工业信息安全检测评估工作成效显著.docx
- 文档编号:28012066
- 上传时间:2023-07-07
- 格式:DOCX
- 页数:11
- 大小:73.25KB
工业信息安全检测评估工作成效显著.docx
《工业信息安全检测评估工作成效显著.docx》由会员分享,可在线阅读,更多相关《工业信息安全检测评估工作成效显著.docx(11页珍藏版)》请在冰豆网上搜索。
工业信息安全检测评估工作成效显著
工业信息安全检测评估工作成效显著
一工控安全检查评估工作有效开展
为深入贯彻落实《中华人民共和国网络安全法》《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》有关要求,加强对工业企业工业控制系统信息安全(以下简称工控安全)工作的指导和监督,全面排查工控安全风险隐患,督促工业企业有针对性地做好工控安全防护工作,工业和信息化部在全国范围内开展了2018年度工控安全检查评估工作。
(一)工作开展情况
2018年工控安全检查工作围绕工业企业安全自查、技术队伍抽查评估两方面开展。
企业安全自查覆盖全国31个省(自治区、直辖市)和新疆生产建设兵团,自查内容在2017年的基础上新增了工业云信息安全情况和主流品牌厂商统计等;技术队伍抽查评估范围包括上海、四川、江苏、湖北、海南等5个省份及其辖内10家重点工业企业;具体工作开展情况如下所述。
1.企业安全自查
根据《工业控制系统信息安全防护指南》(简称《防护指南》)各项要求,工业和信息化部信息化和软件服务业司结合当前工控安全形势和突出问题,首次将工业云安全自查工作纳入工控安全自查工作中。
工业企业填报了《工业控制系统信息安全自查表》及《工业云信息安全自查表》,内容包括工业控制系统运营单位基本情况、工业控制系统功能、组成结构和构成组件,以及《防护指南》各项内容落实情况、工业云的部署方式和行业分布、系统及数据上云情况、工业云安全防护情况等,反映了工业企业工控安全要求的落实情况。
自查工作覆盖全国7000余家工业企业的5万多套重要工业控制系统,工业企业中500余家应用工业云的企业。
2.技术队伍抽查评估
2018年7月,工业和信息化部信息化和软件服务业司围绕《防护指南》的各项要求,在与行业主管部门及地方工信主管部门充分沟通的基础上,遴选了上海、四川、江苏、湖北、海南5个省份的10家工业企业,依托国家工业信息安全发展研究中心、中国电子技术标准化研究院、工业和信息化部电子第五研究所、中国软件评测中心等4家部属单位组建了6支专业技术队伍,开展了工控安全自查情况抽查工作,被抽查企业覆盖了钢铁、石化、机械制造、电力、化工、天然气等涉及国计民生的重要工业领域。
抽查工作共计派出检查工作人员60人次,工作量204人天,围绕《防护指南》11个方面30项防护要求开展工作,了解企业实际的指南落实情况和防护能力现状,查找企业存在的工控安全问题,评估其安全防护水平,并提出有效的解决方案。
(二)检查发现的主要安全问题
1.工业主机安全防护措施不足
部分企业工业主机尚未安装任何安全防护软件、未采取有效措施管理外设接口等,多数被评估企业存在工业主机漏洞补丁更新不及时等问题。
攻击者可利用漏洞安装后门,获取或破坏关键业务数据甚至获取系统控制权限。
2.企业外网业务系统漏洞严重
部分企业向互联网开放服务的业务系统存在多处高危安全漏洞,如SQL注入、弱口令等漏洞,被利用后可直接获取相应服务器控制权限,进而形成互联网通路,远程进入企业内网。
3.企业内网分区分域不严格
部分企业未对其内网进行分区分域隔离,在终端设备安装使用双网卡,可同时接入办公网络及生产网,为攻击者攻击工业控制网络提供了路径;相关安全技术防护策略存在严重缺陷,安全防护设备存在默认口令,攻击者利用该隐患可成功获取入侵检测与管理系统的控制权限,通过修改或关闭其网络入侵检测和管理功能,可导致设备失效。
4.工业控制网络边界防护手段不足
