加强化工信息安全防护势在必行

　　《2019~2020年度工业信息安全形势分析》发布，业内认为——

　　1月10日，由工信智库联盟指导、国家工业信息安全发展研究中心主办的首届工信安全智库论坛在北京召开，会上发布了《2019~2020年度工业信息安全形势分析》(简称《报告》)。根据《报告》，2019年全球工业信息安全发展环境日益严峻，网络攻击对于包括化工行业在内的工业领域的影响进一步加剧，针对工业企业的工业信息安全防护能力亟待提升。

　　网络攻击影响凸显

　　《报告》显示，2019年，全球工业信息安全发展环境日益严峻，网络攻击对工业领域的影响进一步加剧。据国家工信安全中心不完全统计，2019年全球发生的工业信息安全事件数量超过了2018年总量的1.5倍，包括化工行业在内的制造业和能源产业成为网络攻击的重点目标，勒索病毒、APT等网络安全威胁严重影响工业企业正常生产运营。2019年3月两家美国化工企业以及挪威的铝业巨头遭受勒索软件攻击，造成大量生产系统关键数据损失，部分工厂被迫关闭。

　　工控系统安全漏洞持续增多，并呈多样化特征。中国国家信息安全漏洞共享平台的统计数据显示，截至2019年12月，本年度新增工业控制系统安全漏洞数量同比增长12.8%，已达到567个，其中中高危漏洞占比96.5%。在已公开详细信息的338个新增工业控制系统漏洞的成因多样化特征明显，技术类型多达94种。从产品类型上看，PLC、SCADA软件、组态软件等产品的漏洞数量较多。

　　“这些系统和设备广泛应用于制造业、能源及市政等主要领域，一旦被攻击入侵，将带来重大安全隐患或经济损失。”国家工信安全中心政策所网络安全研究室主任孙倩文表示，“与此同时，人员操作失误正在成为引发安全事故的最大‘漏洞’，防火墙错误配置、数据库错误配置等时常成为数据泄露、设备被攻击的直接原因。”

　　问题犹存挑战严峻

　　《报告》指出，随着工业信息安全发展环境日益严峻，我国工业领域在应对网络攻击方面的短板也凸现出来，挑战来自于多方面。

　　一是工业互联网进入深耕阶段，新兴技术在工业领域融合应用带来的伴生效应将进一步显现，诸如联网设备、平台和数据安全风险日益严峻，5G或造成毫秒级的破坏，边缘计算加持下的物联网安全风险增加，人工智能可能导致攻击效率指数级增长等。

　　二是工业行业的高度复杂性增大了安全防护难度。工业行业众多，企业数量庞大，异构化的工业数据对安全防护带来挑战。

　　三是工业企业实施安全防护上缺乏可落地的具体指导。由于缺乏相关市场准入机制、行业标准、检测认证规范和技术手段，企业在工业信息安全产品和服务质量上缺乏判断能力。

　　四是网络安全产业对工业领域针对性的支撑能力不足。我国的网络安全企业规模小、研发能力不足，且大多是以网络安全业务为主，在工业信息安全、工业互联网安全等领域的产品积累和服务经验不足。而专注于工业互联网安全的厂商多为初创企业，处于技术研发实力爬坡阶段，同时由于安全厂商对于工业领域制造技术、工艺流程等工业知识缺乏系统性掌握，无法提供部署在控制系统内部的安全产品和解决方案。

　　业内人士表示，在化工行业，智慧园区、智能工厂、智能车间等正呈燎原之势，且化工生产存在诸多易燃易爆的高危环节，一旦遭受攻击后果不堪设想，因此加强信息安全、工控安全防护尤为必要。“网络安全产业对工业领域的支撑力度亟待加强。”孙倩文说。

　　贴近需求提升能力

　　展望未来信息安全形势，孙倩文提出，未来工业企业应对网络攻击将成为常态，应对网络安全风险的能力将成为企业生存和发展的重要指标。同时，随着新技术的推广和应用，工业信息安全将更多关注供应链安全，5G的应用会进一步释放工业企业网络安全防护需求，网络安全企业需要深耕工业领域信息安全防护特点，开发设计适合工业现场和控制系统等使用的安全产品和解决方案。

　　IT管理软件公司SolarWins发布的一份调查报告显示，造成网络安全事故的因素中内部人员因素占六成。工业企业作为网络安全威胁的直接作用主体，自身防护能力的提升也显得尤为重要，在采购外部安全防护产品解决方案的同时，工业企业还应更加注重优化自身的安全管理机制和防护手段，加强企业内部的组织管理，减少人为事故。

　　对此，孙倩文强调：“未来一段时间，工业企业最迫切的任务是建立起有实操能力的、能快速有效更新安全补丁、弥补漏洞的安全团队，在组织管理层面加强网络安全管理，提升专业技能，堵住‘人为漏洞’是降低网络安全事故最有效的和最直接的方法。”

　　针对越发严峻的工业信息安全形势，《报告》提出建议，下一阶段，我国应健全安全风险评估管理机制;加快建设国家、省、企业三级协同的安全监测体系，针对不同企业实施差别化管理和防护，完善以企业为主体的防护标准体系;建立工业软硬件安全检测手段;构建综合性、协同性工业信息安全防护体系;进一步加强政产学研用优势资源整合，提升我国工业领域网络安全保障能力。