产业动态 | 安全防护:工业互联网长远发展的保障
编者按
工业互联网作为数字化转型的关键力量,是第四代工业革命的重要基石,正在全球范围内颠覆传统制造模式、生产组织方式和产业形态,推动传统产业加快转型升级、新兴产业加快发展壮大。工业互联网由网络、平台、安全三个部分构成,“网络”是实现工业泛在深度互联的基础;“平台”是工业全要素链接的枢纽;“安全”是工业互联网长远发展的保障。
一、工业互联网发展安全问题的特点
我国工业互联网发展尚处于起步阶段,相关的行业标准尚未确定,核心技术积累不足,安全问题涉及工业互联网平台安全、设备与控制安全、工业大数据安全、网络安全等,是制约工业互联网应用深度发展的重要一环。当前工业互联网安全问题有以下三方面显著特征。
01
安全问题风险突出
工业互联网的发展将使原本封闭的系统变得越来越开放,打破传统工业相对封闭可信的生产环境。随着商业网络(IT)与工业网络(OT)的不断融合,越来越多的生产组件和服务直接或间接与互联网连接,互联网安全风险与工业安全风险相互交织渗透。如果没有做好必要的分隔管控工作,导致原本封闭的OT系统与互联网互联互通后,面临从互联网侧传来的各类网络攻击的风险,致使系统安全风险和入侵威胁不断增加。根据美国安全公司Positive technologies 2018研究数据显示,当前全球工控系统联网暴露组件总数量约为17.6万个,其中中国排名全球第五,为6223个。根据CNDV数据显示,2018年工控系统漏洞增长到442个,高危漏洞数量占比最高,达到53.6%。
02
安全问题复杂多样
工业互联网实现了全要素、全产业链、全生命周期的互联互通,工业互联网安全问题可能产生于研发、生产、管理、服务以及数据等各个环节,工业互联网平台安全问题、工业互联网设备与控制安全问题、工业大数据安全问题、工业互联网网络安全问题等都将成为工业互联网安全问题面临的挑战。同时由于部分操作人员安全意识不足,操作不规范等原因也可能导致工业互联网爆发安全事故。例如台积电遭遇WannaCry病毒入侵,就是在人为疏忽的情况下带病毒机器被直接连接台积电内网,由于厂区内网存在互通,导致某台设备感染后迅速传播到整个内网的其他设备,造成三大工厂生产线停摆。
03
安全问题危害性大
工业互联网一旦发生网络安全问题,那么与生产问题交织影响,将带来直接的经济损失。并且,随着互联网与工业融合创新的不断推进,电力、交通、市政等大量关系国计民生的关键信息基础设施日益依赖于网络,并逐步与公共互联网连接,一旦受到网络攻击,不仅会造成巨大经济损失,更可能带来环境灾难和人员伤亡,危及公众生活和国家安全,安全保障能力已成为影响工业互联网创新发展的关键因素。
= 国内外工业互联网重大安全事故 =
三一重工近千台工程机械设备遭非法解锁破坏,失去对这些设备的远程控制,造成直接经济损失3000多万
意大利石油与天然气服务公司Saipem部分服务器遭遇网络攻击,部分基础设施中的服务器受此次攻击的影响
Black Energy攻击乌克兰电网,最终导致约30座变电站下线,两座配电中心停摆,23万当地居民无电可用
伊利诺伊州城市供水SCADA系统遭黑客入侵,水泵遭到破坏
伊朗核设施遭“震网”病毒攻击,离心机损坏,被迫推迟发电
……
二、工业互联网安全防护建设的困难
01
企业意识淡薄、安全防护能力不足
首先工业互联网安全建设并不能给企业带来直接的经济效益,其主要作用是防范风险,只有在面临网络攻击、或者造成网络安全事故时才能充分显现工业互联网安全建设的价值。但是,目前大部分工业互联网安全问题并未给企业造成安全事故,工业企业普遍存在重发展轻安全的情况,对工业互联网安全缺乏足够的认知,安全防护投入较低,安全产品、安全解决方案应用水平不高。而且,我国基数众多的中小企业更加注重的是解决自身生存发展壮大的问题,缺乏足够的配套资金及人力来加强工业互联网安全防护。
02
技术手段缺失、安全防护人才匮乏
