工業(yè)“激進”轉型，安全“紅線”大考

如今，工業(yè)互聯(lián)網(wǎng)已進入發(fā)展快車道，但安全問題卻給工業(yè)互聯(lián)網(wǎng)原本晴朗的天空蒙上了一層烏云。 

上個月，美國最大成品油管道運營商Colonial Pipeline因一次勒索軟件攻擊，致使燃油管道系統(tǒng)被迫關閉，并且讓美國17個州及華盛頓特區(qū)一度進入緊急狀態(tài)，被迫支付440萬美元的贖金以恢復系統(tǒng)正常；

日本相機大廠富士膠片遭勒索軟件攻擊，使部分系統(tǒng)受到影響。有些據(jù)點的所有通信，包括電子郵件和經(jīng)由網(wǎng)絡系統(tǒng)打入的電話都受到了不同程度的影響... 

而國內，許多企業(yè)也受到了不同程度的安全威脅。

轟動一時的三一重工泵車失蹤案，因無法傳遞設備工況數(shù)據(jù)與正常鎖機，導致三一重工技術研發(fā)和售后服務大受影響，更有大量客戶惡意拖欠該公司貨款，失聯(lián)泵車價值高達10億元；

臺積電三大制造廠區(qū)因電腦大規(guī)模勒索病毒現(xiàn)象，造成約17.6億元的營收損失... 

在華為安全架構師王雨晨看來，無論國內企業(yè)還是國外企業(yè)，勒索軟件，蠕蟲，挖礦、APT等是最主要的高級安全攻擊且是威脅最大的。其中，勒索軟件是目前最常見的安全威脅手段。 

顯然，工業(yè)互聯(lián)網(wǎng)安全問題已成為工業(yè)企業(yè)發(fā)展過程中必要的考慮因素。 

安全或成工業(yè)互聯(lián)網(wǎng)最大“絆腳石” 

網(wǎng)絡是基礎，安全是保障，平臺是核心。 

工業(yè)互聯(lián)網(wǎng)是新一代信息通信技術與制造業(yè)深度融合所形成的新興業(yè)態(tài)與新模式。 

自2018年，工業(yè)互聯(lián)網(wǎng)被首次寫入政府工作報告，到2020年被劃定為新基建的重要組成部分，經(jīng)過三年時間，工業(yè)互聯(lián)網(wǎng)已進入發(fā)展快車道。據(jù)賽迪顧問數(shù)據(jù)顯示，2020年，中國工業(yè)互聯(lián)網(wǎng)市場規(guī)模總量達到6712.7億元，同比增長10.4%。 

新技術帶來新機遇的同時，往往也會帶來新問題。由于工業(yè)互聯(lián)網(wǎng)中各種設備互聯(lián)，設備種類多，漏洞后門資源多，攻擊路徑多，攻擊性強，所以新問題主要聚焦在安全方面。

這與工業(yè)互聯(lián)網(wǎng)與生俱來的特性相關，在浪潮工業(yè)互聯(lián)網(wǎng)副總經(jīng)理宋志剛看來，工業(yè)互聯(lián)網(wǎng)先天具有的專業(yè)性、復雜性和技術起點高的特點，以及開放性和異構性的特性，加劇了其面臨的安全風險。

圖源：《2020年工業(yè)信息安全態(tài)勢報告》 

在工業(yè)互聯(lián)網(wǎng)專有特點的基礎上，百度相關負責人認為，工業(yè)互聯(lián)網(wǎng)安全威脅事件頻發(fā)是由于云計算、人工智能、大數(shù)據(jù)等技術仍處于不斷創(chuàng)新和高速迭代階段，工業(yè)互聯(lián)網(wǎng)仍處于摸索階段，諸如工業(yè)互聯(lián)網(wǎng)安全等許多難題有待進一步攻克。 

目前，工業(yè)領域的網(wǎng)絡攻擊事件、工業(yè)設備、系統(tǒng)安全漏洞數(shù)量呈現(xiàn)逐年遞增之勢。

據(jù)《2020年工業(yè)信息安全態(tài)勢報告》顯示，工業(yè)領域因運營成本大、數(shù)據(jù)價值達、社會影響廣成為了首要攻擊目標，僅2020年工業(yè)相關勒索軟件攻擊事件就有33起，遠超2017年至2019年兩年的總合。 

除去工業(yè)互聯(lián)網(wǎng)專有特性和發(fā)展速度來看，華為安全架構師王雨晨認為，工業(yè)互聯(lián)網(wǎng)安全和傳統(tǒng)IT安全的差異也是安全威脅事件頻發(fā)的重要原因。 

