工业领域关键信息基础设施是国家重要的战略资源,关系国家安全、国计民生和公共利益,具有基础性、支撑性、全局性作用,是国家网络安全工作中的重中之重。在《关键信息基础设施安全保护条例》(以下简称《条例》)正式施行的两年时间里,我国深入贯彻落实了《条例》的有关要求,积极推进相关研究部署和实践探索,加快提升我国工业领域关键信息基础设施的安全保护能力。与此同时,我们也要深刻认识到,我国工业领域关键信息基础设施安全保护工作仍然任重道远,在新形势下面临新问题和新挑战,短板和弱项仍然突出,亟需加强统筹规划和体系布局,做好把脉问诊、把控源头、筑牢根基、夯实基础,加快推进安全保障体系的建设,为构筑新型工业化发展新格局夯实底座基石。
一、新形势下工业领域关键信息基础设施安全保护工作的重要性
工业领域关键信息基础设施(简称“工业关基”)是指在工业生产制造中,一旦遭到破坏、丧失功能或者数据泄漏后,可能严重危害国家安全、国计民生和公共利益的关键信息基础设施。从存在形态上,工业关基主要以工业控制系统为核心,同时也包括工业互联网平台、5G 网络基础设施、云计算中心、工业大数据中心等承载工业领域核心业务的重要设施和信息系统。从业务特点来看,工业关基分布广泛、业务要求高,与国计民生关系密切。作为制造业大国,我国在工业领域拥有大量投资价值高、社会影响广泛、业务运行重要的关键信息基础设施。研究显示,超过 80% 的国家关键信息基础设施和智慧城市业务系统依赖以工业控制系统为核心的工业关基作为支撑。因此,如何保障工业关基安全已成为工业领域网络安全工作亟待解决的首要任务。
(一)国际社会纷纷强化工业领域关键信息基础设施安全保护
美国、欧洲、俄罗斯等国家和地区已先后将关键信息基础设施安全保护提升到国家战略的高度。以美国为例,他们已相继发布了战略方针、行政命令、实施指南等不同层级的政策管理文件,建立了多部门协同管理工作机制,并持续增加对关键信息基础设施网络安全的投入。2013年,美国颁布了《第 21 号总统政策指令》(PPD-21),针对化工、关键制造业、能源等重要工业领域的关键信息基础设施提出了具体的安全要求。之后,他们又陆续发布了《化工行业网络安全框架实施指南》《关键制造业部门网络安全框架实施指南》《能源行业网络安全多年计划》等文件。2018 年,美国能源部(DOE)新设立了网络安全、能源安全和应急响应办公室(CESER),负责处理能源关键基础设施网络安全问题。2022 年,拜登政府签署的《2022 年关键基础设施网络事件报告法案》明确了能源、制造业、化工等16个工业领域的相关行业部门的管理职责。俄罗斯也积极加强关键领域网络安全保护,2022 年 3 月,普京签署了第 166 号总统令《确保俄罗斯联邦关键信息基础设施技术独立和安全的措施》,明确禁止在未经政府相关机构授权的情况下为国家关键基础设施部门采购外国软件,以强化对关键信息基础设施领域的保护。2022 年 5 月,欧盟议会和欧盟成员国就《关于在欧盟范围内实施高水平网络安全措施的指令》达成协议,旨在加强电力、区域供热和制冷、石油、天然气、航空、铁路、水利和公路,以及计算机及电子、机械设备、汽车制造等十类基础实体和六类重要实体的安全保护。
(二)我国工业领域关键信息基础设施安全保护工作有序推进
在法规层面,2021 年 9 月正式施行的《关键信息基础设施安全保护条例》,明确了关键信息基础设施安全保护的监督管理工作机制以及关基运营者的责任和义务。同时,该条例也对网络安全监测、检测、风险评估、预警通报和响应处置等方面提出了明确要求。2022 年 2 月,《网络安全审查办法》正式施行,明确要求对关基运营者采购的网络产品和服务进行网络安全审查,以确保关键信息基础设施供应链的安全。在政策层面,工业和信息化部陆续发布了《工业控制系统信息安全防护指南》《关于加强工业互联网安全工作的指导意见》《工业和信息化领域数据安全管理办法(试行)》等系列文件,旨在提升工业领域的网络安全和数据安全保障能力。
