2019-2020年度工业信息安全形势分析报告
工业信息安全现状浅析
工业信息安全现状浅析1.淮浙煤电有限责任公司凤台发电分公司安徽淮南 2321312.浙江省能源集团有限公司浙江杭州 310063摘要:2020年5月中旬,工信部发布的《关于工业大数据发展的指导意见》显示,我国34%的联网工业设备存在高危漏洞,仅在2019年上半年嗅探事件就高达5151万起。
此外,根据中国信息通信研究院与工业互联网产业联盟的《2020上半年工业互联网安全态势综述》显示,国家工业互联网安全态势感知与风险预警平台对全国136个主要工业互联网平台、10万多家工业企业、900多万台联网设备进行安全监测,累积监测发现恶意网络行为1356.3次,涉及2039家企业。
关键词:工信部、高危漏洞、安全监测、恶意网络行为Analysis of the status quo of industrial information securityAbstract: in mid May 2020, the Ministry of industry and information technology issued the "guidance on the development of industrial big data", which shows that 34% of China's networked industrial devices have high-risk loopholes, with 51.51 million sniffing incidents in the first half of 2019 alone. In addition, according to the "overview of industrial Internet security situation in the first half of 2020" by China information and Communication Research Institute and industrial Internet industry alliance, the national industrial Internet security situation awareness and risk early warning platform has carried out security monitoring on 136 major industrial Internet platforms, more than 100000 industrialenterprises and more than 9 million Internet connected devices in China, and accumulated 1 356.3 times, involving 2039 enterprises.Key words: MIIT, high risk vulnerability, security monitoring, malicious network behavior作者简介:陈浩琦,1977,男,浙江绍兴,本科,助理工程师,淮浙煤电有限责任公司凤台发电分公司信息主管,主要从事工业信息化。
中国工业互联网发展报告
~中国工业互联网发展报告2019年3月,政府工作报告鲜明提出“打造工业互联网平台,拓展‘智能+’,为制造业转型升级赋能”,“工业互联网”一词首次被写入政府工作报告。
地方层面,福建、河北、内蒙古、长沙、深圳、广州、银川等地也相继出台相关支持政策和指导意见,因地制宜推动工业互联网发展政策落地实施。
总体来看,我国工业互联网发展加快从概念普及转入实践深耕阶段,形成了政策支持到位、技术创新多样、产业推进迅速的良好局面。
一 2019年工业互联网发展总体情况2019年,供给侧与需求侧同步发力,助力工业互联网迈入创新发展的快车道,市场呈现协同联动、创新活跃的良好发展格局,充满活力的产业生态体系加速形成。