• 首先，補丁、殺毒軟件等侵入式安全技術不可實施，終端安全不可接受，漏洞處于開放狀態(tài)；

• 其次，互聯(lián)網(wǎng)是統(tǒng)一架構，而工業(yè)系統(tǒng)架構、業(yè)務類型、設備組合千差萬別，通用的威脅情報作用很小；

• 再者，工業(yè)互聯(lián)網(wǎng)系統(tǒng)是高度自動化，低交互的，基于安全專家的人工運維不可實施。 

而且，工業(yè)互聯(lián)網(wǎng)中一旦發(fā)生事情就是大事，事后處置的損失不可接受，安全手段也絕對不能在業(yè)務系統(tǒng)中造成新增故障點，不能引入“安全悖論”。 

所以說，對于工業(yè)互聯(lián)網(wǎng)安全來說，傳統(tǒng)IT安全架構早已不適用，亟需構建新型的工業(yè)互聯(lián)網(wǎng)安全架構。 

百度相關負責人也表示，傳統(tǒng)互聯(lián)網(wǎng)時代，人們對網(wǎng)絡安全習慣于采取“事后補救”的措施，而這些措施往往是“頭痛醫(yī)頭、腳痛醫(yī)腳”，不能徹底、全面地解決問題，也無法滿足新型工業(yè)互聯(lián)網(wǎng)的安全需求。 

工業(yè)互聯(lián)網(wǎng)不止網(wǎng)絡和平臺，安全也是重要的一環(huán)。 

停留在口頭上的安全，也只是空中樓閣 

雖然，安全威脅事件頻發(fā)，但工業(yè)互聯(lián)網(wǎng)的熱度仍吸引了不少企業(yè)的入局。

根據(jù)IDC中國工業(yè)互聯(lián)網(wǎng)調研數(shù)據(jù)顯示，80.3%的受訪用戶表示已經(jīng)部署或計劃在未來1~3年內部署工業(yè)互聯(lián)網(wǎng)，包括傳統(tǒng)制造企業(yè)海爾、美的等，互聯(lián)網(wǎng)巨頭BAT，新興獨角獸企業(yè)AI四小龍等，還有一些不起眼的小型企業(yè)。 

據(jù)不完全統(tǒng)計，標識解析體系方面，我國已擁有5個國家頂級節(jié)點，90多個二級節(jié)點平臺已上線，成為三級節(jié)點的企業(yè)超一萬家；

工業(yè)互聯(lián)網(wǎng)平臺方面，我國多層級工業(yè)互聯(lián)網(wǎng)平臺體系初步形成，國內已涌現(xiàn)出100余個工業(yè)互聯(lián)網(wǎng)平臺，其中跨行業(yè)跨領域平臺達到15個；

工業(yè)APP方面，截至3月底，工業(yè)互聯(lián)網(wǎng)平臺連接工業(yè)設備總數(shù)達7300萬臺，工業(yè)App突破59萬個。

雖然，目前在工業(yè)互聯(lián)網(wǎng)領域我國已經(jīng)取得了顯著的成就。但是，三一重工泵車失蹤案、臺積電工廠大面積勒索病毒等事件也說明了企業(yè)在安全方面的嚴重缺失。

據(jù)相關調研數(shù)據(jù)顯示，僅有36.5%的工業(yè)企業(yè)認為自己的工控系統(tǒng)遭受網(wǎng)絡攻擊的可能性很大，57.4%的企業(yè)認為基本不會，甚至有6.1%的受調研企業(yè)認為，自己完全不會遭到工控網(wǎng)絡攻擊。 

六方云總裁李江力表示，這主要是源于各企業(yè)對工業(yè)互聯(lián)網(wǎng)安全的認知水平不一，有的企業(yè)是經(jīng)歷了安全威脅之后才引起重視，有的企業(yè)是根據(jù)工信部下發(fā)的文件進行著安全實踐，還有一批沒有接入網(wǎng)絡的小型企業(yè)并沒有工業(yè)互聯(lián)網(wǎng)安全方面的考慮。 

李江力坦言，國內的工業(yè)互聯(lián)網(wǎng)平臺企業(yè)超過500家，這些平臺企業(yè)在設計時都會有安全因素的考慮，但不同的平臺對安全的理解、設計實現(xiàn)與投入都不一樣，整體看，工業(yè)互聯(lián)網(wǎng)平臺的安全防護能力還需要提高。 

雖然做的工業(yè)安全的企業(yè)多越來越多，但是參差不齊的安全認知水平現(xiàn)象愈發(fā)嚴重。現(xiàn)如今，從事工業(yè)互聯(lián)網(wǎng)安全的企業(yè)，大部分只重視信息安全，側重于政府、金融行業(yè)等傳統(tǒng)領域，但是關于工業(yè)領域的生產保護，卻很少有企業(yè)專注。 

