工业控制系统的信息安全技术将进一步利用传统的IT技术,使其更加智能化、网络化,成为控制系统不可或缺的一部分。
工控安全法规政策梳理
工信部网络安全管理局一级巡视员周少清近日表示:工信部将加强数据安全工作的系统布局谋划,抓好数据安全监管体系建设,制定出台工信领域数据安全管理制度,健全完善数据分类分级、重要数据保护、风险评估、应急管理等重点管理机制,发展好数据安全产业,为国家数据安全保障提供有力支撑。
我国工控安全领域的法规政策主要包括国家、产业、行业三个层面:
国家层面
从国家层面来看,工控安全法规多是通过具体法律、条例中的规章,以管理维度要求工业生产企业在信息化过程中需要注意的事项。
1、网络安全法
2017年,我国颁布《中华人民共和国网络安全法》,标志着我国网络安全建设有法可依。《网络安全法》中,关键信息基础设施作为独立一节,体现了我国对关键信息基础设施的重视。而工业网络、工业系统承担着国家安全、国计民生、公共利益的职责,因此被认为是关键信息基础设施的一部分。
2、数据安全法与个人信息保护
《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,对关键信息基础设施运行过程中所产生的业务数据、个人隐私数据、运行数据等做出细化的防护规定。
3、网络安全等级保护制度2.0
2019年,网络安全等级保护制度2.0标准正式发布并实施。在《GBT22239-2019信息安全技术网络安全等级保护基本要求》中,除安全通用要求外,还提出了工业控制系统安全扩展要求,通过分析OT网络与IT网络的区别,进行了针对安全防护要求。
等保2.0的安全扩展要求主要针对于生产管理层、过程监控层、现场控制层和现场设备层。其中生产管理层和过程监控层注重对网络通讯和网络隔离进行要求,现场控制层和现场设备层作为OT网络的主体,包含了从设备、到资产再到网络通讯的全方位安全要求。
4、关键信息基础设施保护条例
2021年9月1日,《关键信息基础设施安全保护条例》(以下简称“条例”)实施,定义了从国家网信部门统筹,公安部监督,各级人民政府、各行业主管单位配合的监管体系。
《条例》细化了《网络安全法》中对关键信息基础设施的要求。《条例》更注重的是从架构层面的建设问题,要求工控企业具备的基本能力,并明确了如果没有达到要求时相应的处罚。这些要求及能力如何具体落地,工业企业还需根据等保2.0相关标准进行执行。
产业层面
从产业层面看,产业主管部门基于国家法律规定,将工控安全要求细化成可落地建设的指南,对在安全技术应用、实现防护要求的具体方法进行指导,并依据指导意见建立考核点,以检查落地的成效。
2011年10月,工信部发布关于工业控制安全的《关于加强工业控制系统信息安全管理的通知》(以下简称“《通知》”),从四个方面提出工控安全建设要求:加强对工业安全重要性的认识;落实工控安全中的六项管理要求;建立健全工控安全监管机制;强化工控系统安全组织领导工作。
2016年10月,工信部印发《工业控制系统信息安全防护指南》,从十一个方面要求工控企业做好安全防护工作。《工业控制系统信息安全防护指南》给出了第一个细化的工控安全落实管理、技术架构。《指南》共十一条,对工业系统的安全建设从管理、技术、应急处置、设备资产管理等多方面进行了建议。
2017年,工信部办公厅发布了“工业和信息化部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知“,旨在检验《工业控制系统信息安全防护指南》的实践效果。在通知中,同时发布了《工业控制系统信息安全防护能力评估方法》,工信部、各行业单位将依照《评估办法》对部分工控安全企业进行检查。
2020年2月,工信部印发《工业数据分类分级指南(试行)》,要求工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。企业的研发数据、生产数据、运维数据、管理数据、外部数据需要进行分类处理,并依据一旦遭到篡改、破坏、泄露或分发利用后可能产生的潜在影响进行分级处理。
行业层面
从行业层面看,主要包括能源、电力、交通运输、生产制造等,由于工业领域各行业安全现状有所不同,各工业系统的安全需求具备差异化,因此各行业主管部门均在根据自身情况,推进行业内的工业安全建设指导,并形成行业标准。
如何提升工业信息安全等级?
如何应对工业领域存在的更为严峻的安全威胁?
业内专家表示,首先,要建立健全的数据共享与保护制度,对进行数据共享的企业给予政策上的倾斜,对破坏合法数据共享的行为进行处罚;第二,要建立完善的行业技术标准,规范安全性测试度量体系;第三,要构筑基于内生安全技术的设备与服务生态,能够为新生行业,升级转型行业,提供信息安全与网络安全保障;第四,要加强对设备操作人员、管理人员等安全技能基础培训力度,强化安全意识与安全防护技能。
为加强我国整体的工控安全实力,政府层面应该不断加强对工业控制领域安全法律、法规的建设,同时国内的技术厂商应该借助新一轮IT发展浪潮,提升工控安全技术的自主研发创新能力,为企业的工业控制应用保驾护航。制造行业用户也应加快制定“未来信任”战略,根据业务发展的不同阶段落实策略与方案的部署,助力IT与OT融合,促进业务的快速发展。相信随着相关政策标准的推出,技术、产品和解决方案的不断完善,我国工控安全市场会不断发展,整个工控安全行业也会愈加成熟。