随着互联网在工业领域的不断渗透,以及智能设备在各领域的广泛使用,工业控制系统的脆弱性正逐渐暴露出来:从2010年“震网”病毒攻击伊朗科工业控制系统开始,黑客从计算机为跳板的攻击正逐渐发展到直接攻击控制系统上,工控入侵从利用未公开漏洞的高难度攻击方式延伸到常规手段组合式攻击,甚至绕过工控底层知识的壁垒。
造成这种趋势一方面是工控产品更新换代周期长,制造企业的系统大多数已经运行了十几年还在服役,不像现在的传统信息产业,三两年就会更换硬件设备。工控系统以“可靠性”、“稳定性”为首要需求且采用大量的私有协议,软件难以及时升级、系统补丁兼容性差、发布周期长等问题,使得企业不具备及时处理严重威胁漏洞的能力。
另一方面,以云计算、大数据、人工智能为代表的新一轮科技革命正在孕育兴起,并以前所未有的速度和方式影响和改变着工业信息化进程。制造企业上云、工业互联网应用为首的转型升级模式,造成了制造企业业务应用的不断增长。不法分子利用在线网络攻击方式,例如通过成本更低的自动化工具展开撞库等攻击,窃取企业的关键数据。
众所周知,工业安全作为国家网络和信息安全的重要组成部分,是推动中国制造2025、制造业与互联网融合发展的基础保障。面对逐步开放和互联的工业控制网络,企业需要审查自身安全漏洞,建立更新的网络防护体系。因此,国家出台了一系列法律法规如《网络安全法》等指导制造企业进行安全防护工作,提升企业的安全防护能力,这其中就包括:
信息安全等级保护:在《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)中首次提出“计算机信息系统实行安全等级保护”概念后,2007年公安部等四部委共同制定《信息安全等级保护管理办法》(公通字[2007]43号),将企业信息系统的安全保护等级分为五级,出台《信息安全等级保护基本要求》(GB/T 22239-2008)明确对于各等级信息系统的安全保护基本要求。今年6月27日,公安部发布了《网络安全等级保护条例(征求意见稿)》,而这一新规也被业界普遍称为“网络安全等级保护2.0”。
工业控制系统信息安全防护指南:为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)文件精神,应对新时期工控安全形势,提升工业企业工控安全防护水平,2016年10月,工信部印发了《工业控制系统信息安全防护指南》,指导工业企业开展工控安全防护工作。
工信部“一网一库三平台”的要求:今年1月,工信部印发了《工业控制系统信息安全行动计划(2018—2020年)》加快我国工业控制系统信息安全保障体系建设,提升工业企业工业控制系统信息安全防护能力,促进工业信息安全产业发展。提出到2020年建成工控安全管理工作体系,全系统、全行业工控安全意识普遍增强,建成“一网一库三平台”。其中“一网”是指全国工控安全在线监测网络、“一库”是指工控安全应急资源库、“三平台”是指工控安全仿真测试平台、信息共享平台和信息通报平台。
关键信息技术设施安全防护条例:2017年7月11日,网信办发布了《关键信息基础设施安全保护条例(征求意见稿)》。关键信息基础设施(CII)安全保护制度作为《网络安全法》建立的若干信息网络安全制度中的核心和重中之重,早在2013年国家信息网络立法规划中就被认定为整个信息网络立法的最基础层。《保护条例》对CII范围、运营者安全保护义务、产品和服务安全、监测预警、应急处置和检测评估等一系列事项进行了详细的规定,构建了CII安全保护制度的具体框架。
值得一提的是,由于制造业覆盖行业众多,针对不同行业而言企业信息安全的防护重点与手段也不尽相同,因此国家和行业相关部门也先后出台了各自领域的安全防护标准化文件,例如为保障电力系统安全稳定运行,建立和完善电网、电厂计算机监控系统及调度数据网络的安全防护体系,先后发布了《电网和电厂计算机监控系统及调度数据网络安全防护规定》(中华人民共和国国家经济贸易委员会令第30号)、《电力二次系统安全防护规定》(国家电力监管委员会令第5号)、《电力监控系统安全防护规定》(中华人民共和国国家发展和改革委员会令第14号)、《电力监控系统安全防护总体方案》(国能安全【2015】36号)等。
对标这些合规性要求,企业可以理清究竟自身所处工控安全到底存在什么问题、有什么缺陷和风险、需要提高到什么样的水平。此外,一些重大专项例如工信部发布的“2018年工业互联网创新发展工程拟支持项目”和“2018年智能制造综合标准化与新模式应用拟立项项目”中,也对申报企业的工业安全作出了具体的要求,让工业安全合规成为企业迈向智能制造不可或缺的环节。