消息：逐層推進(jìn)分階段實(shí)施 跨行業(yè)協(xié)同保障工業(yè)互聯(lián)網(wǎng)安全

近年來(lái)，隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，傳統(tǒng)工業(yè)控制系統(tǒng)從“封閉孤島”走向“互聯(lián)互通”。效率提升的同時(shí)，互聯(lián)網(wǎng)的安全威脅也隨之滲透入工業(yè)領(lǐng)域。面對(duì)可以直達(dá)作業(yè)現(xiàn)場(chǎng)的網(wǎng)絡(luò)攻擊，構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系迫在眉睫。

近日，工業(yè)和信息化部聯(lián)合教育部、人力資源社會(huì)保障部、生態(tài)環(huán)境部、衛(wèi)生健康委員會(huì)、應(yīng)急管理部、國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)、國(guó)家市場(chǎng)監(jiān)管總局、國(guó)家能源局、國(guó)防科技工業(yè)局等十部委共同印發(fā)了《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》(以下簡(jiǎn)稱《安全指導(dǎo)意見(jiàn)》)，明確了構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系的主要任務(wù)。

《安全指導(dǎo)意見(jiàn)》)明確到2020年底，工業(yè)互聯(lián)網(wǎng)安全保障體系初步建立。到2025年，制度機(jī)制健全完善，技術(shù)手段能力顯著提升，安全產(chǎn)業(yè)形成規(guī)模，基本建立起較為完備可靠的工業(yè)互聯(lián)網(wǎng)安全保障體系。

《安全指導(dǎo)意見(jiàn)》為我國(guó)工業(yè)互聯(lián)網(wǎng)安全設(shè)定了非常具體的總體目標(biāo)，將全面提升我國(guó)工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展的安全保障能力和服務(wù)水平，促進(jìn)工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展。

自上而下逐層推進(jìn) 建立安全評(píng)價(jià)體系

目前，我國(guó)的工業(yè)企業(yè)高度重視工業(yè)互聯(lián)網(wǎng)安全建設(shè)，也樂(lè)意在安全方面進(jìn)行投入。但目前的現(xiàn)狀是企業(yè)對(duì)自身安全狀況了解不透徹，無(wú)法得到適合自身的解決方案。對(duì)此，復(fù)雜網(wǎng)絡(luò)系統(tǒng)安全保障技術(shù)教育部工程研究中心主任姚羽指出，構(gòu)建工業(yè)互聯(lián)網(wǎng)安全管理體系需要自上而下逐層推進(jìn)，通過(guò)構(gòu)建涵蓋工業(yè)全系統(tǒng)的安全防護(hù)體系，打造滿足工業(yè)需求的安全技術(shù)體系和相應(yīng)管理機(jī)制，識(shí)別和抵御來(lái)自內(nèi)外部的安全威脅，化解各種安全風(fēng)險(xiǎn)，是工業(yè)互聯(lián)網(wǎng)可靠運(yùn)行，實(shí)現(xiàn)工業(yè)智能化的安全可信保障。

當(dāng)下，5G網(wǎng)絡(luò)建設(shè)如火如荼，IPv6部署全面推進(jìn)，在與工業(yè)實(shí)體經(jīng)濟(jì)結(jié)合的過(guò)程當(dāng)中，除了各相關(guān)企業(yè)之間的配合，還需要跨行業(yè)之間的融合。除了保障自身安全之外，還需要對(duì)各個(gè)接口都進(jìn)行評(píng)估，以保證整體的運(yùn)行安全。姚羽指出，開(kāi)展工業(yè)互聯(lián)網(wǎng)安全評(píng)估認(rèn)證，需要摸索一個(gè)合適的安全評(píng)價(jià)體系。針對(duì)當(dāng)前缺乏工業(yè)互聯(lián)網(wǎng)安全檢測(cè)評(píng)估標(biāo)準(zhǔn)的問(wèn)題，需要通過(guò)對(duì)工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀、安全需求和攻防技術(shù)的深入調(diào)研，全面分析工業(yè)互聯(lián)網(wǎng)可能存在的安全隱患，確定工業(yè)互聯(lián)網(wǎng)安全審查和檢測(cè)評(píng)估的方向和重點(diǎn)，梳理和細(xì)化安全審查和檢測(cè)評(píng)估內(nèi)容，編制可量化、可操作的工業(yè)互聯(lián)網(wǎng)安全審查和檢測(cè)評(píng)估技術(shù)要求和測(cè)試評(píng)價(jià)方法相關(guān)標(biāo)準(zhǔn)。

加強(qiáng)技術(shù)創(chuàng)新 實(shí)現(xiàn)安全防護(hù)力自生長(zhǎng)

大力發(fā)展工業(yè)互聯(lián)網(wǎng)是我國(guó)的一項(xiàng)重要國(guó)策，近年來(lái)工信部出臺(tái)了一系列相關(guān)政策和具體行動(dòng)推動(dòng)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展，網(wǎng)絡(luò)、平臺(tái)、安全是工業(yè)互聯(lián)網(wǎng)的三大體系。其中，網(wǎng)絡(luò)是基礎(chǔ)、平臺(tái)是核心、安全是保障。在奇安信副總裁左英男看來(lái)，要建設(shè)好工業(yè)互聯(lián)網(wǎng)安全保障體系，必須加大研發(fā)投入，加強(qiáng)技術(shù)創(chuàng)新，提升安全能力，并使安全能力與工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景充分融合，使工業(yè)互聯(lián)網(wǎng)具備自適應(yīng)、自主和自生長(zhǎng)的“內(nèi)生安全”能力。