自查数据显示,部分企业工业控制系统未采取任何防护措施,直接与企业网或互联网连接,部分企业生产网可被黑客直接从互联网渗透进入。
另外,近七成工业企业工业控制系统边界未横向部署隔离设备,存在被恶意软件大规模感染的风险。
5.工业企业采用云服务风险隐患突出
我国工业互联网蓬勃发展推动工业云应用企业不断增多。
多数应用公有云和混合云的工业企业,存在尚未对上云数据进行分级分类管理、未对上云重要业务系统和应用开展上线前安全测评等安全问题,大部分应用私有云的工业企业未对信息流向境外进行限制。
企业与云服务商之间存在安全责任不明晰、安全防护不到位等突出安全风险隐患。
6.关键设备和核心部件多使用国外产品
我国工业网络设备和安全设备发展较快,企业所应用的相关产品以国内产品为主。
但可编程逻辑控制器(PLC)等工业控制系统核心软硬件仍大量采用国外品牌,其中,西门子、ABB等国外厂商在数量上占极大优势。
部分企业核心工业控制系统的运行维护等仍严重依赖国外厂商,工业控制系统嵌入式程序和控制芯片基本被国外产品垄断,无法全面探查其是否存在漏洞、后门,且国外厂商对设备存在的漏洞、后门等风险隐患问题整改率较低。
(三)主要成效
与2017年相比,2018年工控安全各项政策措施落实情况有所改善。
通过连续组织实施年度工控安全检查评估,工作体系不断完善,手段更为丰富,人才队伍愈发成熟,对工业企业工控安全防护工作的管理和指导成效显著。
1.进一步掌握工业企业安全防护现状
通过本次开展企业安全自查、技术队伍抽查评估等工作,了解当前工业企业工控安全防护现状和亟待解决的共性安全问题,在开展自查的企业中约有7成企业基本落实了《防护指南》的各项要求,其中离散行业相对流程行业落实程度略高。
2.首次聚焦工业云安全防护情况
2018年,检查评估工作覆盖面进一步扩大,参与自查的工业企业数量比2017年增长38.13%,并且增加了工业云的安全检查内容,初步掌握了使用公有云、私有云、混合云等部署方式的企业和行业分布、系统及数据上云情况、工业云安全防护、云服务商安全监管等情况。
3.培育工控安全检查评估人才队伍
评估工作通过委托国家级工控安全检查评估机构和人员完成,提升了对检查评估工作方案和检查评估指南的理解和实施能力,掌握了工业控制系统常见的脆弱点和风险点,积累了工业信息安全检查评估经验,为后续全面开展工控安全检查奠定了基础。
二工业互联网安全检查评估首次启动
2018年,工业互联网发展应用给工业企业带来更多便利和利益,也导致工业网络与企业内网、互联网的界限越来越模糊,给边界安全防护带来极大挑战。
工业互联网承载着服务客户信息、生产工艺参数、产品运行状态、业务运营情况、供应链分布等大量关系个人隐私、企业生产、社会经济命脉乃至与国家安全相关的重要敏感数据,数据安全面临严峻风险。
为贯彻落实国务院《关于深化“互联网+先进制造业”发展工业互联网的指导意见》等文件要求,全面掌握我国工业互联网安全现状,工业和信息化部于2018年首次组织开展工业互联网安全检查评估工作。
(一)工作开展情况
为提高企业工业互联网安全防护意识,促进企业切实提升工业互联网安全保障水平,工业和信息化部网络安全管理局选取通信、汽车制造、石油化工等行业的11家典型工业互联网平台企业和9家重点工业企业,委托5家专业检查评估机构对工业企业、工业平台及工业互联网APP(以下简称工业APP)开展2018年工业互联网安全检查评估,工作开展情况如下。
1.开展工业互联网安全检查评估
2018年,工业和信息化部网络安全管理局组织国家工业信息安全发展研究中心牵头编制了《工业互联网安全检查评估指南》,明确了对事关国家安全和社会稳定,对地区、部门或行业生产生活具有较大影响的工业互联网相关重要信息系统进行重点检查。
5月,工业和信息化部遴选了中国一汽、三一重工、徐工、青岛海尔、树根互联等20家典型工业互联网相关企业,委托国家工业信息安全发展研究中心、中国信息通信研究院、国家互联网应急中心、中国软件评测中心和中国电子技术标准化研究院5家机构,分两阶段开展了工业互联网平台安全和工业企业检查评估工作,发现工业互联网重点平台、企业、应用的主要风险隐患,为下一步构建工业互联网安全保障体系奠定良好基础。
