工業互聯網是新一代信息技術與製造業深度融合的新興產物,是實現生產製造領域全要素、全產業鏈、全價值鏈連接的關鍵支撐,對未來工業經濟發展將產生全方位、深層次、革命性的影響。黨中央、國務院高度重視,十九大報告明確提出要加快發展先進製造業,推動互聯網、大數據、人工智能和實體經濟深度融合,國務院於2017年11月27日發佈《關於深化“互聯網+先進製造業”發展工業互聯網的指導意見》,進一步作出建設和發展工業互聯網的戰略部署。安全體系作為工業互聯網發展的前提和保障,其相關問題和風險尤為重要。
一、工業互聯網安全威脅和風險日益突出
近年來,網絡安全威脅加速向工業領域蔓延,工業互聯網安全事件頻發,影響經濟社會正常運行和國家安全。接連發生的烏克蘭斷網事件、美國Dyn公司域名系統癱瘓事件及“永恆之藍”病毒肆虐全球已經為我們敲響警鐘。
(一)互聯互通導致網絡攻擊路徑增多。工業互聯網實現了全要素、全產業鏈、全生命週期的互聯互通,打破傳統工業相對封閉可信的生產環境。越來越多的生產組件和服務直接或間接與互聯網連接,攻擊者從研發、生產、管理、服務等各環節都可能實現對工業互聯網的網絡攻擊和病毒傳播。特別是,底層工業控制網絡的安全考慮不充分,安全認證機制、訪問控制手段的安全防護能力不足,攻擊者一旦通過互聯網通道進入底層工業控制網絡,容易實現網絡攻擊。
(二)標識解析系統網絡安全風險嚴峻。工業互聯網標識解析系統,類似於互聯網中的域名系統(DNS),是支撐網絡互聯互通的神經樞紐。國際上目前存在Handle、OID等多種標識解析方案,但散而弱,並未成熟,對其安全性的考慮則更為滯後。在探索推進工業互聯網標識解析系統的過程中應同步規劃部署相應的安全措施,需考慮整體架構的安全和實際運行中與DNS系統的互聯互通,以及面臨的DDoS、緩存感染、系統劫持等網絡攻擊。
(三)工業互聯網平臺網絡安全風險加劇。工業互聯網平臺被一旦受到木馬病毒感染、拒絕服務攻擊、有組織針對性的網絡攻擊(APT)等,將嚴重危害生產穩定運行,甚至導致生產事故,威脅人身和國家安全。此外,我國企業推出的工業互聯網平臺難以與GE、西門子為代表的跨國寡頭相抗衡,國外平臺在我國的大規模應用部署將導致嚴重的安全可控風險。
(四)工業互聯網面臨嚴峻的數據洩露風險。工業互聯網數據種類和保護需求多樣,數據流動方向和路徑複雜,設計、生產、操控等各類數據分佈在雲平臺、用戶端、生產端等多種設施上,僅依託單點、離散的數據保護措施難以有效保護工業互聯網中流動的工業數據安全。工業互聯網承載著事關企業生產、社會經濟命脈乃至國家安全的重要工業數據,一旦被竊取、篡改或流動至境外,將對國家安全造成嚴重威脅。
二、工業互聯網安全保障體系亟待加強
目前,我國工業互聯網發展正處於起步階段,方興未艾,安全管理體系亟待健全,企業安全防護能力尚顯薄弱,安全技術手段仍需加強,產業支撐能力不足,難以有效適應工業互聯網快速發展的安全保障現實需求。
(一)安全管理和標準體系不健全。當前,我國針對工業互聯網安全的管理體系仍未建立,主管部門、運營單位、工業互聯網平臺提供商等多方主體在保護工業互聯網安全方面的責權義務暫未明確,難以有效督促企業落實工業互聯網安全保護要求。此外,工業互聯網安全標準體系尚未健全,安全接入、數據保護、平臺防護等方面的標準尚未出臺。
(二)企業意識淡薄,安全防護能力不足。工業企業普遍存在重發展輕安全的情況,對工業互聯網安全缺乏足夠認識,安全防護投入較低,安全產品、安全解決方案應用水平不高。中國信息通信研究院前期對部分工業互聯網平臺進行了安全評估,發現用戶口令、身份認證、通信加密等方面均存在大量安全問題。此外,實力薄弱的中小企業更是缺乏配套資金及人力部署安全措施。
(三)科研投入少,國家級技術手段缺失。美國已建立愛達荷、桑迪亞等六大國家實驗室,德國成立弗勞恩霍夫應用研究促進協會,夯實工業領域安全技術儲備,在工業互聯網安全方面具有先發優勢。我國整體工業互聯網安全才剛開始起步建設,科研投入較少,尚未形成國家級、有組織工業互聯網安全監測預警、快速處置和有效溯源的技術手段,應對新型攻擊的安全能力不足。
(四)技術產業支撐不夠,安全可控問題不容小覷。我國工業互聯網使用的組態軟件、控制器、傳感器、工業雲平臺等核心軟硬件、基礎平臺多被外商巨頭壟斷,大多存在安全漏洞且有預置後門風險。同時,在工業互聯網安全領域缺乏體系化、針對性的產品和解決方案,產業生態尚未形成,難以滿足工業互聯網快速發展的安全需求。
三、相關建議
《深化“互聯網+先進製造業”發展工業互聯網的指導意見》提出打造工業互聯網安全保障體系。我國亟需建設滿足工業需求的安全技術體系和管理體系,增強設備、網絡、控制、應用和數據的安全保障能力,有效識別、抵禦和化解安全風險,為工業互聯網發展構建安全可信環境。
一是建立健全工業互聯網安全管理制度。加強工業互聯網安全相關政策法規建設,明確各主體安全責任和監督檢查、風險評估、數據保護等安全管理制度。健全工業互聯網安全標準體系,推動標識解析系統安全、工業互聯網平臺安全等重點領域行業標準的研究制定。
二是著力提升工業互聯網安全防護能力。推動科研院所、高等院校等建立工業互聯網安全實驗室,重點突破標識解析系統安全、平臺安全、數據安全等核心技術。推動構建工業互聯網安全評測體系,制定出臺工業互聯網安全監測評定辦法。
三是建設國家級工業互聯網安全技術手段。建設安全監測與風險預警平臺,形成中央與地方、重點行業內及行業間等不同維度的安全監測能力,做到對潛在安全風險的及時預警與提前防控。建設安全標準與技術試驗驗證平臺,支撐工業互聯網相關企業持續優化其業務系統的安全性並獲得最佳的安全實踐。建設攻防技術演練平臺,提升工業互聯網安全防禦能力、威懾力及應急處置能力。
四是強化工業互聯網安全產業和人才支撐。加大對技術研發和成果轉化的支持力度,重點在大型可編程邏輯控制器(PLC)設備、標識解析系統、工業互聯網平臺等領域開展技術攻關。鼓勵高校和安全企業聯合開展工業互聯網安全複合型人才培養,依託工業互聯網產業聯盟推動安全人才資質評估認證。
杜霖,畢業於北京郵電大學,工學碩士。中國信息通信研究院安全研究所工程師。長期從事工業互聯網安全、關鍵信息基礎設施安全、數據安全等領域的技術發展與監管政策研究。
聯繫方式:[email protected]。
閱讀更多 中國信息通信研究院 的文章
