信息來源:企業(yè)網
“近年來�,工業(yè)互聯(lián)網安全風險日益突出?��!痹诮照匍_的2019年中國工業(yè)信息安全大會上��,工信部網絡安全管理局副局長楊宇燕表示���,我國在工業(yè)互聯(lián)網安全方面存在5個方面的問題��。下一步�,我國將從4個方面構建工業(yè)互聯(lián)網安全保障體系。
楊宇燕說�����,工業(yè)互聯(lián)網安全風險主要源自兩方面�����。一方面�����,外部風險加劇��?����;ヂ?lián)網和工業(yè)的深度融合�����,打破了傳統(tǒng)工業(yè)領域相對封閉可信的環(huán)境,互聯(lián)網的安全威脅滲透延伸至工業(yè)領域�����,網絡攻擊可直達生產一線�。而且,工業(yè)互聯(lián)網一旦遭受網絡攻擊�,不僅會造成系統(tǒng)或服務中斷、數據泄露等傳統(tǒng)互聯(lián)網安全問題�,甚至會引發(fā)生產安全問題,導致污染性物質泄露���、爆炸性破壞�����、大面積斷水斷電等安全事件。
另一方面�,網絡風險加大。傳統(tǒng)的大部分工業(yè)控制系統(tǒng)與設備受其內存�、處理能力等限制,防護能力較弱�,這些系統(tǒng)接入互聯(lián)網后,將更多使用公開協(xié)議以及標準化技術架構,進一步降低了攻擊門檻;5G��、IPv6等新技術在工業(yè)互聯(lián)網的普及應用�,將帶來更大的網絡安全挑戰(zhàn)。
“工業(yè)互聯(lián)網平臺連接海量工控系統(tǒng)��、業(yè)務系統(tǒng)�����、網絡�,同時承載了大量工業(yè)互聯(lián)網數據,成為網絡攻擊的重點對象;而且���,工業(yè)互聯(lián)網數量種類繁多�����,流動數據復雜���,使用場景多樣,所以數據篡改���、泄漏���、濫用以及數據跨境流動等安全問題進一步凸顯��?!睏钣钛嘀赋?�,平臺和數據安全成為工業(yè)互聯(lián)網安全的新焦點�����。
她還提到�,當前我國在工業(yè)互聯(lián)網安全方面存在五大問題:一是安全監(jiān)管和制度體系不健全。在監(jiān)管層面���,工業(yè)互聯(lián)網涉及制造業(yè)�����、電力等眾多行業(yè)���,包括設備安全���、控制安全��、網絡安全��、平臺安全��、數據安全等���。在這種融合狀態(tài)下��,監(jiān)管職能分散于多個行業(yè)主管部門�����,缺乏權責清晰的監(jiān)管體系�。在生產層面���,工業(yè)互聯(lián)網涉及研發(fā)設計���、生產制造、產品流通及售后服務等全產業(yè)鏈各環(huán)節(jié)���,運營單位�、工業(yè)互聯(lián)網平臺提供商等各方主體在工業(yè)互聯(lián)網安全方面的法律責任和義務劃分也尚不清晰��。
二是企業(yè)安全意識相對薄弱。工業(yè)企業(yè)普遍存在“重發(fā)展�����、輕安全”的問題���,對工業(yè)互聯(lián)網安全缺乏足夠認識�,安全防護投入較低���,企業(yè)在部署安全措施時缺乏統(tǒng)一的標準和引導��。
三是市場驅動乏力���。企業(yè)在安全投入上的意愿較弱,使得工業(yè)互聯(lián)網安全市場整體規(guī)模不大�����,從而導致目前可提供的工業(yè)互聯(lián)網安全產品和方案都相對匱乏��。同時��,缺乏行業(yè)認可的第三方機構開展工業(yè)安全審查和評估認證���,難以保證產品和服務的安全性���。
四是安全技術能力不足。我國工業(yè)互聯(lián)網安全建設整體才剛起步�����,傳統(tǒng)工業(yè)領域應對新型攻擊的安全能力不足���,尚未形成國家級���、有組織的工業(yè)互聯(lián)網安全事件監(jiān)測發(fā)現(xiàn)、精準預警�����、快速處置和有效溯源的全網態(tài)勢感知技術手段�����。
五是復合型人才短缺���。工業(yè)互聯(lián)網需要大量基礎面寬�����、一專多能�、多專多能的人才,此類人才不僅要掌握網絡安全專業(yè)知識�,還要熟悉應用場景,現(xiàn)有網絡安全人才水平還不足以滿足工業(yè)互聯(lián)網發(fā)展的需求��。
“工信部網絡安全管理局將從4個方面構建工業(yè)互聯(lián)網安全保障體系�,”楊宇燕介紹。
一是抓頂層���。目前��,關于加強工業(yè)互聯(lián)網安全工作的指導意見已經完成公開征求意見�����,將于近期下發(fā)��。工信部已委托專業(yè)機構�����,選取20余家典型工業(yè)企業(yè)���、平臺企業(yè)開展安全檢查評估試點��,發(fā)現(xiàn)通報整改風險近2000個。此外��,工業(yè)互聯(lián)網安全標準體系構架已經構建�,其中,安全防護總體要求���、平臺安全�����、數據安全等重點標準規(guī)范已陸續(xù)發(fā)布�����。
二是建手段�����。具體包括建設工業(yè)互聯(lián)網資產目錄庫���、工業(yè)協(xié)議庫�����、安全漏洞庫�����、惡意代碼庫等工業(yè)互聯(lián)網安全基礎資源庫;建設工業(yè)互聯(lián)網安全測試驗證環(huán)境��,搭建功能完備的工業(yè)互聯(lián)網安全攻防演練環(huán)境;構建國家�����、省�����、企業(yè)三級的工業(yè)互聯(lián)網安全技術保障平臺等�。目前�,國家級平臺和8個省級平臺的建設已基本完成,覆蓋了電子�����、航空、自動化等重點行業(yè)領域的3000多家企業(yè)���。
三是強產業(yè)�����。工信部持續(xù)開展工業(yè)互聯(lián)網安全試點示范工作;通過“揭榜掛帥”的方式在全國范圍內遴選優(yōu)秀的工業(yè)互聯(lián)網安全項目�����,參與今年“揭榜掛帥”的工業(yè)互聯(lián)網安全相關企業(yè)超過300家,帶動社會資金逾百億元;積極推進網絡安全產業(yè)園區(qū)建設�����。
四是育人才���,具體措施包括開展工業(yè)互聯(lián)網安全大賽�,舉辦“護網杯”網絡安全防護賽等�。
