◆劉泳銳

山西省工業(yè)互聯(lián)網(wǎng)安全威脅分析及應(yīng)對(duì)措施

◆劉泳銳

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心 山西 030002）

近年來(lái)，隨著國(guó)家對(duì)工業(yè)互聯(lián)網(wǎng)發(fā)展支持力度的不斷加大，工業(yè)互聯(lián)網(wǎng)建設(shè)正在深度實(shí)施。工業(yè)互聯(lián)網(wǎng)能有效推動(dòng)產(chǎn)業(yè)數(shù)字化，帶動(dòng)數(shù)字產(chǎn)業(yè)化，助力山西省轉(zhuǎn)型升級(jí)發(fā)展。當(dāng)前山西省工業(yè)互聯(lián)網(wǎng)發(fā)展面臨一定的威脅和挑戰(zhàn)，通過(guò)總結(jié)監(jiān)測(cè)發(fā)現(xiàn)的問(wèn)題，對(duì)共性情況進(jìn)行分析說(shuō)明，并提出安全防護(hù)建議，為促進(jìn)山西省工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定發(fā)展提供參考。

工業(yè)互聯(lián)網(wǎng)；新基建；網(wǎng)絡(luò)安全

1 背景概述

自2017年國(guó)務(wù)院發(fā)布《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》以來(lái)，關(guān)于工業(yè)互聯(lián)網(wǎng)的政策密集出臺(tái)，從2018年“發(fā)展工業(yè)互聯(lián)網(wǎng)平臺(tái)”首次寫(xiě)入政府工作報(bào)告，到2019年政府工作報(bào)告明確提出“打造工業(yè)互聯(lián)網(wǎng)平臺(tái)，拓展‘智能﹢’為制造業(yè)轉(zhuǎn)型升級(jí)賦能”，再到2020年“發(fā)展工業(yè)互聯(lián)網(wǎng)，推進(jìn)智能制造”，進(jìn)入2021年，“工業(yè)互聯(lián)網(wǎng)”第四次寫(xiě)入政府工作報(bào)告，2021年1月13日工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃（2021-2023年）》，提出了五方面、11項(xiàng)重點(diǎn)行動(dòng)和10大重點(diǎn)工程，充分顯示出國(guó)家對(duì)工業(yè)互聯(lián)網(wǎng)助力制造業(yè)高質(zhì)量發(fā)展的重視程度[1-4]。

2018年8月，山西省人民政府印發(fā)了《山西省人民政府關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的實(shí)施意見(jiàn)》，山西省正處在智能制造加速發(fā)展，產(chǎn)業(yè)轉(zhuǎn)型升級(jí)的關(guān)鍵時(shí)期，迫切需要加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力建設(shè)[5]。2021年3月，山西省通信管理局、山西省工業(yè)和信息化廳聯(lián)合印發(fā)《關(guān)于試行開(kāi)展山西省工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分級(jí)分類(lèi)管理工作的通知》，通過(guò)試行開(kāi)展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類(lèi)分級(jí)管理工作，進(jìn)一步完善分類(lèi)分級(jí)規(guī)則標(biāo)準(zhǔn)、定級(jí)流程，提升工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力。構(gòu)造線(xiàn)上線(xiàn)下全面安全體系，打造本地工業(yè)控制系統(tǒng)安全保障體系，提升省內(nèi)工業(yè)安全可控水平。

2 山西省工業(yè)互聯(lián)網(wǎng)安全分析

根據(jù)《山西互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告（2020）》數(shù)據(jù)，對(duì)暴露在互聯(lián)網(wǎng)上的核心聯(lián)網(wǎng)工控設(shè)備、聯(lián)網(wǎng)智能監(jiān)控設(shè)備情況進(jìn)行分析，發(fā)現(xiàn)其分布情況。并對(duì)山西省煤炭行業(yè)的聯(lián)網(wǎng)資產(chǎn)網(wǎng)絡(luò)安全情況進(jìn)行梳理，分析聯(lián)網(wǎng)設(shè)備類(lèi)型和Web系統(tǒng)安全漏洞威脅情況[6]。

2.1 核心聯(lián)網(wǎng)工控設(shè)備情況

對(duì)山西省聯(lián)網(wǎng)核心工控設(shè)備常用通信協(xié)議及端口（例如S7comm、Modbus、BACnet、Fox等）進(jìn)行識(shí)別分析，共發(fā)現(xiàn)山西省聯(lián)網(wǎng)核心工控設(shè)備36例，其中忻州和長(zhǎng)治聯(lián)網(wǎng)核心工控設(shè)備最多。資產(chǎn)統(tǒng)計(jì)分析如圖1所示。

