作者 中国信息通信研究院安全研究所 杜霖
当前,互联网创新发展与新工业革命正处于历史性交汇期,互联网由消费领域向生产领域快速延伸,工业经济由数字化向网络化、智能化深度拓展。工业互联网是满足工业智能化发展需求,具有低时延、高可靠、广覆盖特点的关键网络基础设施,是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与应用模式。
党的十九大报告提出“推动新型工业化、信息化、城镇化、农业现代化同步发展”“加快建设制造强国,加快发展先进制造业,推动互联网、大数据、人工智能和实体经济深度融合”。工业互联网深刻变革传统工业的创新、生产、管理、服务方式,催生新技术、新模式、新业态、新产业,正成为繁荣数字经济的新基石、创新网络国际治理的新途径和统筹两个强国建设的新引擎。
安全是工业互联网健康有序发展的重要保障
当前,党中央高度重视网络安全工作,并将网络安全工作纳入国家安全工作予以部署,《网络安全法》《国家网络空间安全战略》相继发布实施,党的十九大也提出“坚持总体国家安全观”“有效维护国家安全”等重要精神。“安全”作为工业互联网的重要组成部分,是工业互联网健康有序发展的保障。
工业互联网连通工业系统与互联网,传统工业领域相对封闭可信的环境被打破,互联网安全威胁延伸渗透至工业领域,网络攻击可直达生产一线,不仅影响正常的生产运行,甚至会导致生产安全事故,造成人民生命财产安全损失。如果安全事件发生在能源、航天航空等重要领域,甚至将危害工业、经济安全乃至国家总体安全。当前,我国工业互联网安全保障体系尚未建立健全,亟须加速开展工业互联网安全防护能力建设,提升整体防护水平,保障工业互联网健康有序发展。
工业互联网安全形势复杂严峻
在工业互联网中,标识解析系统、工业互联网平台及工业大数据与互联网连接紧密,使得工业互联网面临的外部攻击风险增大,安全威胁加剧。一是标识解析系统网络安全风险严峻。工业互联网标识解析系统是支撑网络互联互通的神经枢纽,在探索推进工业互联网标识解析系统的过程中,需要考虑实际运行中与DNS系统的互联互通、整体架构的安全,以及面临的DDoS、缓存感染、系统劫持等网络攻击,需规划设计和同步部署相应的安全防护措施。二是工业互联网平台网络安全风险加剧。工业互联网平台已成为高端制造生态的重要竞争力,被普遍视为互联网与工业融合的核心环节。随着工业互联网平台的推广应用,其网络安全风险日益加剧,一旦受到木马病毒感染、拒绝服务攻击、有组织有针对性的网络攻击(APT)等,将危害生产运行,甚至导致生产事故,威胁人身和国家安全。同时,工业互联网平台承载着大量重要的工业数据,极易被窃取篡改,造成生产工艺、供应链分布等国家重要数据资源的流失。三是工业数据和用户信息安全问题凸显。工业互联网承载着关系企业生产、社会经济命脉乃至国家安全的重要工业数据,相关数据一旦被窃取篡改或流至境外将对国家安全造成威胁。同时,个性化定制、服务化延伸的需求会涉及个人地理位置等大量个人隐私,开放环境下极易遭到窃取和利用。
此外,工业互联网安全保障体系在构建过程中也面临责任划分、产业布局、能力建设、人才培养等方面的诸多挑战。一是工业互联网主管部门、行业企业等多方主体安全责任划分模糊不清,尚未形成责权清晰的安全监管和制度体系。二是工业企业普遍重发展轻安全,安全投入和意愿不足,导致企业整体安全防护水平较低。三是我国工业互联网网络安全信息共享和应急处置机制尚不健全,网络安全监测和预警能力不足,难以有效应对国家级、有组织的网络攻击。四是传统人才培养呈现“T形结构”,对专业知识的培养局限于单一领域,熟悉网络安全领域与工业领域的复合型人才短缺。
政产协同共筑工业互联网安全保障体系
深入贯彻落实党的十九大要求,坚持国家总体安全观,着力打造涵盖管理制度、防护能力、产业支撑、标准认证、技术手段、人才队伍等方面的工业互联网安全保障体系,切实防范、控制和化解各类安全风险。
一是建立完善的工业互联网安全管理制度。出台工业互联网安全指导性文件,明确政府主管部门的安全管理职责,以及行业企业、平台提供商等产业链各环节不同主体的安全责任和义务;推动建立工业互联网安全监督检查、风险评估、数据保护、应急管理等安全管理制度,指导督促企业落实安全防护要求,健全网络安全突发事件应急机制。
二是构筑工业互联网安全技术防护能力。突出重点、分类施策。一方面,加强对工业互联网平台、标识解析系统、工业大数据等的安全评估,强化重要工业数据和个人信息保护,研究提出针对性的安全防护思路和措施;另一方面,推动安全防护技术和产品在现有工业领域中的应用部署,同步做好新建工业互联网的安全规划和建设。
三是建立工业互联网安全标准和评估认证体系。在标准体系方面,围绕工业互联网安全防护的迫切需求,加快推进标识解析、工业互联网平台、工业大数据等重点领域安全标准的研究和制定,推动安全标准在各行业的应用;在评估认证体系方面,依托工业互联网产业联盟倡导企业开展安全能力评估和认证,加强宣传推广形成行业标杆,引领工业互联网全行业安全防护能力不断提升。
四是打造工业互联网安全产业支撑能力。加强工业互联网安全技术产品研发和推广应用,推动适用于工业互联网的工业防火墙、入侵检测等一系列安全技术产品研发,组织开展工业互联网安全防护、监测预警等重点方向的试点示范,依托产业联盟推动示范应用推广,同时培育一批具有产业整合能力的龙头企业,形成自主发展的产业生态链。
五是建设国家级工业互联网安全技术手段。建设国家级安全试验验证及测试评估平台,面向重点行业提供特型定制化试验验证、标准符合性评测、脆弱性深度评估等服务,形成工业互联网安全验证评估能力。推动建设国家级工业互联网安全监测预警与态势感知平台,实现全天候、全方位的安全态势感知。
六是强化工业互联网安全专业人才和队伍支撑。鼓励高等院校和安全企业联合开展工业互联网安全复合型人才培养,开展工业互联网安全岗位教育、安全技能培训、安全评测评估等,建立工业互联网安全领域专业人才库,打造国家级支撑队伍。 
