信息來源:企業(yè)網(wǎng)
“近年來��,工業(yè)互聯(lián)網(wǎng)安全風(fēng)險日益突出��?�!痹诮照匍_的2019年中國工業(yè)信息安全大會上��,工信部網(wǎng)絡(luò)安全管理局副局長楊宇燕表示��,我國在工業(yè)互聯(lián)網(wǎng)安全方面存在5個方面的問題��。下一步��,我國將從4個方面構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系��。
楊宇燕說��,工業(yè)互聯(lián)網(wǎng)安全風(fēng)險主要源自兩方面��。一方面��,外部風(fēng)險加劇��?�;ヂ?lián)網(wǎng)和工業(yè)的深度融合��,打破了傳統(tǒng)工業(yè)領(lǐng)域相對封閉可信的環(huán)境��,互聯(lián)網(wǎng)的安全威脅滲透延伸至工業(yè)領(lǐng)域��,網(wǎng)絡(luò)攻擊可直達(dá)生產(chǎn)一線��。而且��,工業(yè)互聯(lián)網(wǎng)一旦遭受網(wǎng)絡(luò)攻擊��,不僅會造成系統(tǒng)或服務(wù)中斷��、數(shù)據(jù)泄露等傳統(tǒng)互聯(lián)網(wǎng)安全問題��,甚至?xí)l(fā)生產(chǎn)安全問題��,導(dǎo)致污染性物質(zhì)泄露��、爆炸性破壞��、大面積斷水?dāng)嚯姷劝踩录?
另一方面��,網(wǎng)絡(luò)風(fēng)險加大��。傳統(tǒng)的大部分工業(yè)控制系統(tǒng)與設(shè)備受其內(nèi)存、處理能力等限制��,防護(hù)能力較弱��,這些系統(tǒng)接入互聯(lián)網(wǎng)后��,將更多使用公開協(xié)議以及標(biāo)準(zhǔn)化技術(shù)架構(gòu)��,進(jìn)一步降低了攻擊門檻;5G��、IPv6等新技術(shù)在工業(yè)互聯(lián)網(wǎng)的普及應(yīng)用��,將帶來更大的網(wǎng)絡(luò)安全挑戰(zhàn)��。
“工業(yè)互聯(lián)網(wǎng)平臺連接海量工控系統(tǒng)��、業(yè)務(wù)系統(tǒng)��、網(wǎng)絡(luò)��,同時承載了大量工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)��,成為網(wǎng)絡(luò)攻擊的重點對象;而且��,工業(yè)互聯(lián)網(wǎng)數(shù)量種類繁多,流動數(shù)據(jù)復(fù)雜��,使用場景多樣��,所以數(shù)據(jù)篡改��、泄漏��、濫用以及數(shù)據(jù)跨境流動等安全問題進(jìn)一步凸顯��?�!睏钣钛嘀赋?�,平臺和數(shù)據(jù)安全成為工業(yè)互聯(lián)網(wǎng)安全的新焦點��。
她還提到��,當(dāng)前我國在工業(yè)互聯(lián)網(wǎng)安全方面存在五大問題:一是安全監(jiān)管和制度體系不健全��。在監(jiān)管層面��,工業(yè)互聯(lián)網(wǎng)涉及制造業(yè)��、電力等眾多行業(yè)��,包括設(shè)備安全��、控制安全��、網(wǎng)絡(luò)安全��、平臺安全��、數(shù)據(jù)安全等��。在這種融合狀態(tài)下��,監(jiān)管職能分散于多個行業(yè)主管部門��,缺乏權(quán)責(zé)清晰的監(jiān)管體系��。在生產(chǎn)層面��,工業(yè)互聯(lián)網(wǎng)涉及研發(fā)設(shè)計��、生產(chǎn)制造��、產(chǎn)品流通及售后服務(wù)等全產(chǎn)業(yè)鏈各環(huán)節(jié)��,運營單位��、工業(yè)互聯(lián)網(wǎng)平臺提供商等各方主體在工業(yè)互聯(lián)網(wǎng)安全方面的法律責(zé)任和義務(wù)劃分也尚不清晰。
二是企業(yè)安全意識相對薄弱��。工業(yè)企業(yè)普遍存在“重發(fā)展��、輕安全”的問題��,對工業(yè)互聯(lián)網(wǎng)安全缺乏足夠認(rèn)識��,安全防護(hù)投入較低��,企業(yè)在部署安全措施時缺乏統(tǒng)一的標(biāo)準(zhǔn)和引導(dǎo)��。