奇安信工業(yè)互聯(lián)網(wǎng)安全事業(yè)部產品總監(jiān)王弢這樣說，從調研結果可以看出，表示非常重視工業(yè)互聯(lián)網(wǎng)安全的企業(yè)，僅為40.9%。近六成的企業(yè)表示較少重視或完全不關心。這也成為了國內工業(yè)互聯(lián)網(wǎng)安全建設始終發(fā)展較慢的重要原因之一。 

“軟”安全里的“硬”實力

目前，工業(yè)互聯(lián)網(wǎng)安全究竟做的怎么樣？

經(jīng)綜合研判，數(shù)據(jù)顯示，預計2020年我國工業(yè)信息安全市場增長率將達23.12%，市場整體規(guī)模將增長至122.81億元。

圖源：《2020-2021年度工業(yè)信息安全形勢分析》  

反觀去年工業(yè)安全事件發(fā)生情況，據(jù)數(shù)據(jù)顯示，我國2020年公開報道的工業(yè)信息安全事件約70件，裝備制造、能源等行業(yè)為遭受網(wǎng)絡攻擊最嚴重領域，占比分別達到27%、22%；2020年新增工業(yè)控制系統(tǒng)安全漏洞數(shù)達682個，增長率為20%。其中高危漏洞272個，中危漏洞364個，中高危漏洞占比高達93.3%。

一般來說，工業(yè)信息安全產業(yè)規(guī)模和工業(yè)安全事件頻呈反比，但是從實際數(shù)據(jù)上來看，在工業(yè)信息安全產業(yè)規(guī)模增長的同時，工業(yè)信息安全事件并沒有減少反倒增加。 

2020年3月，某大型化工集團發(fā)現(xiàn)多臺服務器和主機文件被加密，遭受勒索病毒攻擊；

8月，某大型煤礦集團一服務器發(fā)現(xiàn)感染挖礦蠕蟲病毒，往同段其它服務器445以及6379端口發(fā)送大量感染數(shù)據(jù)包；嚴重影響正常業(yè)務的使用；

10月，某大型汽車制造企業(yè)重要服務器感染勒索病毒，導致業(yè)務系統(tǒng)無法正常運行；

華為安全架構師王雨晨坦言，“對于工業(yè)互聯(lián)網(wǎng)安全來說，防不住是正常的，防住是偶然的。”

無論是傳統(tǒng)IT安全還是工業(yè)互聯(lián)網(wǎng)安全主要分為攻防兩個方面，二者如同硬幣的兩面，哪一方面都不可或缺，因此才出現(xiàn)了“以攻促防”，“未知攻，焉知防”之類的金句。 

但現(xiàn)實往往不盡如人意，實際上我們也只做到了前面一半，后一半則明顯薄弱，最終成了“虎頭蛇尾”，“強弩之末”。歸根結底，安全問題本質是一場人才的較量。 

有專業(yè)人士曾透露，目前，網(wǎng)絡安全人才短缺問題日益突出，2020年缺口突破232%，缺口達140萬，2021年缺口飆升至285%...現(xiàn)在安全人才在總數(shù)不夠的前提下，防守人才更是極度匱乏，比例嚴重失調。

據(jù)奇安信發(fā)布的《2020工業(yè)互聯(lián)網(wǎng)安全發(fā)展與實踐分析報告》顯示，僅有40.3%的企業(yè)設置了專職的工業(yè)網(wǎng)絡安全部門或崗位；21.0%的企業(yè)表示正在規(guī)劃，但現(xiàn)在沒有專職負責人員；38.7%的企業(yè)即沒有專職人員，也沒有相關的安全規(guī)劃。

華為安全架構師王雨晨認為，一方面，我國網(wǎng)絡安全從業(yè)人員也就幾萬人，極度匱乏，而且他們都在重復做防火墻，態(tài)勢感知，很少有人能掌握關鍵技術，都在做安全方面的應用。

另一方面，在人散小而全的安全人才架構下，安全防御理論和技術手段均處于初級階段，在對抗威脅時，存在嚴重的攻防不對稱現(xiàn)象。產業(yè)、產品的能力都遠遠不能應對威脅挑戰(zhàn)的要求，在此種條件下，防不住是必然的。 

工業(yè)數(shù)字化轉型，缺少“主角”的光輝

失去工業(yè)互聯(lián)網(wǎng)安全，工業(yè)數(shù)字化轉型就失去了金鐘罩。 

“通過互聯(lián)網(wǎng)就可以導致工業(yè)生產癱瘓，而且，當我們未來實現(xiàn)更深度的數(shù)字化轉型，會更容易被攻擊。”360集團首席安全官杜躍進博士這樣說。

