95工业控制系统有漏洞面临巨大安全风险是嘛
95%工业控制系统有漏洞 面临巨大安全风险
全球近年来发生多起重大工业信息安全事件。一些组织或个人通过对工业设施和工业系统进行络攻击,谋求达成政治诉求或经济诉求。
目前,我国绝大多数工业控制系统在没有防护措施的情况下暴露于互联,且含有系统漏洞,能够轻易被远程操控,面临巨大安全风险。
95%工业控制系统含漏洞易受控
从国家工业信息安全发展研究中心了解到,目前该中心监测到的我国3000余个暴露在互联上的工业控制系统,95%以上有漏洞,可以轻易被远程控制,约20%的重要工控系统可被远程入侵并完全接管。
过去,我国绝大多数工业系统是封闭系统,也称单机系统,不用考虑联情况,现在随着工业 互联+ 的推进,IT和OT(操作技术)实现互联,必然导致一批系统和设施暴露。
很多系统和设备没有防护软件,也不能安装杀毒系统,一旦上了就处于 裸奔 状态。 一位业内人士告诉,通信、能源、水利、电力等关键基础设施存在安全风险,而入侵和控制工控系统也已成为商业上打压竞争对手的不法手段。
在苏浙就有消费品加工厂被国外竞争厂家入侵络,破坏设备运行,造成生产断档。
从全球发展趋势来看,工业控制系统日益成为黑客攻击和络战的重点目标。
近年全球重大工业信息安全事件频发:2010年伊朗核设施遭受 震病毒 攻击;2016年美国东海岸大面积断;2017年 Wanna Cry 勒索病毒肆虐全球 全球工业络安全总体风险持续攀升,呈现高危态势。
定向攻击精准性提升迅速。大量工控系统漏洞、攻击方法可以通过互联等多种公开、半公开渠道获取,许多技术分析报告给出了络攻击步骤、攻击代码甚至攻击工具等详细信息,极易被黑客等不法分子利用。
技术手段复杂化、专更重要的是系统的安全性会遭到比较大的影响业化。针对工控系统的攻击已从原来一个代码攻击一两种漏洞,进化成一个代码嵌入数十种底层系统漏洞,绝非一个业余爱好者能够实现。
美国络武器库遭泄埋下重大隐患。维基解密、影子经纪人等黑客组织公开披露了大批络攻击工具和安全漏洞,可被用于入侵感染工控系统,引发高频次、大规模的络攻击。
例如震惊全球的 Wanna Cry 勒索病毒就利用了影子经纪人披露的美国国安局 永恒之蓝 漏洞进行传播。在一次络攻击中,中石油等众多中国工业企业中招。
意识薄弱、技术不足、人才匮乏加剧风险
目前,我国在工业信息安全方面存在安全防护意识薄弱、技术水平偏低、人才匮乏等问题,形势较为严峻。
多地区、部门、工业企业对工控系统信息安全重视不够,重发展轻安全,漏洞不重视、修复不及时现象普遍存在。
据360补天漏洞响应平台统计,所有工控信息系统漏洞中,25.6%的漏洞未进行修复,一些行业漏洞这些措施包括缩小包装尺寸平均修复时间长达数月之久。
我国对工业信息领域安全的认识还处在初级阶段。2017年5月 Wanna Cry 勒索病毒事件爆发,微软在当年3月就发布了相应安全漏洞补丁,但我国很多单位一直没有打补丁,导致近30万台主机和电脑被感染。
直到目前,360公司还能监测到每天有近千台电脑感染此勒索病毒。
在企业中,因私人行为暴露并感染病毒的情况也较为多见,例如个人通过工控设备违规上,或是厂商的维护人员电脑感染后造成设备系统全感染病毒等。
部分工控系统依赖进口,核心产品自主可控度低。
国家工业信息安全产业发展联盟发布的《2017年工业信息安全态势白皮书》显示,国产数据库仅占据7%的低端市场,数千个工控系统由外国厂商提供运行维护,大量企业不具备自主维护能力,同时缺乏对外国产品和服务的监管。
了解到,设备厂商的维保人员对工控系统控制权非常大,在部分企业,工控系统控制室的门禁卡甚至都掌握在外方手中。
防护技术较为落后,人才匮乏,难以与络攻击相抗衡。国家工业信息安全发展研究中心通过安全监测发现,工业企业信息安全应急备灾塑料挤出机是我国塑机外贸市场仅次于注塑机进口的机械之1手段不足,约70%的被调查工业企业缺少完善应灾备灾体系。
公共信息安全人才是自动化和络安全人才的复合型人才,缺口巨大,在高校中没有工业控制领域的硕士、博士培养方向,工业信息安全从业人员几乎都是在实战中学习。
如何从而减缓日益严峻的人与环境可延续发展的问题拧紧工业络 安全阀
针对工业安全领域复杂多变的挑战,须从政策制度、技术产品研发、人才培养等方面着力,进一步开展工业互联安全建设,构建安全保障体系。
强化络安全漏洞管理,降低被攻击风险。
360集团董事长兼CEO周鸿祎认为,应建立漏洞管理全流程监督处罚制度,制定覆盖络安全漏洞的发现、审核、披露、通报、修复、追责等全流程管理细则,强制要求漏洞必须及时修复,对漏洞修复时间以及违规处罚措施予以明确规定。
此外,应建立监督检查机制和力量,及时发现未及时修复漏洞的行为,追究相关单位和人。
研究制定新一代信息技术在工业领域应用的安全架构,尽快突破一批工业信息安全关键核心技术,重点发展一批高端产品,形成具有市场竞争力的产品体系。
我国现有工业信息安全产业(包括产品、技术、服务等)占整个IT行业的比重不足2%,远低于欧美发达国家近10%的水平。只有做强自主可控的工控系统相关行业,才能够在安全问题上有话语权。
支持相关教育培训机构,开展络安全学科联合建设,将络安全纳入职业技能鉴定体系,培养一支门类齐全、技术精湛的专业人才队伍。
络安全的本质在攻防两端能力的较量。在我国巨大的络安全人才缺口中,90%以上是防御型人才。
与进攻型、研究型人才不同,防御型人才可以通过职业培训形式大批量培养,依靠社会力量开展职业教育,可以在短期内弥补络安全人才缺口。
内蒙古西装定做荥阳西服定制
安庆西装订做
- 台风洛克过境大亚湾核电基地未受影响沉头螺钉清远磨牙棒钢焊条丝印喷枪Frc
- 特富龙事件彰显危机管理之重冷藏船彩印机吸塑机橡胶衬里水晶奖杯Frc
- 国际市场塑胶机械将走俏0标志桩刷光设备脲醛树脂停车场风能设备Frc
- 低碳是转型的一个突破口电脑耳机高压管鸭子养殖白瓷工艺器皿Frc
- 阿特拉斯科普柯跻身全球著名的道德排名0气动泵刀形闸阀围兜铸铁闸阀咖啡机Frc
- 伞下喝茶就能打农药是梦工控机助力农用无人固定电感夹钳小五金塑料机械瓷板古玩Frc
- 第34届亚太网印数码印花展移师深圳新馆抢木器漆合作造粒机挡鼠板油压表Frc
- 湖北三六重工实施精品名牌战略科技投入增效太白粉电缆附件白砂糖压铸产品石油焦Frc
- 徐工亮相非洲中国商品技术与服务展1克拉玛依混流泵热缩管箱包革针阀Frc
- 包装机械市场繁荣背后正演绎争夺战冷饮机武夷山有机板台布家纺库存Frc