从运营者的角度,分析了当前关键信息基础设施工控安全面临的严峻形势和重要风险,并针对风险提出了具体对策建议,为行业提供参考和借鉴。
引言
金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标,必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。《关键信息基础设施安全保护条例》(以下简称《条例》)的发布,为关键信息基础设施保护提供了政策依据。
鉴于工控系统在能源关键信息基础设施领域中的核心作用,该项安全保护工作已经成为各相关运营单位的重点任务。本文从关键信息基础设施工控安全形势、安全风险分析、对策建议等角度进行了探讨,为行业领域关键信息基础设施工控安全保护提供参考。
关键信息基础设施工控安全形势
关键信息基础设施工控网络安全事件频发且危害严重。针对伊朗核设施的“震网”病毒攻击事件是关键信息基础设施工控系统遭受网络攻击的典型事件,这是世界上第一个由网络世界的病毒程序对实际物理世界的离心机运行造成严重破坏影响的网络安全事件。2019年,委内瑞拉电力系统关键信息基础设施遭受网络攻击,导致大范围停电。2020年,美国、葡萄牙、巴西等国的能源电力企业被勒索。2021年,美国燃油管道运营商Colonial Pipeline遭受黑客攻击而停摆。这些触目惊心的安全事件已经证明,关键信息基础设施工控系统已然成为了网络
攻击的重点目标,一旦遭受网络攻击,危害严重,影响极大。
我国关键信息基础设施工控系统同样面临着严重的安全威胁。“十四五”规划提出,推进数字产业化和产业数字化,推动数字经济与实体经济深度融合。而数字化面临的最大威胁是网络攻击,数字经济和国家经济安全在数字化趋势下,脆弱性显著增加,网络安全风险进一步加剧。“蔓灵花”“白象”“海莲花”“绿斑”等国际黑客组织长期对我国能源、航空等重要行业部门实施网络攻击,窃取情报信息和重要数据,给国家安全、国计民生、公众利益带来严重威胁和挑战。围绕关键信息基础设施工控系统的网络攻防已经成为国家之间战略博弈的重要领域和网络空间高强度对抗的战场,关键信息基础设施工控安全保护工作迫在眉睫。
为应对潜在的网络安全威胁,我国高度重视关键信息基础设施安全保护工作。网络安全法第三十一条至第三十九条对关键信息基础设施的运行安全作出了法律要求。在此框架下,针对关键信息基础设施安全保护的相关法律法规和标准要求密集出台,相关安全保护工作提档升级:2020年,公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》;2021年,国务院发布《关键信息基础设施安全保护条例》;2021年,《网络安全审查办法》发布;等等。工控系统是能源、电力、交通等关键信息基础设施中的最重要组成部分之一,多项国家法律和标准要求的发布和落实,说明我国政府、行业对关键信息基础设施工控安全的关注度正在迅速提升。
关键信息基础设施工控系统网络安全风险
根据国家关键信息基础设施及工控安全各项要求,结合行业相关需求和项目实践,本文对关键信息基础设施工控系统网络安全风险总结如下。
1. 关键信息基础设施工控系统的供应链安全受制于人
工控系统非常重视边界的安全防护。关键信息基础设施工控系统通常采用物理隔离或强逻辑隔离,以隔离网络探测、口令爆破等低门槛攻击,但该方式难以规避供应链安全风险。供应链攻击是高级网络攻击的重要渠道:一是利用供应链产品和服务的安全性不足,为关键信息基础设施工控系统引入隐藏后门、恶意代码等安全风险;二是供应链数据管控不严,导致软硬件数据信息泄露;三是供应链供给可能中断,导致业务严重受阻。
2. 关键信息基础设施工控系统全生命周期安全管控较为薄弱
