一、工业互联网概念内涵

当前,互联网创新发展与新工业革命正处于历史性交汇期,互联网由消费领域向生产领域快速延伸,工业经济由数字化向网络化、智能化深度拓展。工业互联网是满足工业智能化发展需求,具有低时延、高可靠、广覆盖特点的关键网络基础设施,是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与应用模式。工业互联网深刻变革传统工业的创新、生产、管理、服务方式,催生新技术、新模式、新业态、新产业,正成为繁荣数字经济的新基石、创新网络国际治理的新途径和统筹两个强国建设的新引擎。

工业互联网包括网络、平台、安全三大体系。其中,网络体系是基础。工业互联网将连接对象延伸到工业全系统、全产业链、全价值链,可实现人、物品、机器、车间、企业等全要素,以及设计、研发、生产、管理、服务等各环节的泛在深度互联。平台体系是核心。工业互联网平台作为工业智能化发展的核心载体,实现海量异构数据汇聚与建模分析、工业制造能力标准化与服务化、工业经验知识软件化与模块化、以及各类创新应用开发与运行,支撑生产智能决策、业务模式创新、资源优化配置和产业生态培育。安全体系是保障。建设满足工业需求的安全技术体系和管理体系,增强设备、网络、控制、应用和数据的安全保障能力,识别和抵御安全威胁,化解各种安全风险,构建工业智能化发展的安全可信环境。

二、工业互联网面临的安全风险与挑战

工业互联网的快速发展使得传统工业相对安全的制造环境被打破,外部攻击风险增大,工业互联网自身的责任划分、产业布局、能力建设、人才培养等方面的不足也逐渐显现,内外安全问题交织,呈现以下新特点。

(一)工业互联网面临“一点突破,全网皆失”的安全风险,网络攻击危害严重

传统工厂网络环境相对封闭可信,通过与外部网络隔离实现安全防护,基本不具备防范网络攻击的能力。随着工业领域网络化、智能化的推进,工厂内部网络与互联网逐步打通,传统互联网病毒、木马、高级持续性攻击等网络风险向工厂内蔓延,一旦某个环节被突破,全网将处于易受攻击的高风险状态。同时,工业领域涉及到电力、能源、交通等关系国家民生的重要行业,一旦受到攻击,网络安全问题与生产安全问题交织影响,不仅会产生重大网络安全事件,甚至造成人民生命财产安全,影响经济社会稳定,危害国家安全。伊朗震网事件、乌克兰电网事件已为我们敲响了警钟。

(二)网络边界急剧扩张,新型安全风险管理和安全事件应急能力不够

传统工业领域使用的机械装备功能单一,基本不具备联网、分析、决策等复杂功能。随着工业互联网的发展,生产装备由机械化向高度智能化演进,智能机床、工业机器人等智能网联装备将大量部署于未来的工业互联网中,网络边界急剧扩张。此类设备不仅是网络攻击的对象,一旦被控制成为攻击源发动攻击,其破坏力将被指数级放大。2016年美国发生大规模断网事件,系黑客通过Mirai僵尸网络控制大量摄像头、打印机等联网设备发动攻击。维基解密披露的美国CIA监听事件也充分显示智能设备已成为实施隐蔽监听、发动大规模网络攻击的新兴目标。当前,针对智能网联装备的漏洞、后门等安全风险,美国已紧急发布了《保障物联网安全战略原则》,国内尚未形成有效的安全管理机制,针对此类安全事件缺乏高效的应急响应能力。

(三)跨国公司加紧布局全球性工业互联网平台,产业安全可控问题不容小觑

以通用电气(GE)的Predix平台为代表,工业互联网平台是将各种工业资产设备和供应商连接并接入云端的软件平台,能够为企业提供资产性能管理和运营优化等数字化服务。工业互联网平台是高端制造生态的核心竞争力,已成为国际巨头争夺工业互联网主导权的焦点,GE、西门子、微软、SAP等跨国企业已在全球部署各自平台,如GE已在全球4个数据中心部署Predix平台,并与中国电信合作积极寻求在我国落地。此外,我国PLC设备、SCADA系统严重依赖国外,如不加快推进包括工业互联网平台在内的产业整体布局,我国实现工业智能化的核心能力将依赖于跨国寡头,极有可能再次被锁定在价值链低端,自主可控能力将被极大削弱。