工信部数据显示,2019年我国工业互联网产业规模将达到4800亿元,为国民经济带来近2万亿元的增长。
[1](一)三大核心体系实现全方位突破在政策红利的支持下,我国工业互联网建设的三大核心体系——网络、平台、安全实现全方位突破。
网络层面,工业互联网标识解析体系初具规模,五大国家顶级节点功能不断完善,实现与主要标识解析体系国际根节点的对接。
截至2020年1月15日,工业互联网标识注册总量突破20亿,二级节点已上线运营45个,覆盖钢铁、电子、医药等19个行业,接入企业超过1000家。
[2]平台方面,工业互联网平台建设迈上新台阶,初步构建起涵盖研发创新、生产制造、运维管理、平台资源整合等的多层次平台发展体系。
截至2019年底,全国具有一定区域和行业影响力的平台超过70个,重点平台平均工业设备连接数已达到69万台、工业App数量突破2124个。
[2]安全方面,我国工业互联网安全能力不断提升,国家、省、企业三级联动安全监测预防体系进一步完善。
国家级工业互联网安全监测平台已上线运行,可识别141类协议、4500余类联网设备和平台。
(二)产业承载基础持续夯实目前,特色鲜明的工业互联网体系逐渐形成,全国各类型工业互联网平台数量总计已有上百家,具有一定区域、行业影响力的平台数量超过70家,重点平台平均设备连接数达到69万台,工业模型数突破830个,工业App数量突破2124个,平台注册用户数突破50万。
工业控制系统信息安全浅析
1 工业控制系统信息安全简介工业控制系统被广泛应用于现代社会的诸多关键领域,包括能源、水电、通信、交通、调度、工业制造等。
在工业控制系统与互联网连接的趋势下,工业控制系统信息安全越来越引起业界的关注。
一个完整的工控企业的信息系统通常分为四层,即企业管理层、生产管理层、生产控制层和设备层。
企业管理层实现企业内部办公系统功能,生产相关数据不包括在内。
一般将生产管理层、生产控制层和设备层涉及的部分统称为工业控信息系统。
工业控制信息系统不但包括SCADA、DCS、PLC、RTU等专用的信号采集、数据传输和信息控制系统,还包括专用的工业通信输设备及工业企业专用数据库。
S C A D A(S u p e r v i s o r y C o n t r o l A n d D a t a Acquisition)即数据采集与监视控制系统,用来控制地域上分散的大型分布式系统。
SCADA系统控制的分布式系统,地域跨度大,分散的数据采集和集中的数据处理是SCADA的主要特点。
典型的SCADA系统有供水和污水收集系统、石油和天然气管道、电力电网及铁路运输系统等。
DCS(Distributed Control System)即分布式控制系作者简介:李莉中国信息通信研究院泰尔系统实验工程师。
统,是对工业系统的生产过程进行集中管理和分散控制的计算机系统。
DCS对实时性和可靠性要求较高。
DCS 通常是专用定制化系统,使用专用处理器,采用私有通信协议通信,运行针对企业特定应用的定制化软件系统。
DCS广泛应用在在能源化工、汽车生产、食品、废水处理等行业。
图1 工业控制系统架构PLC(Programmable Logic Controller)即可编程逻辑控制器,用于控制工业设备和生产过程。
PLC通常在较小的控制系统配置中作为主要组件,用于提供离散过工业控制系统信息安全浅析Analysis of Certification Requirements for IoT Wireless Communication Products at Home and Abroad李 莉(中国信息通信研究院,北京 100191)摘 要:本文首先研究了工业控制系统信息安全的范畴和发展现状,然后对工业控制信息体统安全行业发展带来的新机遇进行了探讨,接下来对促进工控信息系统发展的国内外相关标准做了梳理,最后给出了工控安全行业发展展望和建议。
工信安全:2019-2020年度数字经济形势分析