2.推动工业APP安全检测
2018年工业互联网安全检查同时对制造业企业的10款工业APP进行了安全检测,通过鉴别机制、访问控制、数据安全、运行安全等4个方向的测试,发现存在身份鉴别、数据传输未加密、可反编译调试等安全问题,并对工业APP安全问题提出整改措施和对策建议。
(二)检查发现的主要安全问题
通过对检查评估结果的梳理分析,发现被查企业主要存在以下四个方面高危网络安全风险。
1.互联网业务系统存在安全漏洞,缺乏有效的安全防护手段
部分工业互联网企业的工业互联网相关平台及其VPN等互联网应用系统存在权限绕过、弱口令、SQL注入等漏洞,利用这些漏洞可获取大量业务数据、内部敏感信息等,甚至可对工业互联网设备进行远程控制;多家工业企业的互联网应用业务系统存在弱口令、远程代码执行漏洞,可导致内部敏感信息泄露、核心业务系统服务器宕机,甚至可被上传后门程序以获取服务器主机权限。
2.企业内网边界访问控制管理薄弱,安全防护设备缺乏
多家企业均存在内网边界控制管理薄弱情况,部分企业的网络安全边界模糊,内网网络边界隔离与防护措施不完善,无线接入缺乏必要的访问控制措施,办公区存在不安全热点,内部网络边界易被突破;部分企业办公网与工业互联网平台网络以及生产网隔离不到位,部分生产网缺乏网络安全防护设备且部分生产网主机存在安全漏洞,易造成办公网病毒传播至工业互联网平台网络或生产网,导致内网沦陷、大量生产敏感信息泄露及生产设备被恶意控制的严重后果。
3.大量业务系统安全配置不当,易导致核心业务瘫痪
多数企业对其发布在外网的系统采取安全手段防护,但对内网安全防护认识薄弱,“重外网轻内网”现象较为明显,内网大量应用系统、数据库等存在弱口令、远程代码执行等漏洞,且部分服务器未部署防病毒软件等有效安全防护措施。
同时,部分企业内网管理未按照相关要求和企业安全防护需求进行分区分域,测试环境和实际生产环境未做分离。
4.网络安全建设尚不完善,员工安全意识薄弱
部分企业网络安全管理体系尚不健全、网络安全管理制度落实不到位;部分企业网络安全责任落实不明确,缺乏专职或兼职的网络安全管理人员;多数企业存在培训教育及考核力度不足、员工网络安全意识较差等问题,以及泄露无线热点密码、终端明文存储账户口令、业务系统开发源码管理不善等现象,导致重要敏感信息泄露,从而降低攻击者网络入侵难度,对企业安全造成严重威胁。
(三)主要成效
1.初步摸清工业互联网安全防护现状
本次工作初步评估了11家工业互联网平台企业和9家工业企业的工业互联网安全防护水平,发现了部分企业存在一些安全风险,主要体现在互联网业务系统存在安全漏洞,缺乏有效的安全防护手段,安全防护设备缺乏,大量业务系统安全配置不当等安全隐患。
被评估企业收到现场评估情况反馈表后,与评估工作组充分沟通,根据评估工作组提出的整改建议,迅速开展针对性防护整改工作,从技术、管理、运行等方面全面提升工业互联网安全防护水平。
2.逐步完善工业互联网检查评估机制
经实际验证,本次检查评估方法中的各项要求基本契合工业互联网安全防护实际需求,可形成公正客观的评估结果,得到了被评估企业的认可。
采用文档查阅、人员访谈、人工核查和工具检测四种评估方式,可较为高效地开展现场检查评估工作。
但在实际操作中发现,仍然存在少量普遍不适用的评估方法。
针对这些不足,逐步优化改进形成通用的工业互联网检查评估机制。
3.稳步提升工业互联网安全评估能力
此次评估工作将合规性检查与漏洞发现相结合,丰富了工业互联网安全评估方法和评估工具,从工业互联网设备、控制网络、平台和数据安全等多个维度对工业互联网安全进行评估,明确了工业互联网安全评估的要点,提高了工业互联网安全评估的效率,实现对工业互联网平台综合化、高效化的安全评估。
