原标题:工业互联网安全,差在哪?
如果说工业互联网是美国先进制造的重要基础,德国工业4.0的关键支撑,日本制造业的发展目标。
那么对于中国而言,工业互联网就是制造业数字化转型的重要手段。
据全球移动通信系统协会预测,2016年至2025年间,工业互联网设备联网数量将从24亿增加到138亿,预计到2023年将超过消费物联网设备联网数量。
可见,工业互联网大潮已席卷全球。
安全是发展工业互联网的先决条件
众所周知,安全是工业互联网的重要保障,工业互联网的高速发展需要完善的安全体系为其保驾护航。
作为“新基建”的重要部分,“工业互联网”是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与新模式。新技术带来新机遇的同时,往往也会带来新问题。工业互联网中各种设备互联,设备种类多、数量多,漏洞后门资源多,攻击路径多,攻击可达性强,所以新问题主要聚焦于安全方面的问题。
目前,在工业互联网的发展过程中主要面临着设备、网络、控制、数据以及应用五方面的安全风险问题:
1)设备安全风险
传统工业设备更多注重业务连续性需求,日常运行维护主要也是针对安全生产内容开展相关工作,各个环节对网络安全内容涉及较少,基本不具备防护各种网络攻击的能力。但是,工业互联网将越来越多的智能化设备引入到工业控制系统中,直接参与生产,使得工业控制系统面临严重的设备安全风险。
2)网络安全风险
网络IP化、无线化、组网灵活化,给工业互联网环境下的工业控制系统带来更大的安全风险。TCP/IP 等通用的网络协议在工业网络中的应用,大大降低了网络攻击门槛,传统的工业控制系统防护策略无法抵御多数网络攻击。为了满足生产需要,无线通信网络在各工业生产场景下得到广泛使用,趋于单一的安全防护机制让攻击者极易通过无线网络入侵,并实施网络攻击。同时,网络的互相融合,使得工业组网越来越灵活复杂,传统的防护策略面临攻击手段动态化的严峻挑战。
3)控制安全风险
传统控制过程、控制软件主要注重功能安全,并且基于IT 和OT 技术相对隔离、可信的基础上进行设计。同时,为了满足工业控制系统实时性和高可靠性需求,对于身份认证、传输加密、授权访问等方面安全功能进行极大地弱化甚至丢弃,导致工业控制系统面临极大的控制安全风险。
4)数据安全风险
工业互联网业务结构复杂,工业数据更是种类多样、体量巨大、流向复杂,而且涉及大量用户隐私数据,导致工业数据保护难度增大。
5)应用安全风险
随着工业互联网不断催生新的商业模式和工业产业生态,工业互联网相关应用无论从数量还是种类将会出现迅速增长。这对工业互联网安全防护在应用方面提出了更高的要求,以应对工业互联网应用种类多样化、数量巨大化和程序复杂化带来的挑战。
解决安全问题,需多方齐心协力
针对工业互联网发展过程中所遇到的安全风险,早在2019年,工信部就联合十部委引发了《关于印发加强工业互联网安全工作的指导意见的通知》,并明确了工作目标和工作方向:
两个时间节点:到2020年底,工业互联网安全保障体系初步建立;到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系;
一个标准:建立工业互联网安全标准体系;
一个监测:建设安全威胁态势感知平台;
三级平台:建设国家、省、企业三级协同的工业互联网安全技术保障平台;
四个要求:设备和控制安全;提升网络设施安全;强化平台安全;建立健全工业APP应用前安全检测机制,强化应用过程中用户信息和数据安全保护。
经过两年时间,目前我国在工业互联网安全产业也取得了初步成效:
顶层设计方面,我国工业互联网安全政策和标准日益完善,垂直行业工业信息安全建设提速,工业企业安全意识全面增强,工业信息安全保障技术水平显著提升,推动了工业互联网安全产业的全面发展。