工信安全:2019-2020年度数字经济形势分析摘要:近日,首届“工信安全智库论坛”在北京召开。
在成果发布环节,国家工业信息安全发展研究中心信息政策所数字经济研究室主任殷利梅发布《2019-2020年度数字经济形势分析》报告。
近日,首届“工信安全智库论坛”在北京召开。
在成果发布环节,国家工业信息安全发展研究中心信息政策所数字经济研究室主任殷利梅发布《2019-2020年度数字经济形势分析》报告。
分析指出,2019年,在全球经济增长乏力的背景下,数字经济继续保持繁荣发展态势,规模和效益实现双提升,成为推动经济增长的关键力量。
具体来看,天地一体化泛在网络快速部署,各国抢占创新制高点。
数字产业积极探索,技术创新和模式创新双轮并驱。
新一代信息技术与实体经济深度融合,制造业数字化转型引领全球产业新变革。
数字政府日益深入,数据驱动、平台化和新一代信息技术应用特征显现。
数字贸易规则制定开始“加速跑”,区域协定成为主要推广方式。
数字税改革迅速扩散,成为美欧角力的一大焦点。
建立衡量数字经济共同框架成为各国共识,核算标准体系亟待建立。
数字经济成为国际合作焦点议题,我国从参与者逐渐转变为建言者。
基于以上对全球发展态势的基本判断,报告认为,我国发展数字经济仍面临着工业互联网如何形成良好的产业生态,保护个人隐私和数据价值挖掘难以平衡,数字经济核算体系亟待完善,以及不同区域和产业间数字鸿沟依然较大等问题和挑战。
下一步,建议要抢抓数字经济发展机遇,加快构建工业互联网产业生态,打造多元共治新格局,强化以电子政务推进国家治理体系和治理能力现代化,加大数字经济国际合作支持力度,推动建立标准、科学、包容的数字经济测度体系,拓展数字经济发展新空间。
工业互联网标识解析安全白皮书(2020)-69页
工业互联网标识解析安全白皮书(20 20 )
作。在安全方面,解析客户端可以选择是否使用DNSSEC,目 前未提供其它安全保障方案。OID技术已在信息安全、医 疗 卫生、网络管理等领域有应用实践。
EPC技术于1999年由美国麻省理工学院Auto-ID中心 (现为EPCglobal,属于GS1组织)首次提出,EPC标签数据 标准(TDS)规定了其数据格式与编码方案。EPC解析系 统采 用迭代解析方式,同样依托DNS,通过NAPTR记录 完成解 析。EPC系统主要从EPC、EPC标签和读取器、服务 发现、网络信息四个方面增强其安全性。EPCglobal在中 国的分支机 构由中国物品编码中心负责成立,为国际 EPCglobal系统成员 提供服务,负责制定EPC物联网标准以 及EPC码在中国的分 配与管理。
自成立以来,保障技术所始终坚持贯彻落实总体国家安 全观,以护航制造强国和网络强国建设为重点,围绕新一代 信息技术与制造业融合带来的安全需求,以“风险可发现、可 防范、可处置”为保障目标,面向工业控制系统、工业互联网、 工业云、工业大数据、新一代信息技术等领域开展核心安全 技术攻关,2018年以来承担40余个工控安全、工业互联网安 全专项和重大课题,构建保障技术平台和专业技术力量, 有 力支撑主管部门完成工控安全、工业互联网安全等相关监 督 指导工作,帮助工业互联网企业提升安全保障能力。保障 技 术所建立了扎实的技术与服务能力,包括工业信息安 全技术 保障平台建设、工业信息安全实验室建设支撑、工 业互联网 安全技术服务与咨询、工业互联网数据安全监测 与防护、工业数据安全交换共享、工业互联网标识解析建设 与安全认 证、标准研究与对标评估、安全评估评测等。
目录
CONTENTS
一、工业互联网标识解析概述
2023-工业信息安全态势报告-1
工业信息安全态势报告
工业信息安全是工业互联网的命脉,也是国家安全和经济安全的重要
组成部分。
针对中国工业信息安全现状,中国工程院、工业和信息化
部等单位联合发布了《工业信息安全态势报告》。
下面从几个步骤来
阐述这份报告。
第一步,报告观察。
2019年是中国工业互联网快速发展的一年,报告
