工業互聯網迎安全"大考"頂層設計呼之欲出

　　目前，工業互聯網是下一波互聯網發展的重點已成為各方共識。近日發布的《中國工業信息安全產業發展白皮書（２０１８－２０１９年）》顯示，２０１８年我國工業信息安全產業規模市場增長率達３３．５５％，預計２０１９年市場增長率將達１９．２３％，市場整體規模增長至９３．９１億元。

　　在市場規模快速增長的同時，其背后的風險也開始凸顯。去年工業和信息化部網絡安全管理局委托相關專業機構對２０余家典型工業企業、工業互聯網平臺企業進行安全檢查評估時，發現了２０００多個安全威脅。

　　近日獲悉，針對這一現狀工業和信息化部等高層正在著手醞釀工業信息安全領域的頂層設計，有望解決這一問題。

　　工業互聯網安全不容樂觀

　　當前，工業互聯網已經成為我國制造業轉型升級的必經之路。數據顯示，截至到２０１８年年底，我國工業互聯網平臺已經超過百家，涉及電力、石油石化、智能制造等諸多領域。而且正在逐年增長。

　　“工業企業在進行兩化融合轉型方面，注重的是發展，而安全意識比較淡薄，導致存在很多潛在的風險。”常州天正股份有限公司董事長張翀昊分析說，本身制造業企業的信息化能力就很弱，一旦接入互聯網，海量的工控系統、業務系統必將成為網絡攻擊的重點對象。

　　工業和信息化部網絡安全管理局副局長楊宇燕也表示，近年來工業互聯網安全風險日益突出。一方面，互聯網和工業的深度融合，打破了傳統工業領域相對封閉可信的環境，互聯網的安全威脅滲透延伸至工業領域，網絡攻擊可直達生產一線；二是工業互聯網一旦遭受網絡攻擊不僅會造成系統或服務中斷、數據泄露等傳統互聯網安全問題，甚至會引發生產安全問題，導致污染性物質泄露、爆炸性破壞、大面積斷水斷電等安全事件；三是傳統的大部分工業控制系統與設備受其內存、處理能力等限制，防護能力較弱，這些系統接入互聯網后，將更多使用公開協議以及標準化技術架構，進一步降低了攻擊門檻；四是５Ｇ、ＩＰｖ６等新技術在工業互聯網的普及應用將帶來更大的網絡安全挑戰。

　　安恒信息技術股份有限公司董事長范淵介紹，工業環境最大的威脅是專有的靶向類惡意代碼，如大家熟知的震網、火焰等計算機病毒，它們的攻擊對象是工業控制系統中的工程師站、操作員站、服務器等主機以及ＤＣＳ、ＰＬＣ等控制器。目的是通過逐級滲透至現場層控制網絡，直接對主機及現場控制設備進行惡意操控和邏輯篡改，達到破壞工業生產流程和損傷物理實體的目的。

　　奇安信副總裁左英男表示，與消費互聯網相比，對工業互聯網實施的網絡攻擊和防護在方法論和工具上大同小異，但不同的是工業互聯網涉及的場景更多，工業控制涉及的軟硬件也復雜得多。

　　中國科學院院士王小云說：“我國的工控系統由各種自動化控制組件構成，運行環境相對落后，大量的工控系統采用私有協議通信，缺少安全設計和論證。多數情況是犧牲安全性，換取穩定性，安全更新維護不及時，這與我國的科技水平有關，特別是與不能實現自主可控有密切關系。”

　　頂層設計呼之欲出

　　在嚴峻的安全形勢下，多家企業已經在行動。

　　木鏈科技工程副總朱奕輝表示，目前他們已推出工控攻防演練平臺，包括攻防演練平臺、攻防靶場體系、人才培養體系、合作共建體系、測評準入體系，提供面向工廠企業、科研院所、教育機構等不同場景的平臺建設方案。“通過攻防演練平臺的建設，木鏈致力于協助客戶培養工控人才、建立工控安全標準、建設面向行業內工控安全系統、設備和技術的測試評價和準入體系，推動部門、單位和行業的工控安全建設能力穩步提升。”

　　為幫助工業企業應對網絡安全挑戰，奇安信也推出了多款工業安全產品，并成功應用于汽車、煙草、能源、水利、航空等多個行業。

　　不過，在楊宇燕看來，工業互聯網領域的安全問題除了技術外，還包括安全監管和制度體系不健全等問題。“從監管層面來看，工業互聯網涉及制造業、電力等眾多行業，包括設備安全、控制安全、網絡安全、平臺安全、數據安全等。在這種融合的狀態下，缺乏主管部門之間的責任界定。”楊宇燕說。

　　在諸多問題面前，工業互聯網安全領域的頂層設計是多方關切。

　　楊宇燕介紹說，工信部將從三個方面構建工業互聯網安全保障體系，一是抓頂層，組織制定《關于加強工業互聯網安全工作的指導意見》。初步建立工作機制，開展風險評估、威脅信息共享、監督檢查、信息通報等；開展工業互聯網安全標準研制，構建工業互聯網安全標準體系構架。二是建手段，建設工業互聯網安全基礎資源庫，建設工業互聯網安全測試驗證環境，搭建功能完備的工業互聯網安全攻防演練環境，構建國家、省、企業三級的工業互聯網安全技術保障平臺。三是強產業，持續開展工業互聯網安全試點示范工作，通過“揭榜掛帥”的方式在全國范圍內遴選優秀的工業互聯網安全項目。四是育人才，開展工業互聯網安全大賽，舉辦“護網杯”網絡安全防護賽，指導舉辦國內首個針對工業互聯網應用的安全防護演練活動、工業互聯網精英邀請賽等活動；指導相關產業聯盟開展安全論壇和專題會議，搭建交流互學的平臺。

　　在中國工程院院士鄔賀銓看來，工業互聯網的安全需要管理與技術并重，企業的安全要與行業的安全和社會的安全實現威脅信息共享與協同聯動。“只要重視和技術采用得當，工業互聯網的安全就可控，但是安全挑戰并非靜止，工業互聯網的安全工作永遠在路上。”（戈清平）

　　轉自：中國高新技術產業導報

　　【版權及免責聲明】凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊，僅代表作者個人觀點，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