一段代碼就能癱瘓一座智能工廠;平均每個智能工廠就有52.5個安全漏洞……隨著數字化轉型的加速,工業互聯網應用場景在快速落地的同時,安全風險成了最大挑戰。
在第四屆數字中國建設峰會上,如何解決工業互聯網安全成了一大焦點話題。奇安信集團董事長齊向東在演講時表示,傳統的安全技術手段已經過時,無法解決工業互聯網面臨的安全問題。需要創新網絡安全技術,將安全和工業生產深度融合,提高工控系統的免疫力。從網絡、身份、應用、數據和行為五個層面,將威脅層層過濾,把網絡攻擊的概率降低到萬分之一,真正實現內生安全。
一段代碼就能癱瘓一座智能工廠
數據異常、設備損壞、工廠停產……工業互聯網企業遇到的這一系列問題背后,可能只是電腦另一端的幾行代碼或幾個指令,但卻能給工業企業帶來無法承受的經濟損失甚至更加嚴重的后果。隨著工業互聯網時代的到來,網絡安全形勢日趨嚴峻。
在第四屆數字中國峰會現場,奇安信復現了工業互聯網攻防的全過程。一套生產有機農藥的化工裝置,在網絡攻擊發生之前,指標一切正常。但隨著一條條攻擊指令傳輸到了工業自動化系統中,大屏幕也不斷彈出了網絡安全告警。
受到攻擊后,這套化工裝置的控制器邏輯和參數被篡改,改變了原料配比產生廢品,且使得有毒原料罐液位不斷上升,超出閥值大量溢出,不但造成了浪費更造成了環境污染。隨后,安全工程師開啟了相應的防護策略,所有攻擊指令隨即被攔截下來,工業自動化系統也恢復正常運行。
奇安信集團董事長齊向東表示,工業互聯網是高安全、弱開放的工業生產系統,與弱安全、高開放的互聯網系統,兩大系統的融合,這直接打破了傳統工業相對封閉可信的生產環境,導致攻擊路徑大大增加,攻擊者可以從研發端、管理端、消費端、生產端都有可能實現對工業互聯網的攻擊或病毒傳播。如果沒有做好安全防護,那么價值巨大、牽連過廣的工業互聯網,就成了黑客唾手可得的“香餑餑”,尤其是智能工廠將是黑客勒索攻擊的頭號目標。
今年以來,就有多家智能工廠遭遇勒索攻擊。在3月,電腦巨頭宏碁遭到勒索軟件攻擊,財務電子表格、銀行往來郵件等敏感數據被盜,黑客開出了迄今為止最高數額的贖金,約合3.25億元。根據全球網絡安全軟件公司趨勢科技數據顯示,僅2020年第三季度就有150家制造企業牽涉勒索軟件,多于其他任何行業。這個數字只是冰山一角,九成以上的企業因為害怕對自己的品牌造成傷害,都在支付贖金以后選擇了靜默。
供應鏈安全是工業互聯網躲不開的挑戰
“在網絡攻擊面前,沒有哪個機構可以幸免。身處數字化轉型中的智能工廠,需要投入更多資源,避免自己成為下一次網絡攻擊的受害者。”齊向東認為,工業互聯網時代,供應鏈環環相扣,牽扯到的上下游企業眾多一個點遭受攻擊,很可能會把整個產業鏈拖下水。供應鏈安全注定是工業互聯網逃不開的挑戰。
齊向東表示,工業互聯網供應鏈安全挑戰來自兩大方向,一是開源軟件代碼存在巨大隱患,二是源代碼天然存在缺陷,也給供應鏈安全埋下隱患。
根據公開信息顯示,此前奇安信開源衛士對2188個軟件開發項目進行了調研,100%的項目都用了開源軟件,其中有1695個項目都存在開源軟件漏洞,占比高達77.5%,平均每個項目有52.5個漏洞。而奇安信代碼衛士對1838個軟件項目的源代碼進行分析時,總計發現330萬個安全缺陷,其中高危安全缺陷36萬個。統計顯示,程序員每敲一千行原始代碼,會出現10.13個缺陷,其中有1.08個高危缺陷。
用安全體系將網絡攻擊的概率降到萬分之一
齊向東表示,傳統的殺毒、木馬檢測、防火墻等技術,解決是通用的系統和軟件安全,常常用誤報率和漏報率來衡量,這種方式無法解決工業互聯網面臨的安全問題。所以,要創新網絡安全技術,將安全和工業生產深度融合,提高工控系統的免疫力。從網絡、身份、應用、數據和行為五個層面,將威脅層層過濾,把網絡攻擊的概率降低到萬分之一,真正實現內生安全。
如何在具體的業務場景下,實現工業互聯網的內生安全,尤其是解決供應鏈安全問題?在數字中國峰會上,奇安信集團總裁吳云坤給出了具體的方案,即“依托內生安全框架,從系統觀念出發考慮供應鏈安全問題,從工業軟件、工業互聯網視角,以系統工程方法論結合內生安全理念,構建包括工業軟件在內的工業信息系統整體防護體系。”
吳云坤表示,奇安信基于長期的網絡安全實踐提出了內生安全框架,以系統工程方法論結合內生安全理念,用“十大工程五大任務”建動態綜合的網絡安全防御體系,讓網絡安全從局部整改外掛式建設模式轉向安全與工業信息系統深度融合體系化建設模式。
其中,針對工業互聯網安全解構了九大重點任務,可全面覆蓋工業生產網絡的各層面,包括:調整優化工控網絡架構、增強工控主機安全防護、建立工業互聯網平臺防護體系、建立工控網絡安全監測體系、建立工控網絡縱深防御體系、建設工控遠程訪問安全接入點、建設工業安全態勢感知平臺、建設工業互聯網安全接入點、建設工控安全仿真驗證平臺。
吳云坤表示,在九大重點任務基礎上,奇安信融合軟件空間測繪能力、源代碼成分風險分析技術能力、源代碼安全缺陷及后門分析能力以及聯網設備成分風險分析,設計開發可一個軟件供應鏈生命周期安全解決方案,在整個軟件生命周期融入安全培訓、安全需求評估、安全設計、安全開發、安全測試、安全部署運行、安全使用等八大流程和措施,來保障軟件從開發、交付到應用的全過程、全生命周期安全,在監管側和企業側同步實現供應鏈安全。
據悉,奇安信不僅承擔了工信部工業互聯網創新發展工程中的工業軟件源代碼漏洞檢測工具項目,同時已為北京冬奧會整個應用系統進行全生命周期的安全管理。此外,在重慶早已布局奇安信工業互聯網網絡安全西部中心總部,并協助比亞迪、航天云網等多家工業企業和工業互聯網平臺進行安全護航。