对工业互联网的发展和安全形势进行了观察和分析。
中国工业互联网
升级换代加速,智能化、数字化程度不断提高,同时也面临着网络攻击、系统漏洞等安全威胁。
第二步,报告数据。
报告汇集了多方面的数据,包括工业互联网安全
事件、工控漏洞等一系列数据。
报告指出,2019年工业互联网安全事
件高发,工控漏洞数量较上年度有所上升,企业信息安全意识有待提高。
第三步,报告评价。
报告对我国工业信息安全形势给出了综合评价,
认为整体形势较为严峻。
报告指出,我国工业信息安全整体水平还需
进一步提高,企业应该重视信息安全建设,加强安全防范和应急响应。
第四步,报告建议。
针对工业信息安全形势,报告提出了多条建议,
包括提高安全防范意识、加强信息安全基础设施建设、强化网络安全
人才培养等。
这些建议提供了一些建议和思路,帮助我们更好地应对
安全威胁。
总体而言,《工业信息安全态势报告》的发布对我国工业信息安全形
势的观察、分析和评价,提供了一系列对策与建议,促进了工业信息
安全建设的开展。
最终,技术手段只是保障信息安全的手段,企业和
国家需要有更全面、深入的方法,并付诸实践,更好地应对工业互联网发展和变化所带来的机遇与挑战。
2019年信息安全自主可控行业分析报告
2019年信息安全自主可控行业分析报告
2019年5月
目录
一、等保2.0落地,释放行业空间 (4)
1、等级保护是我国网络安全方面的基本制度 (4)
2、2007-2017年是等级保护1.0时代 (4)
3、等级保护即将进入2.0时代 (6)
二、有效需求释放,央企考核升级带动行业空间扩容 (9)
1、云计算、V2X车联网、工业互联网的发展为IT系统安全带来新的挑战 (9)
2、新应用的出现为网络安全市场提供了新的空间 (9)
3、网络安全首度纳入央企业绩考核指标 (10)
三、信息安全行业证券化水平有望提升 (11)
1、中电基金和网安基金入股绿盟科技 (11)
2、美亚柏科引入国投智能,实控人变更为国资委 (11)
3、360及360企业安全分家,中国电子接手,奇安信独立入局政企安全市场
(11)
4、金山软件分拆金山办公冲击科创板 (13)
5、网络安全领军企业迪普科技上市 (13)
6、科创板承接信息安全生力军 (14)
四、贸易摩擦倒逼自力更生,从自主可控走向安全可靠 (14)
1、自主可控战略意义空前重大 (14)
2、自主可控领域主要参与者可分为CEC系、CETC系、浪潮系、中科系、紫光系 (16)
五、相关企业 (17)。
江西省工业和信息化厅关于印发《江西省工业控制系统信息安全三年行动计划(2019-2021年)》的通知
江西省工业和信息化厅关于印发《江西省工业控制系统信息安全三年行动计划(2019-2021年)》的通知
文章属性
•【制定机关】江西省工业和信息化厅
•【公布日期】2018.12.29
•【字号】
•【施行日期】2018.12.29
•【效力等级】地方规范性文件
•【时效性】现行有效
•【主题分类】工业和信息化管理综合规定
正文
江西省工业和信息化厅关于印发《江西省工业控制系统信息安全三年行动计划(2019-2021年)》的通知
各设区市工信委(局)、赣江新区经发局,省直管县工信部门:
为提升我省工控信息安全防护能力,促进我省网络安全产业发展,我厅制定了《江西省工业控制系统信息安全三年行动计划(2019-2021年)》,现印发给你们,请结合实际认真贯彻执行。
江西省工业和信息化厅
2018年12月29日。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2019-2020年度工业信息安全形势分析2020年1月未来一段时期,我国工业信息安全发展的主要趋势和发展展望。
对我国工业信息安全发展提出的发展路径、政策建议、解决方案等。
2主要内容01 基本情况 2019年全年国内外工业 信息安全发展基本态势, 包括战略、政策、事件、漏洞、技术、产业等方面主要进展和突出特点。
