工业互联网平台建设与推广专栏丨以安全保发展,筑牢工业互联网安全防线

【编者按】当前,全球工业互联网正处在格局未定的关键期、规模化扩张的窗口期、抢占主导权的机遇期。作为工业互联网三大要素,工业互联网平台是全要素连接的枢纽,是工业资源配置的核心,正成为领军企业竞争的新赛道、产业布局的新方向、制造大国竞争的新焦点。为此,中国电子报特推出“工业互联网平台建设与推广专栏”,工信部信软司、业界专家受邀对推动工业互联网平台建设进行系列解读,共同探讨工业互联网平台未来发展。

2017年11月,国务院发布了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《指导意见》),提出要加快发展工业互联网,构建网络、平台、安全三大功能体系,强化工业互联网安全保障。《指导意见》突出强调了工业互联网安全的基础性和战略性地位,为今后我国工业互联网安全工作制定了时间表和路线图。

01 工业互联网安全是工业互联网发展的重要前提

作为互联网创新发展和新工业革命历史交汇期的重要产物,工业互联网的出现有其必然性,意义十分重大。工业互联网是在制造业发展面临深刻变革这一背景下提出的,是我国扭转发展失衡局面、重构竞争优势、抢占产业制高点的重要机遇。我国紧抓这一机遇,基本与发达国家同步启动工业互联网建设,在平台建设、产业应用、市场潜力等方面并不逊色于发达国家,但是安全保障能力相对薄弱,成为制约我国工业互联网迈向更高发展水平的主要短板之一。

工业互联网安全是工业互联网发展的前提,是国家深入推进“互联网+先进制造业”的重要保障。作为新工业革命的关键基础设施,工业互联网代表着国家新一代信息基础设施重要发展方向,已经成为工业体系的神经中枢。它一旦遭受攻击破坏,会直接造成工业生产停滞,影响范围不仅是单个企业,更可延伸至整个产业生态,甚至国民经济亦可能受到重创。因此,工业互联网安全是工业信息安全的核心,直接决定工业生产安全,更关乎经济发展、社会稳定乃至国家安全。

02 要正确理解工业互联网安全的内涵

我国工业互联网发展面临难得的战略窗口期,同时也面临着严峻的安全挑战。一方面,工业领域信息基础设施成为黑客重点关注和攻击目标,防护压力空前增大。另一方面,相较传统网络安全,工业互联网安全呈现新的特点,进一步增加了安全防护难度。一是互联互通导致攻击路径增多。工业互联网实现了全系统、全产业链和全生命周期的互联互通,使传统互联网安全威胁延伸至工业生产领域,且攻击者从研发端、管理端、消费端、生产端都有可能实现对工业互联网的攻击。二是开放化、标准化导致易攻难守。工业互联网系统与设备供应商越来越多地使用公开协议以及标准化的Windows或Unix技术架构。这些协议与模块的安全漏洞使攻击者的攻击门槛大为降低。三是安全产品和技术匮乏,产业支撑能力不足。在工业互联网架构中通信和计算资源往往有限,很多传统安全防护设备由于占用资源较大,可能不再适用。

为全面加强工业互联网安全保障,《指导意见》要求从设备安全、控制安全、平台安全、数据安全、网络安全等层面构建工业互联网安全保障体系。设备安全主要指接入工业互联网的终端设备的安全,重点是加强设备自身安全、完善终端接入安全认证。控制安全主要指PLC、SCADA、DCS等工业控制系统安全,一方面要提升自主可控工控系统比例,另一方面要解决控制系统在生产设计时缺少安全考虑这一“先天”问题。平台安全主要指工业IaaS、PaaS、SaaS的安全,重点是加强工业云服务网络安全管理,明确平台管理和运行主体责任。数据安全主要指工业生产业务活动中产生、采集、处理、存储、传输和使用的数据的安全,要建立工业数据分级分类管理制度,形成工业互联网数据流动管理机制,解决工业数据流动方向和路径复杂导致的数据安全防护难度增大等问题。网络安全主要指工业企业管理网、控制网和外网的安全,要做好网络安全态势感知,确保传输安全和运行安全。

03 全方位提升工业互联网安全保障能力

按照《指导意见》要求,结合当前工业信息安全工作实际和经验,建议从体制机制、政策标准、能力建设、产业发展、人才培养等方面综合施策,加快提升我国工业互联网安全保障能力。

一是建立完善体制机制。由国家制造强国建设领导小组下设的工业互联网专项工作组统筹谋划工业互联网安全相关工作,督促检查任务落实情况。各地方和有关部门根据《指导意见》研究制定具体推进方案,加快任务落实。明确相关部门权责,建立部门间高效联动机制与中央地方协同机制,深化军民融合,促进跨部门、跨区域系统对接,提升工业互联网安全协同处置能力。

二是健全政策与标准体系。制定并发布工业互联网安全相关行动计划,规范和指导工业互联网安全发展。完善政策制度体系,细化工业互联网安全保障要求,明确企业主体责任。加快工业云、工业大数据等新兴领域法规制度建设。推动建立工业互联网安全标准体系,研究制定工业互联网设备、平台、控制、数据等层面的安全防护、测试、评估规范。加强政策和标准宣贯,提升工业企业安全防护意识。

三是加强安全保障能力建设。支持国家级工业信息安全技术机构持续建设在线监测、仿真测试、应急演练、攻防对抗、安全加固等技术支撑能力,打造工业互联网安全监测预警、应急响应与信息共享等平台,建设工业互联网靶场。做好安全检查、评估认证、安全审查等工作,着力提升工业互联网安全隐患发现能力。

四是推动安全技术和产品研发攻关。推动产学研用合作,研究提出适合当前我国工业互联网发展的安全防护解决方案,加强工业互联网设备层、平台层、控制层等安全防护关键技术攻关,研发攻击防护、漏洞挖掘、入侵发现、态势感知、安全审计、可信芯片等安全产品,推动自主成果应用。

五是促进工业互联网安全产业发展。推动设立工业互联网安全专项资金、建立风险补偿基金等,支持工业互联网安全产业集聚发展。发挥产业联盟作用,整合行业资源,加强工业互联网安全技术联合攻关、协同创新,以及服务模式创新,做大做强工业互联网安全产业。

六是加快专业人才培养。适应互联网与制造业深度融合趋势,加快培养既掌握工业控制知识又熟悉安全防护技术的复合型人才。加强工业互联网安全相关学科建设,建立企业、高校联合培养人才机制,加大引进人才配套政策支持,广揽国内外人才,壮大人才队伍。重点依托国家级工业信息安全技术机构,打造工业互联网安全高端智库,建成技术领先、服务一流、业界知名的国家队。

(作者尹丽波,系国家工业信息安全发展研究中心主任 )