此外,在标准层面,国家标准《信息安全技术关键信息基础设施安全保护要求》(GB/T 39204-2022)于 2023 年 5 月正式实施,加快了工业领域网络安全、数据安全标准体系以及重点标准的制定。
由于工业领域关键信息基础设施的安全与国家安全、国计民生和公共利益密切相关,因此迫切需要加强工业领域关键信息基础设施的安全保护,构筑完备的安全保障能力。
二、新形势下工业领域关键信息基础设施安全保护的新问题、新要求
当前,我国正在加快推进新型基础设施建设、数字化转型和新型工业化进程。然而,在国家级对抗博弈加剧、工业领域安全事件频发高发态势下,我国工业领域关键信息基础设施已成为网络攻击的重点目标,我国亟需解决体系建设不完善、安全防御技术短板突出以及综合保障能力薄弱等关键难题。
(一)工业领域关键信息基础设施已成为网络攻击重灾区,攻击对其造成的影响大且后果严重
当前,全球工业领域网络安全事件高发频发,工业领域已成为网络攻击的主要目标。据有关监测数据显示,2022 年我国工业领域受到的各类网络安全攻击超过 7975 万次,同比增长超过 23.9%。同时,网络攻击已渗透到工业领域关基的物理世界,其破坏效应呈指数放大,极易引发系统性的重大风险。一方面,网络攻击可造成巨大的经济损失。例如,2023 年 2 月,美国应用材料公司受勒索攻击,造成的经济损失高达 2.5 亿美元。同年 6 月,宾士域集团遭受勒索攻击,损失超过 7000 万美元。另一方面,以钢铁、电力、石油石化等为代表的工业关基一旦遭遇勒索攻击,可能导致关键的生产和生活用品供应中断、大量产线瘫痪停摆,核心数据泄漏,甚至引发大规模断水、断电、断气、火灾和爆炸,严重扰乱公共秩序、威胁产业和战略资源安全以及国家安全。例如,2019 年,委内瑞拉发生了大规模断电事件和南美五国大规模停电事件,不仅导致关键基础设施服务失灵,还引发了社会恐慌和国家政权动荡。另外,2021 年 5 月 7 日,美国最大成品油管道运营商科洛尼尔管道运输公司遭到网络攻击,导致美国东部沿海主要城市的输送油气的管道系统被迫下线,影响了美国东部 45% 的燃料供应。2023 年 7 月,名古屋港遭受勒索攻击事件,不仅导致港口货运中断和运营停滞,还严重干扰了日本全国的货物流通。
尤其是在大国博弈日趋激烈,集团对抗日渐凸显,战争风险不断升高的背景下,针对关键基础设施的全方位攻击不断发生并持续升级。关键基础设施已成为地缘政治博弈的新前线。关键信息基础设施的安全问题日益成为国家安全治理中至关重要的问题,并成为国家安全角力的新领域。根据媒体报道及相关资料显示,在俄乌冲突中,美国及其盟国组织了国家级黑客组织并谋划了一系列攻击活动,以分布式拒绝服务攻击、钓鱼欺诈、漏洞利用、供应链攻击以及伪装成勒索软件的恶意数据擦除攻击等多种“网络武力”手段,持续对俄罗斯及白俄罗斯的铁路系统、重要物流网络等实施网络攻击。同时黑客组织“匿名者”(Anonymous)在官方 Twitter 发布了涉及超过 900 个俄罗斯工业控制系统在公网上的暴露情况,将其作为攻击目标,给俄罗斯关键领域的生产和运营带来了巨大危害。
(二)工业领域关键基础设施安全短板弱项突出,难以抵御高水平定向攻击
