工业互联网迎安全"大考"顶层设计呼之欲出

目前，工业互联网是下一波互联网发展的重点已成为各方共识。近日发布的《中国工业信息安全产业发展白皮书（２０１８－２０１９年）》显示，２０１８年我国工业信息安全产业规模市场增长率达３３．５５％，预计２０１９年市场增长率将达１９．２３％，市场整体规模增长至９３．９１亿元。

在市场规模快速增长的同时，其背后的风险也开始凸显。去年工业和信息化部网络安全管理局委托相关专业机构对２０余家典型工业企业、工业互联网平台企业进行安全检查评估时，发现了２０００多个安全威胁。

近日获悉，针对这一现状工业和信息化部等高层正在着手酝酿工业信息安全领域的顶层设计，有望解决这一问题。

工业互联网安全不容乐观

当前，工业互联网已经成为我国制造业转型升级的必经之路。数据显示，截至到２０１８年年底，我国工业互联网平台已经超过百家，涉及电力、石油石化、智能制造等诸多领域。而且正在逐年增长。

“工业企业在进行两化融合转型方面，注重的是发展，而安全意识比较淡薄，导致存在很多潜在的风险。”常州天正股份有限公司董事长张翀昊分析说，本身制造业企业的信息化能力就很弱，一旦接入互联网，海量的工控系统、业务系统必将成为网络攻击的重点对象。

工业和信息化部网络安全管理局副局长杨宇燕也表示，近年来工业互联网安全风险日益突出。一方面，互联网和工业的深度融合，打破了传统工业领域相对封闭可信的环境，互联网的安全威胁渗透延伸至工业领域，网络攻击可直达生产一线；二是工业互联网一旦遭受网络攻击不仅会造成系统或服务中断、数据泄露等传统互联网安全问题，甚至会引发生产安全问题，导致污染性物质泄露、爆炸性破坏、大面积断水断电等安全事件；三是传统的大部分工业控制系统与设备受其内存、处理能力等限制，防护能力较弱，这些系统接入互联网后，将更多使用公开协议以及标准化技术架构，进一步降低了攻击门槛；四是５Ｇ、ＩＰｖ６等新技术在工业互联网的普及应用将带来更大的网络安全挑战。

安恒信息技术股份有限公司董事长范渊介绍，工业环境最大的威胁是专有的靶向类恶意代码，如大家熟知的震网、火焰等计算机病毒，它们的攻击对象是工业控制系统中的工程师站、操作员站、服务器等主机以及ＤＣＳ、ＰＬＣ等控制器。目的是通过逐级渗透至现场层控制网络，直接对主机及现场控制设备进行恶意操控和逻辑篡改，达到破坏工业生产流程和损伤物理实体的目的。

奇安信副总裁左英男表示，与消费互联网相比，对工业互联网实施的网络攻击和防护在方法论和工具上大同小异，但不同的是工业互联网涉及的场景更多，工业控制涉及的软硬件也复杂得多。

中国科学院院士王小云说：“我国的工控系统由各种自动化控制组件构成，运行环境相对落后，大量的工控系统采用私有协议通信，缺少安全设计和论证。多数情况是牺牲安全性，换取稳定性，安全更新维护不及时，这与我国的科技水平有关，特别是与不能实现自主可控有密切关系。”

顶层设计呼之欲出

在严峻的安全形势下，多家企业已经在行动。

木链科技工程副总朱奕辉表示，目前他们已推出工控攻防演练平台，包括攻防演练平台、攻防靶场体系、人才培养体系、合作共建体系、测评准入体系，提供面向工厂企业、科研院所、教育机构等不同场景的平台建设方案。“通过攻防演练平台的建设，木链致力于协助客户培养工控人才、建立工控安全标准、建设面向行业内工控安全系统、设备和技术的测试评价和准入体系，推动部门、单位和行业的工控安全建设能力稳步提升。”

为帮助工业企业应对网络安全挑战，奇安信也推出了多款工业安全产品，并成功应用于汽车、烟草、能源、水利、航空等多个行业。

不过，在杨宇燕看来，工业互联网领域的安全问题除了技术外，还包括安全监管和制度体系不健全等问题。“从监管层面来看，工业互联网涉及制造业、电力等众多行业，包括设备安全、控制安全、网络安全、平台安全、数据安全等。在这种融合的状态下，缺乏主管部门之间的责任界定。”杨宇燕说。

在诸多问题面前，工业互联网安全领域的顶层设计是多方关切。

杨宇燕介绍说，工信部将从三个方面构建工业互联网安全保障体系，一是抓顶层，组织制定《关于加强工业互联网安全工作的指导意见》。初步建立工作机制，开展风险评估、威胁信息共享、监督检查、信息通报等；开展工业互联网安全标准研制，构建工业互联网安全标准体系构架。二是建手段，建设工业互联网安全基础资源库，建设工业互联网安全测试验证环境，搭建功能完备的工业互联网安全攻防演练环境，构建国家、省、企业三级的工业互联网安全技术保障平台。三是强产业，持续开展工业互联网安全试点示范工作，通过“揭榜挂帅”的方式在全国范围内遴选优秀的工业互联网安全项目。四是育人才，开展工业互联网安全大赛，举办“护网杯”网络安全防护赛，指导举办国内首个针对工业互联网应用的安全防护演练活动、工业互联网精英邀请赛等活动；指导相关产业联盟开展安全论坛和专题会议，搭建交流互学的平台。

在中国工程院院士邬贺铨看来，工业互联网的安全需要管理与技术并重，企业的安全要与行业的安全和社会的安全实现威胁信息共享与协同联动。“只要重视和技术采用得当，工业互联网的安全就可控，但是安全挑战并非静止，工业互联网的安全工作永远在路上。”（戈清平）

转自：中国高新技术产业导报