02问题挑战当前时期,我国推进工业信息安全发展面临的外部风险、挑战,内部存在的矛盾、问题和短板。
03发展趋势04对策建议2019基本情况各国工业信息安全相关政策举措更加具体实操1以工控系统、工业互联网为对象8月国土安全部网络与基础设施局 ⏹ 战略意图文件将工控安全作为优先事项 8月《国家网络安全行动计划 (2019-2024)》⏹ 要求公共安全和应急部门提供工控安全威胁和态势信息; ⏹ 加强技术培训以增强工控系统弹性;⏹ 成立工控系统咨询委员会10月《国家网络安全行动计划 (2019-2024)》⏹ 聚焦工控系统,指出人员、流程和技术是防护三大挑战并提出对策3以能源领域为重点与5G 供应链安全相关联2月德国联邦网络局⏹ 将对5G 等网络适用的设备建立安全认证制度3月欧盟委员会《5G 网络安全建议书》⏹ 建议欧盟国家采取方法确保5G 网络安全, 阐述成员国层面和欧盟层面确保5G 网络 安全的方法和程序 5月《布拉格提案》⏹ 强调5G 技术和设备供应链安全,建议考虑第三国政府可能对供应商施加影响的风险 9月美国和波兰签署《5G 安全联合声明》⏹ 要求对电信供应商严格评估,评估5G 供应商是否收到外国控制5月国家标准与技术研究院《工业物联网安全:基于场景的能源部门网络安全》⏹ 防范工控恶意软件感染,确保能源系 统数据安全,保护分布式能源系统免 于受阻6月 参议院《能源基础设施安全法案》⏹ 保护电网免受网络攻击,建立试点项 目寻找电网漏洞北美电力可靠性 委员会8月 《网络安全事故报告和响应计划指令》 ⏹ 明确北美大型电力公司网络安全事故报告义务,细化电力网络安全防护要求9月《2019第105号法令》⏹ 要求电信运营商通报关基信息,确保关基安全2 勒索病毒、APT 等网络安全威胁对工业影响加剧⏹ 每月受攻击率约为20%⏹ 欠发达地区受攻击比例远高于相对发达地区;3月,英国核电公司受网络攻击3月,挪威Norsk Hydro 受勒索病毒攻击中国 40% 36.0% 36.6% 36.7%34.2%3月,美国 Hexion 、35% 30%37.2%35.9% Momentive 受勒索病毒攻击; 电网遭受Dos 攻击25% 22.3% 22.5% 22.6% 3月,7月,委内瑞拉古里水电站遭攻击20% 15%22.9% 20.6%19.7%10月,印度 核电公司感染对汽车厂商APT 攻击集中出现2019年全球受攻击的工业主机比例⏹ 数量:超过10次恶意软件=⏹ 区域:美国、英国、印度、委内瑞拉、南非 ⏹ 领域:电力、天然气、石油等领域宝马、丰田、现代4勒索软件对工业企业的影响加剧能源是首选攻击领域针对工业域的网络攻击保持高发4月,瑞士大型制造企业AebiSschmidt 受勒索软件攻击春季,德国宝马汽车公司的网 络系统遭“海莲花” 入侵6月,比利时艾默生比利Zaventem 工厂受勒索病毒攻击2月,东京丰田汽车公司IT 系统 遭“海莲花”入侵2 勒索病毒、APT等网络安全威胁对工业影响加剧俄罗斯首次国家级断网演习顺利开展俄罗斯主权互联网法案正式实施12月11月普京签署“俄罗斯独立主权互联网”法案计划建设独立的国家域名解析(DNS)系统和Runet独立互联网,计划在2020年控制全国95%以上的网络流量俄罗斯主权互联网法案提出6月5月2019年11月2018年6月15日美加大对俄电网渗透6月20日美国定向瘫痪伊朗火箭导弹发射控制系统5国家间网络战从幕后走向台前,俄罗斯国家级断网演习获得成功3 工业控制系统安全漏洞持续增多并呈现多样化特征PLC, 16.9%资料来源:中国国家信息安全漏洞共享平台(CNVD )资料来源:中国国家信息安全漏洞共享平台(CNVD )其他, 36.4%DCS, 16.9%高危漏洞危漏洞有厂商修复无厂商修复SCADA 软 件, 10.1%658.7%45.3%42.3%2014年-2019年的新增工业控制系统漏洞数量拒绝服务漏洞缓冲区溢出漏洞信息泄露漏洞内存破坏漏洞 DLL 劫持漏洞不当身份验证漏洞51 