技术创新方面,工业互联网安全产品体系正在逐步完善,以边界防护、终端防护、监测审计为代表的安全产品种类增多、功能性能增强,基于 AI、大数据、商用密码的安全新产品也在加快研发。
应用场景方面,工业互联网平台已成为工业企业构建网络化协同、规模化定制、服务型制造等新模式、新业态、新动能的重要支撑,工业互联网安全的产业市场正在从防护、管理等产品型向评估、培训等服务型转变。目前,工业互联网安全解决方案已在能源、电力、制造业、交通、石油石化、航空、航天、核工业等领域得到广泛应用。
投融资方面,工业互联网产业政策利好,网络安全社会关注度持续上升,相关企业和投资机构不断加大对工业互联网安全市场的投融资力度。例如,奇安信、六方云等企业不断加大投入,积极推进工业互联网安全技术研发和突破。截至 2020 年上半年,我国在工业互联网方面的投融资规模累计达 15 亿元,其中工业互联网安全、数据安全、云安全等方向成为市场投融资热点 。
区域布局方面,我国主要经济区域,诸如京津冀、长三角地区、粤港澳大湾区、长江中上游地区、东北地区以及西北地区根据自身工业和网络安全产业发展条件,出台了相应的发展规划和政策,引导工业互联网安全产业的区域布局。
工业互联网安全,差在哪?
相较于欧美,日韩等工业起步较早的国家,我国工业互联网安全发展仍处于起步阶段,产业布局尚不完善,面临着诸多严峻挑战:政策体系尚不健全,区域间发展不均衡现象普遍存在;安全标准体系尚未建立,重点行业领域布局不到位,工业互联网设备和安全产品在通信协议、配套规范等方面未统一;资金、设备等资源要素保障能力缺乏,中小企业发展动力不足,专业人才缺失严重等。
“十四五”时期是我国深入实施工业互联网创新发展战略的关键期、工业互联网建设的快速成长期,为了科学高效地应对工业互联网安全困难挑战,应从以下几方面布局:
1)完善政策体系、标准体系,统筹区域均衡发展
完善适应安全产业发展的政策体系,解决相关领域融合渗透面临的政策和制度瓶颈,秉承创新、自主可控的发展思路,营造良好的发展环境;
健全垂直行业安全标准规范,超前布局能源、电力、交通、航空、航天等重点领域安全标准的研究制定;构建涵盖各部委、省市、企业,多方协同的工业互联网安全服务和保障支撑平台,统筹总体系统架构建设,建立全国统一的系统准入标准与接口,制定安全融合应用系列指南;
加强各类资源统筹协调,在不同区域、行业、企业间促进安全产业均衡发展,形成东西部协调、南北方平衡、全国各区域优化发展的产业布局。
2)加大自主研发力度,提高自主创新能力
以构建国家战略科技力量需求为导向,推动建设工业互联网安全国家重点实验室、国家技术创新中心等创新载体,打造支撑工业互联网安全高水平创新的基础设施和平台环境;加快推进设备安全、网络安全、控制安全、应用安全、数据安全等关键核心技术和基础理论的创新突破,充分利用卫星物联网、北斗卫星导航系统等新一代技术装备,辅助提升工业互联网安全防护能力;自主研制具有国际竞争力的安全新技术、新产品、新服务,加强自主成果应用和推广。
3)加大扶持力度,激发中小企业发展活力
重视和鼓励工业安全领域中小企业改革创新,加大对中小企业的政策和资金的扶持力度;支持中小企业开展基础研究和科技创新,参与关键核心技术研发和国家重大科技项目攻关;鼓励和支持在相关地区实施帮扶策略,以项目方式为中小企业提供改造升级和创新活动的技术支持、服务转型、技术指导;引导和帮助中小企业配套软硬件设备、培训相关专业人员、引进先进创新成果,逐步培养中小企业核心竞争力,打造各类型企业协同发展的优势格局。
4)加强政府引导,壮大工业安全人才队伍