此外,此次评估工作的多次实战培养了一批专业技能过硬、能打硬仗的国家级工业互联网安全评估技术支撑队伍,更好地为工业互联网安全添砖加瓦,为工业互联网发展保驾护航。
三工控安全防护能力评估持续推进
在工业和信息化部的指导下,工控防护能力评估工作于2017年正式启动,帮助工业企业及时发现安全隐患,摸清安全防护现状,提高了工控安全自查技术能力,提升了整体安全防护水平。
2018年,依据《工业控制系统信息安全防护能力评估工作管理办法》(以下简称《管理办法》)相关要求,全国工控安全防护能力评估专家委员会和全国工控安全防护能力评估工作组于2018年3月正式成立,工控安全防护能力评估工作稳步推进,市场化进程逐步开拓。
(一)工作开展情况
1.组织首批全国工控安全防护能力评估机构申报
2018年,全国工控安全防护能力评估工作组秘书处组织制定出台了《工业控制系统信息安全防护能力评估机构管理(暂行)办法》,编制报送了《全国工控安全防护能力评估工作组管理(暂行)办法》《全国工控安全防护能力评估专家委员会管理(暂行)办法》等政策文件,开发了全国工控安全防护能力评估工作管理平台。
组织开展了工控安全防护能力评估机构申报工作,经材料报送、技术人员专业考试及专家评审等环节,共设立4家首批国家级工控安全防护能力评估机构并予以公示。
截至目前,共有147人通过专业考试,获得开展工控防护能力评估工作的资格。
作为专业技术机构,国家工业信息安全发展研究中心顺利成为全国首批工控安全防护能力评估单位之一。
2.典型企业工控安全防护能力评估
全国工控安全防护能力评估机构稳步开拓工控安全防护能力评估市场化服务,部分行业企业积极开展评估工作。
同时,工业和信息化部信息化和软件服务业司2018年在与部分重点行业的典型工业企业充分沟通的基础上,遴选了6家中央企业及大型国有企业下属的12家单位开展本年度工控安全防护能力评估工作。
依据《工业控制系统信息安全防护能力评估工作管理办法》129项评分细项,各评估工作组顺利完成了各项任务,总结分析了工业企业存在的安全风险隐患,提出整改措施和对策建议,向企业提交现场评估情况反馈表,并完成了评估报告的编制,效果良好。
3.推动完善工控安全防护能力评估工作体系
工业和信息化部陆续印发工控安全防护指南、防护能力评估工作管理办法和三年行动计划等政策文件,有效指导工控安全工作顺利开展。
全国工控安全防护能力评估专家委员会和全国工控安全防护能力评估工作组成立,选拔防护能力评估机构、建立防护能力评估工作管理平台等工控安全防护能力评估相关工作正有序开展,全国工控安全评估工作体系逐步完善。
(二)主要成效
1.协助企业及时发现安全隐患,提高工控安全自查技术能力
通过评估工作,发现部分企业存在工控安全责任不明确、工业主机管理和防护不到位、部分网络边界存在攻击路径、应用业务系统安全漏洞突出等方面的安全风险,并在现场评估过程中协助工控企业修复漏洞、完善安全防护措施。
通过指导企业进行安全自查,帮助企业完善技术体系,也进一步提高了企业工控安全自查技术和能力。
2.增强企业工控安全防护意识,助力工业信息安全人才培养
评估工作进一步推动企业将管理政策落到实处,帮助企业领导层及普通技术人员认识工业信息安全面临的严峻环境,提高对工业信息安全的重视程度,强化员工安全意识,全面提升工业企业的信息安全保障能力。
在现场评估过程中,分享和交流工控安全防护经验和对策建议,为工业企业建立自身安全技术队伍提供了有效指导。
工控安全防护能力评估工作协助行业、企业逐步组建不同层级的技术力量。
3.提升企业工控安全防护水平,打造以防护能力评估为抓手的信息安全管理长效机制
工控安全防护能力评估工作充分发挥专业技术机构力量,帮助企业引导分析安全问题,及时指出安全管理薄弱环节,为企业逐步建立以工控安全防护能力评估为抓手的信息安全管理长效机制提供了有效指导。
评估人员在现场评估过程中形成现场评估情况反馈表,被评估企业收到现场评估情况反馈表后,与评估工作组充分沟通,根据《防护指南》具体要求和评估工作组提出的整改建议,迅速开展针对性防护整改工作,全面提升企业工控安全防护水平,