一是我国工业领域关键信息基础设施在网络安全方面存在众多“软肋”。当前,在我国工业控制系统大规模上云的背景下,“安全上云”的技术手段严重不足。这为网络攻击在“云”和“终端”两侧进行双向传导提供了新通道:病毒植入和渗透入侵。攻击者可以通过互联网或工业云平台侵入关键工控系统,也可利用工控系统内的智能设备渗透进入工业云平台。此外,随着“5G+工业互联网”广泛应用和 5G 全连接工厂建设的加速,工厂网络已由封闭向开放转变。然而,工业企业普遍缺乏对多样化、海量工业设备接入网络的安全防护管理,难以抵御网络攻击的入侵。另外,广泛应用于工业现场的工业级 PDA、工业智能网关等多种智能设备,在研发设计之初通常缺乏安全性考虑,存在漏洞和后门等安全隐患,因而很难有效抵御网络攻击。
二是工业领域关键信息基础设施安全保障基础薄弱。一方面,我国工业关基产品部分依赖进口,其技术和产品的网络安全无法得到保障。比如,目前我国大量依赖进口的工业基础软件、研发设计软件、生产控制软件、工业嵌入式软件等,以及重点行业使用的数据采集与监视控制系统(SCADA)、可编程逻辑控制器(PLC)、分散控制系统(DCS)等,国内市场被大部分国外产品占据。在供应链全球化趋势下,利用企业外部合作伙伴、供应商或第三方服务机构发起的供应链攻击已成为一种新型网络威胁。工业产品生产环节预留后门、在开发工具及协议栈等基础软件植入恶意代码或后门程序、利用工业产品漏洞实施远程设备控制或拒绝服务攻击等重大网络安全事件屡见不鲜,工业关基源头安全问题短期内难以得到改善。另一方面,工业网络安全技术产品对外依赖仍然很高。当前,我国依托工业互联网网络安全保障体系建设,正在探索构建覆盖威胁识别、攻击防御、响应恢复等全生命周期的工业领域网络安全技术产品体系。但深入分析发现,相关网络安全产品使用的关键软硬件技术、核心零部件等,比如 CPU、内存、操作系统、数据库等组件仍依赖国外现成的技术和产品。工业领域网络安全作为做好新型工业化网络安全保障的基础前提,一旦自身引入后门或安全漏洞,非但起不到安全防护作用,反而可能成为新的攻击突破口。此外,我国尚未完全掌握工业领域网络安全防御决策的核心主导权。比如,漏洞库、检测规则库、威胁情报等规则是漏洞扫描、入侵检测、工业防火墙等典型网络安全技术产品的防御决策依据,对技术产品能力起到决定性的作用。近年来,美国对我国实施的网络安全审查、供应商评定、风险评估等一系列供应链管控不断加码,管控行为已渗透扩张至网络安全领域。奇虎 360、美亚柏科等网络安全公司被美国纳入技术产品出口管控实体清单,对我国网络安全产业实施打压遏制,不利于我国网络安全技术产品发展。
(三)工业领域关键基础设施安全保护面临全新挑战
一是新形势下的工业领域网络安全管理体系亟待优化。目前,我国工业领域关键信息基础设施保护工作仍处于起步和探索阶段,尚未构建起适应发展需求的管理体系,工业领域关基保护措施体系性不足。一方面,在关键信息基础设施认定方面,缺乏有效的行业配套政策指导文件。由于工业领域行业众多,运行状态和防护需求存在较大差异,实施过程中容易出现运营者对要求认知不足、理解不一致、工作落实不到位等问题。另一方面,在新型工业化的推进下,工业企业往往跳出传统单一供需关系,形成深度融合的发展局面。传统的工业领域网络安全责任界定理念“谁建设谁负责、谁运行谁负责”的安全管理思路将难以适应新形势下的安全管理需要。