如今，工業(yè)互聯(lián)網(wǎng)已成為工業(yè)制造業(yè)自動化、數(shù)字化、智能化轉型的重要載體。在工業(yè)互聯(lián)網(wǎng)與5G、大數(shù)據(jù)、人工智能等新一代信息技術的共同作用下，大量企業(yè)開始了數(shù)字化轉型的探索。 

工業(yè)數(shù)字化轉型主要是通過IT與OT的充分融合來創(chuàng)造更大的價值，但正是二者的深度融合使工業(yè)的產業(yè)結構和體系建設發(fā)生了巨變，由此而來的“勒索事件”等安全“黑天鵝”情況在工業(yè)領域頻發(fā)。 

對于工業(yè)數(shù)字化轉型面對的安全威脅，奇安信工業(yè)互聯(lián)網(wǎng)安全事業(yè)部產品總監(jiān)王弢這樣解釋，工業(yè)數(shù)字化轉型中，個性化定制、網(wǎng)絡化協(xié)同以及服務化延伸，生產連續(xù)性、可靠性以及核心數(shù)據(jù)都將面臨更為嚴重的網(wǎng)絡安全威脅。例如有制造企業(yè)生產系統(tǒng)聯(lián)網(wǎng)后，大量計算機病毒涌入系統(tǒng)，導致大規(guī)模停產。 

不言而喻，工業(yè)互聯(lián)網(wǎng)安全建設的好壞，將直接影響工業(yè)數(shù)字化轉型的快慢。 

如果工業(yè)互聯(lián)網(wǎng)安全沒有建設好，一方面，遭受網(wǎng)絡攻擊不僅單個企業(yè)受損，還可延伸至全產業(yè)鏈、全價值鏈，引發(fā)大規(guī)模物理設備損壞、生產停滯，影響經(jīng)濟社會的穩(wěn)定運行。另一方面，工業(yè)生產、設計、工藝、經(jīng)營管理等敏感信息保護不當將損害企業(yè)核心利益、影響行業(yè)發(fā)展，重要工業(yè)數(shù)據(jù)泄露還將導致國家利益受損。 

對此，六方云總裁李江力表示，工業(yè)互聯(lián)網(wǎng)的本質與核心是利用信息化數(shù)字化手段提高工業(yè)生產效率，但信息化手段提升效率的同時也帶來了安全隱患，保障信息安全是工業(yè)互聯(lián)網(wǎng)業(yè)務發(fā)展的前提，沒有安全就沒有發(fā)展。

其實，國家早就認識到了工業(yè)互聯(lián)網(wǎng)安全對工業(yè)數(shù)字化轉型的重要性。近年來，相繼下發(fā)了多部政策文件，以推進工業(yè)互聯(lián)網(wǎng)安全綜合保障能力提升工程，完善網(wǎng)絡安全分類分級管理制度，提升工業(yè)企業(yè)本質安全水平。 

任何一項產業(yè)的出現(xiàn)和發(fā)展，都少不了國家政策的支持，但是產業(yè)發(fā)展的好壞直接關乎著企業(yè)的經(jīng)濟效益，所以主體還是企業(yè)，在工業(yè)互聯(lián)網(wǎng)安全領域亦是如此。 

在奇安信工業(yè)互聯(lián)網(wǎng)安全事業(yè)部產品總監(jiān)王弢看來，工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)表明工業(yè)互聯(lián)網(wǎng)領域的威脅越來越嚴重，黑產和黑客組織越來越多的關注到工業(yè)領域，主要原因在于企業(yè)工業(yè)互聯(lián)網(wǎng)安全投入不足，不能有效面對威脅。 

調研數(shù)據(jù)顯示，國內相關企業(yè)在工業(yè)互聯(lián)網(wǎng)安全方面的投入總體規(guī)模仍然較小。在工業(yè)互聯(lián)網(wǎng)安全方面的年投入超過100萬元的企業(yè)，不足被調研企業(yè)的三成，僅為27.6%。 

華為安全架構師王雨晨認為，除了國家的政策引導和規(guī)范要求外，更重要的是企業(yè)要跟根據(jù)自身面臨的安全威脅切實重視安全，加大安全投入，加強企業(yè)自身安全建設。 

“工業(yè)互聯(lián)網(wǎng)安全是工業(yè)化的基礎，‘沒有網(wǎng)絡安全就沒有國家安全’這句話對于工業(yè)數(shù)字化轉型尤其重要。沒有安全保障的工業(yè)數(shù)字化轉型就是把萬丈高樓建立在沙灘上，對整個工業(yè)化都是非常危險的。”

（雷鋒網(wǎng) 雷鋒網(wǎng)雷鋒網(wǎng)）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。