工業互聯網安全風險日益突出
“近年來,工業互聯網安全風險日益突出。”在近日召開的2019年中國工業信息安全大會上,工信部網絡安全管理局副局長楊宇燕表示,我國在工業互聯網安全方面存在5個方面的問題。下一步,我國將從4個方面構建工業互聯網安全保障體系。
工信部網絡安全管理局副局長楊宇燕
楊宇燕說,工業互聯網安全風險主要源自兩方面。一方面,外部風險加劇。互聯網和工業的深度融合,打破了傳統工業領域相對封閉可信的環境,互聯網的安全威脅滲透延伸至工業領域,網絡攻擊可直達生產一線。而且,工業互聯網一旦遭受網絡攻擊,不僅會造成系統或服務中斷、數據泄露等傳統互聯網安全問題,甚至會引發生產安全問題,導致污染性物質泄露、爆炸性破壞、大面積斷水斷電等安全事件。
另一方面,網絡風險加大。傳統的大部分工業控制系統與設備受其內存、處理能力等限制,防護能力較弱,這些系統接入互聯網后,將更多使用公開協議以及標準化技術架構,進一步降低了攻擊門檻;5G、IPv6等新技術在工業互聯網的普及應用,將帶來更大的網絡安全挑戰。
“工業互聯網平臺連接海量工控系統、業務系統、網絡,同時承載了大量工業互聯網數據,成為網絡攻擊的重點對象;而且,工業互聯網數量種類繁多,流動數據復雜,使用場景多樣,所以數據篡改、泄漏、濫用以及數據跨境流動等安全問題進一步凸顯。”楊宇燕指出,平臺和數據安全成為工業互聯網安全的新焦點。
她還提到,當前我國在工業互聯網安全方面存在五大問題:一是安全監管和制度體系不健全。在監管層面,工業互聯網涉及制造業、電力等眾多行業,包括設備安全、控制安全、網絡安全、平臺安全、數據安全等。在這種融合狀態下,監管職能分散于多個行業主管部門,缺乏權責清晰的監管體系。在生產層面,工業互聯網涉及研發設計、生產制造、產品流通及售后服務等全產業鏈各環節,運營單位、工業互聯網平臺提供商等各方主體在工業互聯網安全方面的法律責任和義務劃分也尚不清晰。
二是企業安全意識相對薄弱。工業企業普遍存在“重發展、輕安全”的問題,對工業互聯網安全缺乏足夠認識,安全防護投入較低,企業在部署安全措施時缺乏統一的標準和引導。
三是市場驅動乏力。企業在安全投入上的意愿較弱,使得工業互聯網安全市場整體規模不大,從而導致目前可提供的工業互聯網安全產品和方案都相對匱乏。同時,缺乏行業認可的第三方機構開展工業安全審查和評估認證,難以保證產品和服務的安全性。
四是安全技術能力不足。我國工業互聯網安全建設整體才剛起步,傳統工業領域應對新型攻擊的安全能力不足,尚未形成國家級、有組織的工業互聯網安全事件監測發現、精準預警、快速處置和有效溯源的全網態勢感知技術手段。
五是復合型人才短缺。工業互聯網需要大量基礎面寬、一專多能、多專多能的人才,此類人才不僅要掌握網絡安全專業知識,還要熟悉應用場景,現有網絡安全人才水平還不足以滿足工業互聯網發展的需求。
“工信部網絡安全管理局將從4個方面構建工業互聯網安全保障體系,”楊宇燕介紹。
一是抓頂層。目前,關于加強工業互聯網安全工作的指導意見已經完成公開征求意見,將于近期下發。工信部已委托專業機構,選取20余家典型工業企業、平臺企業開展安全檢查評估試點,發現通報整改風險近2000個。此外,工業互聯網安全標準體系構架已經構建,其中,安全防護總體要求、平臺安全、數據安全等重點標準規范已陸續發布。
二是建手段。具體包括建設工業互聯網資產目錄庫、工業協議庫、安全漏洞庫、惡意代碼庫等工業互聯網安全基礎資源庫;建設工業互聯網安全測試驗證環境,搭建功能完備的工業互聯網安全攻防演練環境;構建國家、省、企業三級的工業互聯網安全技術保障平臺等。目前,國家級平臺和8個省級平臺的建設已基本完成,覆蓋了電子、航空、自動化等重點行業領域的3000多家企業。
三是強產業。工信部持續開展工業互聯網安全試點示范工作;通過“揭榜掛帥”的方式在全國范圍內遴選優秀的工業互聯網安全項目,參與今年“揭榜掛帥”的工業互聯網安全相關企業超過300家,帶動社會資金逾百億元;積極推進網絡安全產業園區建設。
四是育人才,具體措施包括開展工業互聯網安全大賽,舉辦“護網杯”網絡安全防護賽等。