(四)工业互联网主体安全责任划分模糊不明,安全监管和制度体系尚未建立

工业互联网不仅涉及制造业、电力、交通等众多行业,也涉及装备、控制系统、数据、网络、应用等层面,在这种融合状态下,安全管理、协调等诸层面的职能关系尚未厘清,监管职责分散于各个行业主管部门,尚未形成责权清晰的监管体系。同时,工业互联网涉及研发设计、生产制造、产品流通及售后服务等全产业链多个环节,运营单位、工业互联网平台提供商等多方主体在保护工业互联网安全方面的法律责任和义务划分不清晰,难以有效督促企业落实工业互联网安全保护要求。

(五)传统工业领域行业局限性明显,安全防护水平难以快速提升

工业领域有其自身的行业特点,相比于安全性,更注重实时性和可靠性,漏洞修复、系统防护软件升级等安全措施难以快速更新迭代,导致工业系统维护能力不足。此外,工业设备升级换代周期长,生产装备、操作系统滞后于时代发展,无法适配新型安全防护技术及机制等。从企业角度看,工业企业普遍存在重发展轻安全的情况,对工业互联网安全缺乏足够认识,安全防护投入较低,安全产品、安全解决方案应用水平不高,实力薄弱的中小企业更是缺乏配套资金及人力部署安全措施。

(六)工业互联网对安全要求较高,安全技术能力建设不足

工业互联网可能是未来网络战的重点攻击目标,对安全能力提出了更高要求。美国已建立爱达荷、桑迪亚等多个国家实验室,德国成立弗劳恩霍夫应用研究促进协会,夯实工业领域安全技术储备,在工业互联网安全方面具有先发优势。我国整体工业互联网安全才刚开始起步建设,在传统工业领域应对新型攻击的安全能力不足,尚未形成国家级、有组织工业安全运行监测、网络安全事件监测发现、精准预警、快速处置和有效溯源的全网态势感知技术手段。随着工业互联网发展,针对标识解析体系、工业互联网平台、工业控制系统、工业大数据等的配套安全能力建设也需要高度重视。

(七)传统人才培养为“T型结构”,熟悉网络安全领域与工业领域的复合型人才短缺

当前,我国人才培养呈现T型结构,要求基础知识宽泛扎实,但对专业知识的培养局限于单一领域。工业互联网是工业和信息化深度融合的产物,为应对未来工业互联网发展带来的复杂问题,需要大量基础面宽、一专多能、多专多能的人才。此类安全人才不仅要掌握网络安全专业知识,又要熟悉工厂坏境的应用场景。当前,复合型人才短缺,现有网络安全人才水平还不能更好的满足工业互联网发展需求。

三、构建工业互联网安全保障体系的对策建议

牢固树立正确安全观,坚持“安全是发展的前提,发展是安全的保障”,坚持“安全和发展相同步”、“管理和服务相结合”的原则,强化技术、产业和应用的安全可控,切实防范、控制和化解各类安全风险,着力打造数字空间与物理空间一体化的工业互联网安全保障体系。

(一)构建工业互联网安全责任体系和制度环境

一是深入贯彻落实《网络安全法》,明确安全监管部门、各行业主管部门、行业企业、工业互联网平台提供商等不同主体的法律责任和义务,构建权责分明的工业互联网安全责任体系;二是研究建立工业互联网安全防护工作体系,与现有通信网络安全防护管理体系、工业控制系统安全防护体系做好衔接,统筹协调不同行业主管部门联合开展针对工业互联网的安全检查和风险评估,督促指导各责任主体落实安全防护要求;三是制定出台工业互联网安全指导性文件,指导企业开展工业互联网安全防护工作;四是完善工业互联网安全信息共享和突发事件应急处置机制,建设针对工业互联网的木马病毒样本库、漏洞库等。