圖1 山西省聯(lián)網(wǎng)核心工控設(shè)備按地域分布情況

2.2 智能監(jiān)控設(shè)備

通過(guò)探測(cè)分析，發(fā)現(xiàn)山西省聯(lián)網(wǎng)智能監(jiān)控設(shè)備24963例，按地市統(tǒng)計(jì)，排在前三位的地市分別是太原、長(zhǎng)治、呂梁，如圖2所示。

圖2 山西省智能監(jiān)控設(shè)備按地市分布統(tǒng)計(jì)

2.3 山西省煤炭企業(yè)安全態(tài)勢(shì)分析

針對(duì)山西省煤炭行業(yè)的聯(lián)網(wǎng)資產(chǎn)網(wǎng)絡(luò)安全情況進(jìn)行分析，發(fā)現(xiàn)排名前三的聯(lián)網(wǎng)設(shè)備分別是數(shù)據(jù)安全設(shè)備、路由器、交換機(jī)，具體情況如圖3所示。其中攝像頭等物聯(lián)網(wǎng)設(shè)備部署在生產(chǎn)和辦公的網(wǎng)絡(luò)環(huán)境中，一旦受控，將使工業(yè)控制系統(tǒng)面臨“一點(diǎn)突破、全網(wǎng)皆失”的風(fēng)險(xiǎn)。

圖3 設(shè)備類(lèi)型統(tǒng)計(jì)圖

對(duì)Web系統(tǒng)漏洞危險(xiǎn)等級(jí)狀況進(jìn)行分析，發(fā)現(xiàn)51個(gè)系統(tǒng)存在329個(gè)安全漏洞，其中高危漏洞32個(gè)、中危漏洞134個(gè)、低危漏洞163個(gè)，漏洞危險(xiǎn)等級(jí)情況如圖4所示。

圖4 WEB系統(tǒng)漏洞等級(jí)占比圖

3 山西省工業(yè)互聯(lián)網(wǎng)安全共性問(wèn)題分析

3.1 網(wǎng)絡(luò)安全相關(guān)制度體系基本建立，安全主體責(zé)任落實(shí)參差不齊

工業(yè)互聯(lián)網(wǎng)相關(guān)單位基本建立健全了網(wǎng)絡(luò)安全管理體制機(jī)制，成立了網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，明確了安全責(zé)任部門(mén)和人員，并制定了網(wǎng)絡(luò)安全相關(guān)管理制度，但網(wǎng)絡(luò)安全管理落實(shí)程度參差不齊。部分企業(yè)日常網(wǎng)絡(luò)安全工作未有效開(kāi)展，應(yīng)急處置和網(wǎng)絡(luò)威脅監(jiān)測(cè)發(fā)現(xiàn)、應(yīng)急處置機(jī)制較為簡(jiǎn)單。

3.2 網(wǎng)絡(luò)安全管理不規(guī)范，重視程度不高

在企業(yè)內(nèi)部管理方面，企業(yè)網(wǎng)絡(luò)信息安全部門(mén)往往擔(dān)心承擔(dān)影響企業(yè)生產(chǎn)效率的責(zé)任，而未按規(guī)定設(shè)置相應(yīng)級(jí)別的安全策略，導(dǎo)致安全管理制度和實(shí)際安全防護(hù)工作“兩張皮”。企業(yè)網(wǎng)絡(luò)安全意識(shí)淡薄，普遍更加注重生產(chǎn)安全，工業(yè)互聯(lián)網(wǎng)安全建設(shè)未得到重視，認(rèn)為網(wǎng)絡(luò)安全建設(shè)投入大，效果不明顯，難以給企業(yè)帶來(lái)收益。缺乏配套資金支持，未及時(shí)部署安全措施，未形成系統(tǒng)建設(shè)、網(wǎng)絡(luò)監(jiān)測(cè)預(yù)警、運(yùn)維防護(hù)、應(yīng)急響應(yīng)、有效處置等網(wǎng)絡(luò)安全管理機(jī)制。

