近年来,随着工业互联网的快速发展,传统工业控制系统从“封闭孤岛”走向“互联互通”。效率提升的同时,互联网的安全威胁也随之渗透入工业领域。面对可以直达作业现场的网络攻击,构建工业互联网安全保障体系迫在眉睫。
近日,工业和信息化部联合教育部、人力资源社会保障部、生态环境部、卫生健康委员会、应急管理部、国有资产监督管理委员会、国家市场监管总局、国家能源局、国防科技工业局等十部委共同印发了《加强工业互联网安全工作的指导意见》(以下简称《安全指导意见》),明确了构建工业互联网安全保障体系的主要任务。
《安全指导意见》明确,到2020年底,工业互联网安全保障体系初步建立。到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。
《安全指导意见》为我国工业互联网安全设定了非常具体的总体目标,将全面提升我国工业互联网创新发展的安全保障能力和服务水平,促进工业互联网高质量发展。
自上而下逐层推进 建立安全评价体系
目前,我国的工业企业高度重视工业互联网安全建设,也乐意在安全方面进行投入。但目前的现状是企业对自身安全状况了解不透彻,无法得到适合自身的解决方案。对此,复杂网络系统安全保障技术教育部工程研究中心主任姚羽指出,构建工业互联网安全管理体系需要自上而下逐层推进,通过构建涵盖工业全系统的安全防护体系,打造满足工业需求的安全技术体系和相应管理机制,识别和抵御来自内外部的安全威胁,化解各种安全风险,是工业互联网可靠运行,实现工业智能化的安全可信保障。
当下,5G网络建设如火如荼,IPv6部署全面推进,在与工业实体经济结合的过程当中,除了各相关企业之间的配合,还需要跨行业之间的融合。除了保障自身安全之外,还需要对各个接口都进行评估,以保证整体的运行安全。姚羽指出,开展工业互联网安全评估认证,需要摸索一个合适的安全评价体系。针对当前缺乏工业互联网安全检测评估标准的问题,需要通过对工业互联网安全现状、安全需求和攻防技术的深入调研,全面分析工业互联网可能存在的安全隐患,确定工业互联网安全审查和检测评估的方向和重点,梳理和细化安全审查和检测评估内容,编制可量化、可操作的工业互联网安全审查和检测评估技术要求和测试评价方法相关标准。
加强技术创新 实现安全防护力自生长
大力发展工业互联网是我国的一项重要国策,近年来工信部出台了一系列相关政策和具体行动推动工业互联网产业的发展,网络、平台、安全是工业互联网的三大体系。其中,网络是基础、平台是核心、安全是保障。在奇安信副总裁左英男看来,要建设好工业互联网安全保障体系,必须加大研发投入,加强技术创新,提升安全能力,并使安全能力与工业互联网业务场景充分融合,使工业互联网具备自适应、自主和自生长的“内生安全”能力。
《安全指导意见》特别把“强化工业互联网数据安全保护能力”单独列出,作为主要任务之一,充分说明了数据安全在工业互联网安全中的重要地位。其实,随着工业互联网应用的发展,我们所做的一切安全防护措施,根本目的都是为了保护工业互联网企业的核心资产——工业大数据。
面对亟待解决的“内生安全”问题,左英男认为,要做到“内生安全”,安全特性必须能够无缝嵌入工业大数据的软件技术架构,需要具备自适应安全特性的大数据安全架构。安全自适应具有充分的系统自诊断功能,在遇到安全风险和系统异常时可以及时发现进行告警,同时具备自动化的策略调整和安全修复功能,使得工业大数据系统具备充分的“弹性”,可以关闭部分服务保证关键业务的执行。工业大数据的安全防护体系应当是一个运营体系,通过持续的安全运营,不断提升优化安全策略、提升安全防护能力,实现安全防护能力的自生长。
从外到内、从表到里 多维度协同构建不同行业安全工具集
在以互联网为主要标志的信息化时代, “互联网+工业”已成现阶段中国工业革命的最优选择。由于自身技术水平限制,我国很多核心技术以及零配原件都依赖于国外。而其中的通信协议、设计漏洞等问题不被掌握,造成工业生产中的信息很容易被国外非法收集。同时,我国自身研发能力急需提高,人才培养难度也不断加大,不同行业的安全防护水平也应该区别对待。
中国科学院信息工程研究所研究员孙利民认为,“从外到内、从表到里”地分阶段实施是关键。应逐渐深入到PLC、工控组态软件和数控机床等核心元器件的安全,把工控系统的功能安全与信息安全结合起来,实现工业互联网的内置安全。同时,针对重要基础设施的攻击,需要多维度的协同,应加强企业内部、行业、全国甚至全球工控安全态势的的感知和分析能力,主动监测和被动诱捕相结合地发现网络攻击活动情况和未知攻击样本特征。
《安全指导意见》要求对重点行业和领域要高度重视重点布局,例如发电行业、电网系统、军工制造企业、轨道交通、三峡水利等是工业互联网安全防护的重中之重,对此要如何应对?
孙利民认为,针对多个重要工业互联网行业,分别构建特定的工业互联网攻防演练靶场和仿真测试平台。同时,加强工业互联网和网络安全复合型高端人才的培养,建立一批工业互联网安全重点实验室。 最后,构建本行业专用安全资源库和安全工具集,并在行业内培训和推广应用的同时,注意安全资源库自身的安全和防泄漏问题。
《安全指导意见》的实施,预示着我国工业互联网安全体系建设已经朝着法制化、制度化、专业化的历史新阶段稳步推进,定会激发工业互联网安全产业的快速发展,将极大提升我国工业互联网的安全防护水平。