新基建浪潮奔涌而來�����,數字激活百行百業(yè)。在上周舉辦的2020合肥網絡安全大會上���,來自中國工程院���、新華三、中國電信、IDC等不同領域的行業(yè)專家們共聚一堂�,充分討論了新基建大潮下的網絡安全。在這個技術高度融合��,平臺深度協同的大背景下�����,中國工程院院士李培根分享了5G���、AI��、大數據共享����、智能制造等重大議題為人類的生活帶來的便利:
在智能維修場景���,AR可以帶來更加沉浸的體驗��,并且對獲得的工業(yè)大數據進行采集、分析等一系列處理�����。在遠程會診場景,5G+MR可以實現數百公里之間的異地實時專家手術指導���。
然而�����,李培根院士也提到�����,看似平凡的時代��,隱憂藏在水面之下���。與新技術伴生而來的,是前所未有的挑戰(zhàn)�����。
一輛網聯車被黑�����,可能導致發(fā)生嚴重交通事故;關鍵基礎設施遭到攻擊��,其危害甚至將上升到國家安全高度。數字化技術把人和物都變成了線上元素��,新基建為智能時代編織了一張巨大的生存基礎網絡��。此時����,網絡上的任何一個節(jié)點都很難獨善其身,所以�,任何的安全問題都不止是影響個體,而是會引發(fā)大面積“感染”�����。
價值上億美元的安全漏洞
連上廁所都要刷識別卡�,臺積電的安全意識已經是處于高水位,但是還是難免一次損失慘重的病毒攻擊��。
2018年����。因新機臺在“安裝軟件的過程中操作失誤”,導致病毒在新機臺連接到公司內部電腦網路時發(fā)生病毒擴散����,臺積電的生產線全數停擺,最重要的三大生產基地相繼崩潰����,時間長達三天。相應��,產線上的客戶產品也受到影響�����。此時的臺積電正在全力為蘋果計劃今年秋季發(fā)售的新款iPhone生產芯片��,顯然產線崩潰問題如果不能盡快解決�����,或將導致iPhone的推遲發(fā)布�����。
一個不起眼的網絡安全缺口不僅給臺積電帶來上億美元的嚴重損失����,同時通過蝴蝶效應還可能點燃更大的風險隱患。
無獨有偶��,2019年,挪威鋁生產商Norsk Hydro也遭受了嚴重的勒索軟件攻擊��。攻擊影響了其擠壓業(yè)務����,導致其開發(fā)和銷售鋁門窗及外立面產品的部門持續(xù)停滯,最后�,總損失已達到4000萬美元。
一件件安全事件詮釋了赤裸裸的事:網絡攻擊就是這樣無孔不入��、防不勝防��。而且��,有跡象表明�����,這項巨大的威脅正在瞄準制造業(yè)���。
制造業(yè)成為網絡犯罪的“香餑餑”
在NTT Security推出的《2017年全球威脅情報報告》中����,就有提到制造業(yè)(13%)已經和金融(14%)����、政府(14%)成為最容易受到攻擊的三大行業(yè)����。Vectra的2018年行業(yè)聚焦報告顯示��,制造業(yè)網絡內部監(jiān)視和橫向移動攻擊活動的發(fā)生率高于正常水平�。在最新的《2020全球威脅情報報告》中����,再次確認,在去年物聯網持續(xù)受攻擊�����,制造業(yè)成為風險最大的行業(yè)��。
制造業(yè)為什么會成為網絡犯罪者眼中的“香餑餑”?