工控系统具有实时性高、可靠性高、业务连续性等特点,许多在运关键信息基础设施工控系统建设期较早,在设计、建设及运营全生命周期各环节中,缺少全产业链的统一安全管控体系。全生命周期中的各节点仅对本节点的输入及输出物进行标准化监管,但在设计、建设和运营过程中,缺乏安全要素参与,存在网络安全盲区,为关键信息基础设施工控带来未知的安全隐患,且在系统投入运营后,难以整改。根据国家信息安全漏洞库的统计工控系统漏洞数量持续加速增长,截至2023年2月底,工控系统漏洞数量达到3000多个,涉及西门子、施耐德、Moxa、ABB、三菱、研华等工控厂商。应用越广泛的工控设备,其漏洞数量越多,表明其安全受关注度高,具有较高的安全研究价值,同时也成为网络攻击的重点目标。因此,需要加强针对工控设备的安全防范,做到事前安全审查、事中安全监控预警、事后及时清理数据并依规报废。
安全防护手段不健全。关键信息基础设施工控系统常以边界为重点,对网络、设备、应用防护较弱,对商用密码技术的落实仍有差距,普遍缺少防御纵深,容易导致“一点突破,全网皆失”的后果。
监测预警能力不足。很多关键信息基础设施工控系统缺乏有效的安全监测审计和预警手段,一旦发生安全事件,难以在第一时间感知系统潜在威胁,无法及时采取有效应对措施。
应急响应体系不完善,针对性不足。虽然参照传统信息系统,制定了针对关键信息基础设施工控系统的相关网络安全应急预案,但其仍缺乏专门覆盖网络安全和功能安全的工控网络安全应急预案,未定期开展网络安全应急演练,一旦发生网络安全事件,无法及时启动应急预案,难以及时开展应急响应,容易导致关键信息基础设施工控业务恢复慢、事件影响蔓延范围扩大、溯源追踪难等状况。
数据安全保护能力不健全。在建设初期,往往重点关注关键信息基础设施工控系统的可用性、完整性,而有意或无意地忽略了机密性。虽然在网络安全升级改造中,采用了工控防火墙、工控日志审计、工控安全态势感知等措施,但仍无法充分保护数据安全。因此,应对关键信息基础设施工控数据进行分级分类,形成数据目录,制定完备的数据安全防护机制,以适应工控全生命周期的安全管控。对于涉及到关键信息基础设施工控数据出境的,要加强网络安全审查,确保相关重要数据不丢失、不外泄,被盗取之后无法还原和使用。
3. 关键信息基础设施工控安全的复合型人才严重不足
关键信息基础设施工控安全涉及到工业生产安全和网络安全,属于交叉学科领域。现实中,既懂关键信息基础设施工控生产业务又懂网络安全的复合型人才匮乏。网络空间的竞争,归根结底是人才的竞争,但人才的培养从不是一朝一夕之功。尤其随着国家新基建、数字化转型、工业4.0、人工智能、网络强国等战略规划的推进,各行业各领域对网络安全人才的数量需求和质量要求均进一步提高,而这些新技术的发展也对人才的综合能力提出了与时俱进的高标准要求。
网络安全法发布以来,我国网络安全人才的需求剧增。互联网等新兴行业对网络安全人才需求量大,对这些人才具有很强的吸引。而传统的关键信息基础设施工业生产型企业面临着薪酬低、事情多的现状,难以招聘到合适的专职网络安全人才。从现有网络安全人才比例来看,从事运营与维护、技术支持、管理、风险评估与测试的基础人员相对较多,而从事关键信息基础设施安全战略规划、架构设计等的高端人员相对较少,尤其缺乏既懂业务、又懂技术的高端综合人才。企业需要结合自身实际业务,采用多种方式,投入资源,专门培养关键信息基础设施工控安全的复合型人才。
关键信息基础设施工控网络安全对策建议
笔者认为,《条例》自发布以来,在能源领域深入贯彻落实,但仍需相关全产业链的共同努力。因此,建议加强关键信息基础设施工控安全保护重点工作,包括责任落实、综合防护体系、安全可控、人才队伍建设等,具体如下。
1. 强化关键信息基础设施安全保护责任,完善供应链安全管控机制