491020304050其他, 25.1%研华科技, 8.0%西门子, 36.7%施耐德电气, 8.9%51.1%中危漏洞低涉及多个品牌的多种产品多种类型的安全漏洞被挖掘 工控系统安全漏洞持续增长 108133 19135144256719 17 12 124 政策体系和安全保障工作机制初步形成顶层设计 技术支撑标准体系 安全评估7常态化安全评估机制逐步建立⏹ 国家层面,持续开展针对工业互联网安全、车联网安全、工控安全的检查评估⏹ 地方层面,河北、河南、陕西等地开展工控安全检查评估安全标准供给体系进一步加强⏹ 《工业互联网综合标准化体系建设指南》 ⏹ 国家标准:“等保2.0” 《信息安全技术 工业控制系统漏洞检测产品技术要求及测试评价方法》等7项标准发布。
⏹ 行业标准:《工业互联网平台安全防护检测要求》《工业互联网平台安全风险评估规范》 《工业互联网 安全服务机构能力认定准则》等 加快制定。
顶层设计加强,实操举措出台⏹ 《加强工业互联网安全工作的指导意见》 ⏹ 《工业互联网企业网络安全分类分级指南 (试行)》(征求意见稿) ⏹ 《工业控制系统信息安全防护建设实施规范》技术支撑体系完善,安全监测平台发布⏹ 国家级工业互联网安全监测平台初步建成,与山东、江苏、广东等18个省级平台对接,覆盖设备 3000余万台,海尔、树根互联、360等建立企业级 平台⏹ 国家工控安全监测平台覆盖8个省级平台、200个企业节点5 工业信息安全技术创新和产业发展动力强劲创新工程2年支持超过100个安全项目,促进工业互联网等重点关键领域核心安全技术突破,撬动社会资金投入超百亿元。
2019年工业互联网创新发展工程安全方向共14个试点示范4月,部网安局试点示范项目关注工控安全与工业互联网安全;11月,《关于开展2019年工业互联网 试点示范项目推荐工作的通知》政府支持社会推动联盟平台工业信息安全发展联盟工业互联网产业联盟中国网络安全产业联盟安全赛事2019年工业信息安全技能大赛⏹“护网杯”2019年网络安全防护赛暨第二届工业互联网安全大赛⏹“天府杯”2019国际网络安全大赛2019年北京网络安全大会2019首届中国工业互联网大赛校企协作神州绿盟、安恒信息、奇虎测腾等安全企业入选2019年教育部产学合租协同育人项目2019基本情况全) 元投资2.98亿4.49亿元2019.01.07 奇安信(360企业安 B 轮融资9亿元中电基金和网安基安全厂商与自动化厂商等加强合作。
93.9 亿2019.02.10 绿盟科技 2019.02.19 烽台科技 金投资10.08亿 首轮天使融资,金额未公开威努特&Moxa奇安信&沈阳工业大学70.32 亿2019.03.11长扬科技 数千万元A+轮融资 2019.03.18 上海观安B +轮融资1亿+元获战略投资37.31亿 ⏹ 天融信&中控科技等52.65 2019.04.12 奇安信 元43.36 亿亿33.55%29.03%25.69%2019.04.12 迪普科技 完成IPO 上市融资2019.04.19绿盟科技 获得启迪科服战略2019.05.16烽台科技 获得Pre-A 轮融资 2019.06.21 融安网络 A 轮融资数千万元 2019.08.17 安博通 完成IPO 上市融资2019.09.30 山石网科 IPO 上市融资近9亿 2019.10.15长扬科技 Pre-B 轮融资数千万2016年 2017年2018年 2019年(预计)⏹ 政策红利释放、安全态势倒逼、企业意识 提升共同促进产业规模提升2019.12.09齐安科技千万元级天使轮融资⏹ 工业信息安全市场投融资活跃,集团型 公司对工控安全领域进9行战略投资安全厂商渴望植入“工业基因”工业信息安全市场投融资活跃 工业信息安全产业整体规模保持高速增长6 预计产业规模增速30%,整体规模逼近百亿2019.10.25 天地和兴 C 轮融资近2亿元 2019.11.05安恒信息 IPO 融资近10亿元 2019.11.12 珞安科技 A 轮融资数千万元。