首先對于近年來猖獗的勒索攻擊來說���,制造業(yè)廠商是一個非常理想的目標���。因為行業(yè)屬性決定效率就是金錢,對于這類企業(yè)來說時間就是生產力��。此外,制造業(yè)的生產線一般都是流水式��,一個環(huán)節(jié)的問題很可能導致整盤僵局�,損失巨大,這可以從臺積電的案例中詮釋�����。所以����,面臨這些勒索攻擊,制造商可能會被迫向網絡罪犯支付高額贖金�����,只求恢復產線����。
此外,受攻擊率在近幾年有明顯的上升��,其最關鍵的原因是智能化的推動��。有統計發(fā)現,科技程度越高的企業(yè)�����,越容易遭受惡意攻擊和控制����。
結合大背景來看,趨勢層面���,近年來,“ABCD”為代表的前沿技術迅速滲透至產業(yè)�����,開啟了工業(yè)4.0的革命征程��。政府推動層面���,供給側改革�����、新基建等不斷推動 “制造大國”向“制造強國”再向“智造強國“轉變���。
智能制造的安全風險高地
最核心的是����,智能制造將傳統制造業(yè)的封閉環(huán)境打破��,因為需要云計算�、大數據、物聯網����,將生產制造環(huán)節(jié)與互聯網信息系統連接起來,實現資源整合共享����、生產智能化自動化。
環(huán)境開放迎來了高產能的同時�����,大量攻擊隱患也魚目混珠進入制造業(yè)��。Vectra的2018年行業(yè)聚焦報告中就曾提及�����,制造業(yè)網絡由許多與智能設備和機器通信的網關組成,網絡攻擊者可以利用點對點設備所使用的相同自我發(fā)現來映射制造網絡以尋找竊取或損壞的關鍵資產�。硬件設備、控制系統�、網絡層安全、人員管理�����、APT����、工業(yè)云、數據都是智能制造環(huán)節(jié)中的安全警惕區(qū)��??偨Y來看�,風險高地主要分為四大類:
一是硬件設備層面的安全問題,如:芯片�����、嵌入式操作系統等是否存在漏洞����。因為,如果一家制造企業(yè)購買的設備中被放了一個“后門”,可以控制產品參數����,犯罪者只需要把參數做一些微調,設備加工出來的產品可能就會出現瑕疵�����,嚴重時甚至可以讓生產崩潰���。
二是網絡及軟件層面的安全風險�����,包括工業(yè)云平臺的安全攻擊����、支撐工業(yè)互聯網業(yè)務運行的應用軟件及平臺的安全���,當然還有工業(yè)網絡�,包括5G時代面臨的新威脅�����。如一些控制系統所使用的控制協議、控制平臺���、控制軟件在設計之初缺乏完整性���,存在輸入驗證,許可����、授權與訪問控制不嚴格,加密算法過時等問題����。
三是數據層面的安全挑戰(zhàn)。智能制造工廠擁有海量數據�,包括內部的內部生產管理數據、以及外部用戶的數據�����,這些數據在開放的環(huán)境中面臨著更嚴峻的泄露��、篡改等安全風險��。李培根院士在演講中提到:“社會5.0中���,連接推動所有一切的并不是資本���,而是數據。” 一語道出數據的無限價值����。社會5.0是日本提出的新術語,也是“第四次工業(yè)革命”的全球運動和信息通信技術進一步發(fā)展的產物�。當然,這也對制造業(yè)接下來的發(fā)展具有重要的指向意義��。
四是人員管理層面的挑戰(zhàn)�。同樣是在Vectra的報告中還曾發(fā)現,與其他垂直行業(yè)相比���,制造業(yè)惡意內部行為通常更猖獗�����,攻擊者已扎營其網絡內部��。智能化高度發(fā)展���,這對于企業(yè)內部各崗位的人員素質都有一定的要求����。但實際上很多廠商的工作人員并沒有足夠的安全意識�����,則很容易導致“無意識”的泄露����。此外,常言道���,日防也防�,家賊難防��。因智能制造網絡復雜��,也非常容易出現“內鬼”及 “有意識”的行為����,如破壞工業(yè)系統��、傳播惡意軟件��、忽略工作異常。
關于“主動出擊”的方法論
新基建下�,智能制造正在駛向快車道,不能因為安全問題突然剎車�����,所以在可持續(xù)發(fā)展的基礎上去應變��、完善安全措施是當務之急�����。
其中��,首先的方法論則是各企業(yè)嚴格落實相關法律法規(guī)��,如《關于加強工業(yè)控制系統信息安全管理的通知》�、《工業(yè)控制系統信息安全防護指南》等,對工業(yè)系統相關的管理與運維細節(jié)進行不斷更新和完善����。
此外,中國工程院院士��、中國電子首席科學家方濱興曾在公開演講中從宏觀上建議:智能制造安全應該從認識論�、進化論��、實踐論���、相對論、方法論�����、矛盾論6個角度去看待����。新技術會伴隨新安全問題,所以制造企業(yè)必須樹立動態(tài)�����、綜合的防護理念��。同時����,智能制造安全要從用戶、企業(yè)�、供應廠商、安全廠商、行業(yè)組織���、測評認證、監(jiān)管機構等各個層面��,打造一個聚合式的安全服務平臺�����,形成一個安全鏈���。
企業(yè)建立安全運維中心����,也是不錯的主動出擊方案��。該中心旨在建立企業(yè)的安全數據庫��,用工業(yè)大數據進行工業(yè)生產故障的預防性維護�����,找出生產環(huán)節(jié)的異常����。日積月累�,這個中心漸漸成為一個虛擬“安全專家“�����。據Gartner的預測��,工業(yè)企業(yè)建立的安全運維中心已成為一種趨勢���,預計到2020年將有40%的企業(yè)將建立安全運營中心�����。
總而言之��,制造企業(yè)最重要的是迅速應變能力�����?�?v觀數字化和智能化對于各產業(yè)的滲透過程����,制造業(yè)的升級都處于較慢的被動節(jié)奏。但是面臨轉型探索與新安全威脅并行的現狀��,制造行業(yè)需避免后知后覺�,而是立于智能網絡的全局,逐步建立主動防護的意識及措施���。否則最后,一個小漏洞很可能會成為壓死“駱駝”的那根稻草����。
贛公網安備 36050202000267號