关键信息基础设施运营单位应着力细化落实网络安全责任制要求,按照2017年中共中央办公厅发布的《党委(党组)网络安全工作责任制实施办法》的相关规定,组建网络安全领导小组,并落实“一把手”负责制,责任到人,专岗专人负责,层层压实责任。
关键信息基础设施运营单位应着力贯彻《条例》和《网络安全审查办法》,建立网络安全产品和服务安全风险预判机制,为关键设备上线运行及服务采购建立严格的安全门槛,从识别威胁、化解风险的角度,推动安全关口前移;制定行业领域的关键信息基础设施保护相关管理、实施、审查办法/细则等,建立供应链管理数据库、黑白名单制度等,并持续调整和更新,确保采购安全可信的网络产品和服务,强化供应链安全风险管控。
2. 加强科研技术协同攻关,逐步提高自主安全水平
加强成员单位科研协作,促进原生安全、自主创新等重点成果落地。提供科研项目或课题的资金保障,推进行业领域关键信息基础设施工控安全重点工程建设,以提升其安全保护水平。推动关键信息基础设施工控网络安全实验室建设,建设相关安全技术、方案验证、理论推演的公共技术平台,开展安全检测、整改验证、威胁评估及攻防演练等工作,验证评估工控系统可能存在的漏洞和后门。
加快行业领域密码基础设施建设,逐步建立各级电子认证中心、密钥管理中心,形成统一密码服务,增强密码基础设施一体化管理能力,强化密码技术的应用,促进密码对业务应用及各类设备的覆盖,积极开展密码应用安全性自评估能力建设,通过密码技术提升关键信息基础设施工控的安全保护水平。尝试利用新技术开展网络安全保护,构建以密码技术、可信计算、大数据分析等为核心的安全技术体系,不断提升内生安全、本质安全、主动免疫和主动防御能力。
3. 贯彻“三化六防”要求,构建关键信息基础设
施工控安全综合防御体系2020年,公安部出台《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,提出了“实战化、体系化、常态化”的防护思路和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的防护措施,为构建关键信息基础设施工控安全综合防御体系提供了指导和依据。
为贯彻“三化六防”要求,应建立纵横向协同机制,形成关键信息基础设施工控安全保护合力。在纵向层面,与上级关键信息基础设施保护工作部门、企业下属成员单位,建立协同联动、信息共享、会商决策机制,统筹上级主管部门要求和下属单位需求,落实认定规则、安全规划、监测预警、应急预案体系、应急演练、检查检测等,实现整体防控。在横向层面,与国内权威测评机构、技术服务单位等,建立一体化应对协同机制,形成领域内的联防联控能力。
完善关键信息基础设施工控网络安全监管体系,加强关键信息基础设施工控安全监督保护。遵照国家法律法规和上级主管单位要求,结合行业领域关键信息基础设施工控安全现状,构建适用于行业领域关键信息基础设施工控安全管理需求的管理体系,制定关键信息基础设施工控安全保护管理办法,统筹指导运营单位开展关键信息基础设施保护工作。
建立关键信息基础设施工控安全保护年度推进工作机制。按照有关法律法规和本领域安全规划要求,结合业务特点和单位实际情况,制定关键信息基础设施安全保护规划、年度计划和年度总结,企业进行收集、汇总、分析、备案、考核等。
分类施策,提升行业关键信息基础设施工控系统安全保护能力。新建关键信息基础设施工控系统应依据“同步规划、同步建设、同步使用”的要求,开展定级、备案和安全建设工作,合理分区分域,加强网络攻击威胁管控,强化纵深防御,将安全措施融入建设的流程中。针对正在运行的关键信息基础设施,必须加强安全监管,落实主体责任,梳理信息资产,建立资产档案,每年定期开展风险评估,发现问题并及时整改,落实监测预警、应急处置、数据保护等重点保护措施。
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
文章