(二)强化国家层面的工业互联网产业整体布局

一是重点突破工业互联网核心技术瓶颈,支持国内相关厂商与科研院所强强联合,研发应用广泛、但严重依赖国外的工业软硬件产品,如大型PLC设备、高端SCADA系统等;二是加强工业互联网核心环节如工业互联网平台的自主研发与部署,带动相关产业形成工业互联网自主发展的产业生态链;三是着力推动国产工业互联网软硬件产品和平台的市场应用,鼓励和支持能源、电力、制造、交通等重点行业采用国产技术和产品,以推动国产化应用促进工业互联网产业发展。

(三)打造工业互联网安全防护体系

一是突出重点,分类施策,对能源、电力、制造、交通等重点行业工业互联网加强安全防护,并纳入国家关键信息基础设施安全保障体系,为安全能力不足的中小企业提供公共安全服务,帮助企业及时发现安全隐患,增强风险防范能力;二是加强工业互联网标识解析系统、工业互联网平台、工业控制系统等基础设施安全防护,推动安全解决方案在重点行业的应用;三是强化重要工业数据和个人信息保护,严格落实现有网络数据和个人信息保护相关政策要求,加强针对核设施、化学生物、国防军工等领域重要工业数据以及个人信息出境安全评估。

(四)建立工业互联网安全标准和评估认证体系

一是研究制定工业互联网安全标准体系,明确标识解析系统、工业互联网平台、工业大数据、工业控制系统等安全防护要求,推动安全标准在各行业的应用,指导工业企业开展安全保障体系建设;二是推动构建工业互联网安全认证体系,依托工业互联网产业联盟倡导企业开展安全能力评估和认证,加强宣传推广形成行业标杆,引领工业互联网全行业安全防护能力不断提升。

(五)推动工业互联网安全技术研发和应用示范

一是推动适用于工业互联网的工业防火墙、入侵检测、安全审计等一系列安全技术和产品研发,发展具有行业针对性的安全解决方案,切实推动工业互联网安全技术创新的应用化和产业化;二是选取能源、电力、制造、交通等典型行业,组织开展工控安全防护、安全监测预警、工业互联网平台和大数据防护等重点方向的试点示范,形成一批工业互联网安全防护的典型方案与最佳实践,依托工业互联网产业联盟强化产业互动,发挥试点示范的带动促进作用,引导企业加强安全保障能力建设。

(六)建设国家级工业互联网安全技术平台

一是结合重点行业的典型体系架构特征,建设能源、电力、制造、交通等行业安全模拟仿真和技术试验平台,开展安全技术试验、安全标准验证等相关工作;二是依托工业互联网产业联盟,建设安全评测公共服务平台,为中小工业企业提供安全评测和风险评估服务;三是建设工业互联网安全监测预警与态势感知平台,实现重点行业以及跨行业安全态势的全天候、全方位感知,为政府主管部门和重点行业企业开展风险预警和防范提供技术支撑。四是建设国家级工业安全运行监测平台,实现全国工业互联网运行的安全监测和管理。

(七)加强工业互联网安全人才培养和支撑队伍建设

一是鼓励高等院校和安全企业联合开展工业互联网安全复合型人才培养,组织开展行业安全应用实践,建立工业互联安全领域专业人才库;二是聚拢业界高端专家,支持开展工业互联网安全岗位教育、安全技能培训、安全解决方案设计、安全评测评估以及安全事件研判等,打造国家级工业互联网安全技术支撑队伍;三是建立工业互联网安全岗位持证上岗制度,鼓励企业加强员工安全意识和安全技能培训。

(作者:中国信息通信研究院安全研究所 杜霖)

声明:本文来自互联网信息安全评估中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。