三是市場驅(qū)動乏力��。企業(yè)在安全投入上的意愿較弱��,使得工業(yè)互聯(lián)網(wǎng)安全市場整體規(guī)模不大��,從而導(dǎo)致目前可提供的工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和方案都相對匱乏��。同時��,缺乏行業(yè)認(rèn)可的第三方機構(gòu)開展工業(yè)安全審查和評估認(rèn)證��,難以保證產(chǎn)品和服務(wù)的安全性��。
四是安全技術(shù)能力不足��。我國工業(yè)互聯(lián)網(wǎng)安全建設(shè)整體才剛起步��,傳統(tǒng)工業(yè)領(lǐng)域應(yīng)對新型攻擊的安全能力不足��,尚未形成國家級��、有組織的工業(yè)互聯(lián)網(wǎng)安全事件監(jiān)測發(fā)現(xiàn)��、精準(zhǔn)預(yù)警��、快速處置和有效溯源的全網(wǎng)態(tài)勢感知技術(shù)手段��。
五是復(fù)合型人才短缺��。工業(yè)互聯(lián)網(wǎng)需要大量基礎(chǔ)面寬��、一專多能��、多專多能的人才��,此類人才不僅要掌握網(wǎng)絡(luò)安全專業(yè)知識��,還要熟悉應(yīng)用場景��,現(xiàn)有網(wǎng)絡(luò)安全人才水平還不足以滿足工業(yè)互聯(lián)網(wǎng)發(fā)展的需求。
“工信部網(wǎng)絡(luò)安全管理局將從4個方面構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系��,”楊宇燕介紹��。
一是抓頂層��。目前��,關(guān)于加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見已經(jīng)完成公開征求意見��,將于近期下發(fā)��。工信部已委托專業(yè)機構(gòu)��,選取20余家典型工業(yè)企業(yè)��、平臺企業(yè)開展安全檢查評估試點��,發(fā)現(xiàn)通報整改風(fēng)險近2000個��。此外��,工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系構(gòu)架已經(jīng)構(gòu)建��,其中��,安全防護(hù)總體要求��、平臺安全��、數(shù)據(jù)安全等重點標(biāo)準(zhǔn)規(guī)范已陸續(xù)發(fā)布��。
二是建手段��。具體包括建設(shè)工業(yè)互聯(lián)網(wǎng)資產(chǎn)目錄庫��、工業(yè)協(xié)議庫��、安全漏洞庫��、惡意代碼庫等工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)資源庫;建設(shè)工業(yè)互聯(lián)網(wǎng)安全測試驗證環(huán)境��,搭建功能完備的工業(yè)互聯(lián)網(wǎng)安全攻防演練環(huán)境;構(gòu)建國家��、省��、企業(yè)三級的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺等��。目前��,國家級平臺和8個省級平臺的建設(shè)已基本完成��,覆蓋了電子、航空��、自動化等重點行業(yè)領(lǐng)域的3000多家企業(yè)��。
三是強產(chǎn)業(yè)��。工信部持續(xù)開展工業(yè)互聯(lián)網(wǎng)安全試點示范工作;通過“揭榜掛帥”的方式在全國范圍內(nèi)遴選優(yōu)秀的工業(yè)互聯(lián)網(wǎng)安全項目��,參與今年“揭榜掛帥”的工業(yè)互聯(lián)網(wǎng)安全相關(guān)企業(yè)超過300家��,帶動社會資金逾百億元;積極推進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)建設(shè)��。
四是育人才��,具體措施包括開展工業(yè)互聯(lián)網(wǎng)安全大賽��,舉辦“護(hù)網(wǎng)杯”網(wǎng)絡(luò)安全防護(hù)賽等��。