3.3 網(wǎng)絡(luò)安全專(zhuān)職技術(shù)人員匱乏，應(yīng)用基礎(chǔ)技術(shù)薄弱

大多數(shù)工業(yè)企業(yè)網(wǎng)絡(luò)安全專(zhuān)職技術(shù)人員缺乏，專(zhuān)業(yè)技術(shù)水平不高，網(wǎng)絡(luò)安全部門(mén)的技術(shù)人員數(shù)量不足，對(duì)于網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí)掌握不夠，分析和解決工業(yè)網(wǎng)絡(luò)安全問(wèn)題能力較弱。一些企業(yè)雖配有網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，但缺乏配置管理和技術(shù)應(yīng)用能力，存在購(gòu)買(mǎi)了安全設(shè)備就能確保網(wǎng)絡(luò)安全的思想。

4 山西省工業(yè)互聯(lián)網(wǎng)安全防護(hù)建議

4.1 進(jìn)一步強(qiáng)化落實(shí)企業(yè)主體責(zé)任

工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)明確工業(yè)互聯(lián)網(wǎng)安全責(zé)任部門(mén)和責(zé)任人，按照《網(wǎng)絡(luò)安全法》的相關(guān)要求，落實(shí)網(wǎng)絡(luò)安全防護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、用戶(hù)信息保護(hù)和數(shù)據(jù)安全等網(wǎng)絡(luò)安全防護(hù)管理，主動(dòng)開(kāi)展自主定級(jí)、安全建設(shè)、風(fēng)險(xiǎn)評(píng)估、安全整改和應(yīng)急保障等工作，加大安全投入，部署有效安全技術(shù)防護(hù)手段，落實(shí)安全防護(hù)標(biāo)準(zhǔn)，有效應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行，確保企業(yè)主體責(zé)任落實(shí)到位。

4.2 不斷完善工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系

積極探索工業(yè)互聯(lián)網(wǎng)設(shè)備、控制、網(wǎng)絡(luò)（含標(biāo)識(shí)解析系統(tǒng)）、平臺(tái)、數(shù)據(jù)等重點(diǎn)領(lǐng)域安全標(biāo)準(zhǔn)在山西的落地工作。堅(jiān)持以工業(yè)互聯(lián)網(wǎng)安全防護(hù)為導(dǎo)向，推動(dòng)標(biāo)準(zhǔn)的有效實(shí)施，形成比較系統(tǒng)的安全管理和技術(shù)標(biāo)準(zhǔn)規(guī)范體系。

4.3 提升企業(yè)網(wǎng)絡(luò)安全防護(hù)水平

企業(yè)需要增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，強(qiáng)化網(wǎng)絡(luò)安全管理體制機(jī)制和技術(shù)手段建設(shè)，在網(wǎng)絡(luò)安全設(shè)備、控制、網(wǎng)絡(luò)、平臺(tái)、數(shù)據(jù)安全等方面加強(qiáng)自身安全防護(hù)能力建設(shè)，切實(shí)做好日常網(wǎng)絡(luò)安全防護(hù)工作，強(qiáng)化網(wǎng)絡(luò)安全教育培訓(xùn)，提升工業(yè)互聯(lián)網(wǎng)本質(zhì)安全。

4.4 工業(yè)互聯(lián)網(wǎng)組網(wǎng)規(guī)劃需遵循網(wǎng)絡(luò)安全三同步原則

在工業(yè)互聯(lián)網(wǎng)信息系統(tǒng)生命周期中，網(wǎng)絡(luò)與信息安全要實(shí)現(xiàn)“同步規(guī)劃”、“同步建設(shè)”、“同步使用”。只有落實(shí)“三同步”，在項(xiàng)目規(guī)劃、建設(shè)階段中強(qiáng)化落實(shí)安全要求，才能避免在后期的運(yùn)營(yíng)/使用階段進(jìn)行安全整改導(dǎo)致的業(yè)務(wù)風(fēng)險(xiǎn)大、改造難度大、投入成本高、耗時(shí)、耗力等問(wèn)題，有效形成信息系統(tǒng)的安全防護(hù)能力，為做好后續(xù)運(yùn)維工作打下基礎(chǔ)。

4.5 加強(qiáng)工業(yè)APP管理和技術(shù)檢測(cè)