四工业控制产品安全检测方兴未艾
随着“工业4.0”“两化融合”等概念的提出,以及工业互联网的兴起,工业控制系统与互联网的信息交互愈发频繁,网络安全漏洞和风险逐渐暴露。
对工业控制产品进行第三方安全测试,保证产品的基本安全,是实现工业控制产品安全“供给侧改革”的必经之路。
(一)工作开展情况
《中华人民共和国网络安全法》第二十三条要求,网络关键设备和网络专用安全产品由具备资格的机构安全认证或安全检测合格后方可销售,相关部门公布了第一批设备和产品的目录,并推动安全认证和检测结果互认工作。
作为国家关键基础设施重要组成部分,工业控制产品实施安全检测是贯彻、落实国家安全观的重要举措。
2018年6月,国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会等四部门发布了《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》。
国家工业信息安全发展研究中心承建的“国家工业控制系统与产品安全质量监督检验中心”,以及中国信息安全认证中心、工业和信息化部电子第五研究所等承建的相关机构,入选首批“网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录”,成为承担网络关键设备和网络安全专用产品安全认证、网络关键设备安全检测等任务的主要机构。
(二)检测发现的主要安全问题
国家工业控制系统与产品安全质量监督检验中心通过功能测试、性能测试、安全测试等测试方法,结合渗透测试、漏洞挖掘等技术手段,发现部分工业控制产品主要存在如下安全问题。
1.工业控制类产品
工业控制类产品包括可编程逻辑控制器(PLC)、变频器、工控计算机等,其安全程度是影响工业控制系统整体安全的重要因素。
以PLC为例,对大量国内外主流产品检测后发现主要存在以下三方面的问题。
一是通信认证机制缺失,不具备通信合法性认证或校验机制,非授权方劫持通信风险较高;二是网络服务未实现最小化,大部分控制器默认开放了高危端口,可导致产品被远程控制;三是通信协议处理存在风险,对畸形数据包处理能力存在问题,可导致控制器出现异常甚至拒绝服务等高危后果。
2.工业APP
经对工业APP的检测结果分析后,发现当前国内工业APP存在四方面安全问题。
一是身份认证机制存在缺陷。
多数产品不具备登录超时后锁定或自动注销的功能,不具备口令强度检查机制,不具备口令时效性检查机制,不具备输入口令过程中防键盘劫持机制。
二是用户访问控制不严格。
不具备限制应用账户多重并发会话功能,部分工业APP还存在滥用移动终端数据或资源的安全风险。
三是数据安全缺乏保障。
未采用安全的加密算法对网络传输的用户敏感数据进行加密处理,部分工业APP甚至采用明文方式传输重要工业控制数据或命令。
四是实现安全存在漏洞。
不具备有效机制以防止自身程序被反编译、反调试。
部分工业APP仍然存在已公布的高危风险漏洞,其中硬编码漏洞及文件未加固漏洞尤为普遍。
3.工业信息安全类产品
国内工业领域信息安全类产品类型越来越丰富,硬件类产品包括工业防火墙、工业安全审计平台、工业入侵检测等,软件类产品包括工业白名单软件、工业安全信息采集与防护平台及工业安全攻击威胁感知终端等。
但是这些工业信息安全产品自身也存在一些安全问题,通过对各类工业信息安全产品的检测发现两方面的问题。
一是自身程序防护能力较弱:
部分产品缺乏自身程序防护机制,存在被误操作关闭或恶意程序关闭风险,也给被防护工业控制系统带来安全隐患;二是软件框架存在漏洞:
部分产品使用的软件通用框架存在已公开的高危漏洞,并且厂商对所使用软件框架补丁修复、版本升级不及时,导致其产品存在极易被利用的高危漏洞。
-全文完-
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 工业 信息 安全 检测 评估 工作 成效 显著