二是新技术加速融合应用,挑战既有工业关基安全防御思路。一方面,新型网络攻击技术持续演变,工业领域的攻防对抗加剧,“易攻难守”的局面更加突出。工业领域关键信息基础设施逐步呈现跨域互联、融合开放的特点,以工业操作系统、智能机器人等为代表的工业生产系统智能化水平进一步提升,网络安全风险也呈现出攻击方式由单一到多样、攻击范围由点到面、攻击扩散速度呈指数级增长的发展态势。另一方面,工业领域关键信息基础设施的安全保护措施缺乏系统性。现有的安全防护思路的完备性、防护产品的成熟度和适配性都需要检验和提升,以满足关基“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的安全需求。此外,新形势下的网络安全产品需要与企业的实际生产场景和安全场景融合,工业关基安全保障能力建设需要与工业建设同步发展。传统的工业关基安全产品体系亟待从过去的零散、局部、被动建设转变为以构建内在、体系化、主动有序为特点的安全体系建设。
总体来看,新形势下工业领域关键信息基础设施安全保护工作面临时代赋予的更高挑战。在外因方面,新技术、新模式、新业态构建了更为开放融合的安全生态,需要建立完善的网络安全工作机制,以实现协同共治和服务供给的目标,提供与新形势下发展需求相匹配的按需供给、智能主动的安全保护能力;在内因方面,部分工业基础技术及其网络安全技术产品仍存在受制于他人的问题,这在部署工业关基安全防线过程中形成了两难困境:使用则存隐患,不使用则存在安全漏洞。这一问题亟待解决。
三、新形势下工业领域关键信息基础设施安全保护工作的新思路、新举措
工业领域关键信息基础设施是国家关键基础设施和智慧城市业务系统的核心支撑。为了保障关键信息基础设施安全,我们既要突破既有网络安全防御定式,又要加速重构工业网络安全管理生态,建设适用新时代新任务下的综合安全保障体系。
一是把控供应链源头,加速建设信息创新产业体系。基于我国工业生产制造种类全、信息化基础良好的优势,应加速构建工业领域信息创新产业体系,以确保工业关键信息基础设施供应链源头的安全。我们需要加快提升工业领域关键技术产品的创新能力,尤其是在高端制造和高科技产品领域进行重点突破,加快建立自主创新的产业体系。同时,我们应该开展试点示范,加快推动国产信息技术应用创新产业的关键技术和产品的规模化应用,探索在不同的生产制造门类和工业场景下可推广、可复制的产品及解决方案,并在关键细分行业加速应用部署,以保障关键基础设施的安全。
二是筑牢根基,大力提升工业领域关基的安全保障能力。在推进工业领域关键信息基础设施识别认定管理的基础上,“紧抓关键少数、谋求重点突破”,探索建立工业领域关键信息基础设施网络安全和数据安全监督检查工作机制,推动常态化的安全检查评估。以查促建、以查促防,持续加强安全保障能力建设。我们应加强工业领域安全检测技术的研究和创新,加大在工业漏洞挖掘与分析、恶意软件检测清除、开源代码安全检测、工业情报智能分析、威胁检测与动态预警等方面的资源投入。同时,我们还要加强对重点行业、关键场景下的工业关键信息基础设施安全管理,加强工业关基产品的安全防御技术,部署安全审查、产品溯源、威胁监测等技术手段,研究并部署基于人工智能、商用密码、区块链、可信计算等安全技术的应用,以保障工业关基供应链的安全。
三是夯实基础,建立适应时代需要的工业领域安全人才保障体系。针对工业领域关键信息基础设施安全保护,应组织跨区域、跨行业的应急演练、攻防对抗、专项赛事等实战化活动,按照分行业、分领域、抓重点的原则进行组织,开展实战攻防演练,验证各类网络攻击技术手段,还原真实的攻击方式和现实情况。逐步将工业关基攻防演练工作纳入重点工业企业管理制度和考核指标,定期组织实战演练,切实检验和提升工业网络勒索发现、监测与应急处置能力。通过“以赛促改、以赛促建”的方式,持续举办国家级、省市级的工业领域安全大赛,通过“全场景竞赛、实际环境演练、安全众测”等赛事活动,培养和选拔专业技能人才,解决行业人才紧缺的难题,打破企业人才输出的壁垒。
(本文刊登于《中国信息安全》杂志2023年第9期)
来源:中国信息安全