要強(qiáng)化針對(duì)工業(yè)APP及工業(yè)智能終端設(shè)備的定向防護(hù)措施，要建立基于工業(yè)行業(yè)APP安全開(kāi)發(fā)基線(xiàn)和監(jiān)測(cè)評(píng)估體系，讓安全防護(hù)工作貫穿工業(yè)APP的全生命周期。同時(shí)在工業(yè)APP上線(xiàn)前對(duì)其進(jìn)行安全評(píng)估和檢測(cè)，針對(duì)平臺(tái)分層部署安全防護(hù)措施；在APP上線(xiàn)后，建立風(fēng)險(xiǎn)評(píng)估、安全審計(jì)等機(jī)制，保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行。

4.6 強(qiáng)化工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)全生命周期管理

加強(qiáng)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全生命周期管理和防護(hù)，包括數(shù)據(jù)收集、傳輸、存儲(chǔ)、處理等全生命周期的各個(gè)環(huán)節(jié)，在數(shù)據(jù)用途、數(shù)據(jù)加密、訪(fǎng)問(wèn)控制、業(yè)務(wù)隔離、接入認(rèn)證、數(shù)據(jù)脫敏等方面加強(qiáng)防護(hù)措施，建立工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理體系，加強(qiáng)工業(yè)互聯(lián)網(wǎng)重要數(shù)據(jù)安全監(jiān)測(cè)和管理，完善重大工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)泄露事件觸發(fā)響應(yīng)機(jī)制。

4.7 加強(qiáng)對(duì)工業(yè)互聯(lián)網(wǎng)新技術(shù)應(yīng)用的安全監(jiān)測(cè)能力建設(shè)

加強(qiáng)對(duì)新技術(shù)在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的應(yīng)用場(chǎng)景分析、安全風(fēng)險(xiǎn)分析。加強(qiáng)對(duì)物聯(lián)網(wǎng)安全監(jiān)測(cè)能力建設(shè)，統(tǒng)籌考慮物聯(lián)網(wǎng)（含車(chē)聯(lián)網(wǎng)）與工業(yè)互聯(lián)網(wǎng)在資產(chǎn)發(fā)現(xiàn)、安全監(jiān)測(cè)、處置等方面的融合分析，強(qiáng)化工業(yè)互聯(lián)網(wǎng)安全核心技術(shù)研究和應(yīng)用，推進(jìn)工業(yè)互聯(lián)網(wǎng)安全健康發(fā)展。

5 總結(jié)

發(fā)展工業(yè)互聯(lián)網(wǎng)已成為制造企業(yè)轉(zhuǎn)型升級(jí)的必然選擇，同時(shí)也是數(shù)字經(jīng)濟(jì)發(fā)展的重要部分。隨著大量工業(yè)設(shè)備泛在互聯(lián)，工業(yè)互聯(lián)網(wǎng)安全隱患日益凸顯。本文通過(guò)對(duì)發(fā)現(xiàn)的山西省工業(yè)互聯(lián)網(wǎng)安全情況進(jìn)行梳理，分析面臨的共性問(wèn)題，有針對(duì)性地提出了安全防護(hù)建議，為加快推進(jìn)山西省工業(yè)互聯(lián)網(wǎng)安全技術(shù)應(yīng)用研究和保障能力建設(shè)提供參考。

[1]工業(yè)互聯(lián)網(wǎng)專(zhuān)項(xiàng)工作組. 關(guān)于印發(fā)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃（2021-2023年）》的通知[EB/OL]. http://www.gov.cn/zhengce/zhengceku/2021-01/13/content_5579519.htm.

[2]國(guó)家工業(yè)信息安全發(fā)展研究中心.2020年工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)報(bào)告[R].2021.

[3]姚羽.“諦聽(tīng)”工控網(wǎng)絡(luò)空間：進(jìn)展與思考[J].網(wǎng)信軍民融合，2017（04）：35-37.

[4]牛建偉.工業(yè)互聯(lián)網(wǎng)：基礎(chǔ)創(chuàng)新研究和關(guān)鍵技術(shù)亟待突破[J].網(wǎng)絡(luò)安全和信息化，2020（12）：22-24.

[5]山西省人民政府辦公廳. 山西省人民政府關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的實(shí)施意見(jiàn)[EB/OL].http://www.shanxi.gov.cn/sxszfxxgk/sxsrmzfzcbm/sxszfbgt/flfg_7203/szfgfxwj_7205/201808/t20180830_473656.shtml.

[6]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心山西分中心.山西互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告（2020）[R].2020.

國(guó)家242信息安全計(jì)劃基金項(xiàng)目（2018A119）