《安全指導(dǎo)意見(jiàn)》特別把“強(qiáng)化工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)能力”單獨(dú)列出，作為主要任務(wù)之一，充分說(shuō)明了數(shù)據(jù)安全在工業(yè)互聯(lián)網(wǎng)安全中的重要地位。其實(shí)，隨著工業(yè)互聯(lián)網(wǎng)應(yīng)用的發(fā)展，我們所做的一切安全防護(hù)措施，根本目的都是為了保護(hù)工業(yè)互聯(lián)網(wǎng)企業(yè)的核心資產(chǎn)——工業(yè)大數(shù)據(jù)。

面對(duì)亟待解決的“內(nèi)生安全”問(wèn)題，左英男認(rèn)為，要做到“內(nèi)生安全”，安全特性必須能夠無(wú)縫嵌入工業(yè)大數(shù)據(jù)的軟件技術(shù)架構(gòu)，需要具備自適應(yīng)安全特性的大數(shù)據(jù)安全架構(gòu)。安全自適應(yīng)具有充分的系統(tǒng)自診斷功能，在遇到安全風(fēng)險(xiǎn)和系統(tǒng)異常時(shí)可以及時(shí)發(fā)現(xiàn)進(jìn)行告警，同時(shí)具備自動(dòng)化的策略調(diào)整和安全修復(fù)功能，使得工業(yè)大數(shù)據(jù)系統(tǒng)具備充分的“彈性”，可以關(guān)閉部分服務(wù)保證關(guān)鍵業(yè)務(wù)的執(zhí)行。工業(yè)大數(shù)據(jù)的安全防護(hù)體系應(yīng)當(dāng)是一個(gè)運(yùn)營(yíng)體系，通過(guò)持續(xù)的安全運(yùn)營(yíng)，不斷提升優(yōu)化安全策略、提升安全防護(hù)能力，實(shí)現(xiàn)安全防護(hù)能力的自生長(zhǎng)。

從外到內(nèi)、從表到里 多維度協(xié)同構(gòu)建不同行業(yè)安全工具集

在以互聯(lián)網(wǎng)為主要標(biāo)志的信息化時(shí)代， “互聯(lián)網(wǎng)+工業(yè)”已成現(xiàn)階段中國(guó)工業(yè)革命的最優(yōu)選擇。由于自身技術(shù)水平限制，我國(guó)很多核心技術(shù)以及零配原件都依賴于國(guó)外。而其中的通信協(xié)議、設(shè)計(jì)漏洞等問(wèn)題不被掌握，造成工業(yè)生產(chǎn)中的信息很容易被國(guó)外非法收集。同時(shí)，我國(guó)自身研發(fā)能力急需提高，人才培養(yǎng)難度也不斷加大，不同行業(yè)的安全防護(hù)水平也應(yīng)該區(qū)別對(duì)待。

中國(guó)科學(xué)院信息工程研究所研究員孫利民認(rèn)為，“從外到內(nèi)、從表到里”地分階段實(shí)施是關(guān)鍵。應(yīng)逐漸深入到PLC、工控組態(tài)軟件和數(shù)控機(jī)床等核心元器件的安全，把工控系統(tǒng)的功能安全與信息安全結(jié)合起來(lái)，實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)的內(nèi)置安全。同時(shí)，針對(duì)重要基礎(chǔ)設(shè)施的攻擊，需要多維度的協(xié)同，應(yīng)加強(qiáng)企業(yè)內(nèi)部、行業(yè)、全國(guó)甚至全球工控安全態(tài)勢(shì)的的感知和分析能力，主動(dòng)監(jiān)測(cè)和被動(dòng)誘捕相結(jié)合地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊活動(dòng)情況和未知攻擊樣本特征。

《安全指導(dǎo)意見(jiàn)》要求對(duì)重點(diǎn)行業(yè)和領(lǐng)域要高度重視重點(diǎn)布局，例如發(fā)電行業(yè)、電網(wǎng)系統(tǒng)、軍工制造企業(yè)、軌道交通、三峽水利等是工業(yè)互聯(lián)網(wǎng)安全防護(hù)的重中之重，對(duì)此要如何應(yīng)對(duì)?

孫利民認(rèn)為，針對(duì)多個(gè)重要工業(yè)互聯(lián)網(wǎng)行業(yè)，分別構(gòu)建特定的工業(yè)互聯(lián)網(wǎng)攻防演練靶場(chǎng)和仿真測(cè)試平臺(tái)。同時(shí)，加強(qiáng)工業(yè)互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全復(fù)合型高端人才的培養(yǎng)，建立一批工業(yè)互聯(lián)網(wǎng)安全重點(diǎn)實(shí)驗(yàn)室。 最后，構(gòu)建本行業(yè)專用安全資源庫(kù)和安全工具集，并在行業(yè)內(nèi)培訓(xùn)和推廣應(yīng)用的同時(shí)，注意安全資源庫(kù)自身的安全和防泄漏問(wèn)題。

《安全指導(dǎo)意見(jiàn)》的實(shí)施，預(yù)示著我國(guó)工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)已經(jīng)朝著法制化、制度化、專業(yè)化的歷史新階段穩(wěn)步推進(jìn)，定會(huì)激發(fā)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的快速發(fā)展，將極大提升我國(guó)工業(yè)互聯(lián)網(wǎng)的安全防護(hù)水平。