首先,我国整体工业互联网安全建设才刚刚起步,科研投入较少,在传统工业领域应对新型攻击的安全防护能力不足。其次,熟悉网络安全领域与工业领域的复合型人才缺失,工业互联网是工业和信息化深度融合的产物,工业互联网安全人才不仅需要掌握网络安全的专业知识,还需要充分熟悉各类工业领域的生产环境及应用场景,需要大量基础面广、一专多能、多专多能的人才。
033
管理体系不健全,安全标准需持续更新
工业互联网不仅涉及制造业、电力、交通等众多行业,也涉及装备、控制系统、数据、网络、应用等层面,包含研发设计、生产制造、产品流通、数据保护等全产业链的各个应用场景。在这种融合状态下,安全管理、协调等诸层面的职能关系尚未厘清,监管职责分散于各个行业主管部门,尚未形成责权清晰的监管体系。工业互联网是一个长期发展和演进的过程,随着人工智能、大数据、5G等新兴技术不断推进工业互联网形态的演进,工业互联网安全标准需要结合技术发展趋势以及实际场景需求不断更新,从接入、数据保护、平台防护等多个方面适时发布及修订标准体系。
三、如何加强工业互联网安全防护
加强工业互联网安全防护要充分发挥政府顶层设计引领、行业协会统筹协调、服务机构市场助推、工业企业防护主体的四方力量,为工业互联网健康发展提供支撑与保障。
01
发挥政府的顶层设计引领作用
政府主管部门是保障生产安全和社会稳定不可或缺的组成部分,是工业互联网安全防护建设的统筹引领者。为了工业互联网安全健康发展,政府主管部门应进一步强化工业互联网安全防护体系构建的顶层设计,加强工业互联网安全技术标准顶层设计和统筹协调,推动建立国家、省、市、县一体化的信息安全协同推进工作机制;加大资金引导,有效整合科研院所、高校资源以及企业创新资源,推进联合攻关,推进工业网络安全基础技术、关键共性技术以及前沿技术等多方面的突破;加强法律保障,积极构建完善的法规制度,明确安全职能职责划分、安全事件追责处罚等方面的权责划分,加强对工业互联网产品、系统的安全审查。
02
发挥行业协会的统筹协调作用
工业互联网安全防护体系的建设牵涉基础设施的改造、技术的攻关、标准的制定和推广,需要整个产业链和相关企业协同配合,因此需要充分发挥行业协会的统筹协调的作用。建立行业技术标准体系,研究制定工业互联网设备、平台、控制系统、数据等各个层面安全防护、测试、评估规范,加快制定工控安全防护能力评价方法、工控设备产品级安全测试方法、工业互联网平台系统安全要求等标准;搭建安全防护综合测试验证平台,为工业企业提供工业互联网安全认证及测试服务;提供工业互联网安全培训服务,面向企业和社会提供工业互联网安全政策及标准、工业互联网系统安全、工业互联网安全应急响应等多方面的培训服务。
03
发挥服务机构的市场助推作用
随着国家和企业对工业互联网安全问题重视程度的不断加强,工业互联网安全服务市场不断扩大,因此加强工业互联网安全防护应充分发挥工业互联网安全厂商的作用。提高安全防护技术水平,安全服务机构应以高标准的工业互联网安全防护技术水平为基础,建设工业控制网络安全态势感知及共享平台,提高安全防护及应急处置能力;加强多方协作,构建产业协同的联合防御体系,工业互联网安全服务机构可不断推进与工控厂商的合作,熟悉工控背景,深入工业互联网具体的应用场景。
04
发挥工业企业的防护主体作用
工业企业是践行工业互联网安全防护的首要主体,是工业互联网安全防护建设的关键力量。为了保障自身的经济利益与财产安全,工业企业应转变自身发展观念,落实自身的网络安全主体责任,加强工业互联网安全技术手段建设;建立多层次的安全保障体系,依托第三方机构开展安全能力评估和认证,引领工业互联网安全防护能力不断提升,建立涵盖设备安全、控制安全、网络安全、平台安全和数据安全的工业互联网多层次安全保障体系;加强安全防护人才体系建设,加强对工作人员的安全知识、技能等方面的培训及考核,并扩大技术人员招聘渠道,多方面引进人才,为保证工业互联网的技术安全提供保障。