“近年来,工业互联网安全风险日益突出。”在近日召开的2019年中国工业信息安全大会上,工信部网络安全管理局副局长杨宇燕表示,我国在工业互联网安全方面存在5个方面的问题。下一步,我国将从4个方面构建工业互联网安全保障体系。
工信部网络安全管理局副局长杨宇燕
杨宇燕说,工业互联网安全风险主要源自两方面。一方面,外部风险加剧。互联网和工业的深度融合,打破了传统工业领域相对封闭可信的环境,互联网的安全威胁渗透延伸至工业领域,网络攻击可直达生产一线。而且,工业互联网一旦遭受网络攻击,不仅会造成系统或服务中断、数据泄露等传统互联网安全问题,甚至会引发生产安全问题,导致污染性物质泄露、爆炸性破坏、大面积断水断电等安全事件。
另一方面,网络风险加大。传统的大部分工业控制系统与设备受其内存、处理能力等限制,防护能力较弱,这些系统接入互联网后,将更多使用公开协议以及标准化技术架构,进一步降低了攻击门槛;5G、IPv6等新技术在工业互联网的普及应用,将带来更大的网络安全挑战。
“工业互联网平台连接海量工控系统、业务系统、网络,同时承载了大量工业互联网数据,成为网络攻击的重点对象;而且,工业互联网数量种类繁多,流动数据复杂,使用场景多样,所以数据篡改、泄漏、滥用以及数据跨境流动等安全问题进一步凸显。”杨宇燕指出,平台和数据安全成为工业互联网安全的新焦点。
她还提到,当前我国在工业互联网安全方面存在五大问题:一是安全监管和制度体系不健全。在监管层面,工业互联网涉及制造业、电力等众多行业,包括设备安全、控制安全、网络安全、平台安全、数据安全等。在这种融合状态下,监管职能分散于多个行业主管部门,缺乏权责清晰的监管体系。在生产层面,工业互联网涉及研发设计、生产制造、产品流通及售后服务等全产业链各环节,运营单位、工业互联网平台提供商等各方主体在工业互联网安全方面的法律责任和义务划分也尚不清晰。
二是企业安全意识相对薄弱。工业企业普遍存在“重发展、轻安全”的问题,对工业互联网安全缺乏足够认识,安全防护投入较低,企业在部署安全措施时缺乏统一的标准和引导。
三是市场驱动乏力。企业在安全投入上的意愿较弱,使得工业互联网安全市场整体规模不大,从而导致目前可提供的工业互联网安全产品和方案都相对匮乏。同时,缺乏行业认可的第三方机构开展工业安全审查和评估认证,难以保证产品和服务的安全性。
四是安全技术能力不足。我国工业互联网安全建设整体才刚起步,传统工业领域应对新型攻击的安全能力不足,尚未形成国家级、有组织的工业互联网安全事件监测发现、精准预警、快速处置和有效溯源的全网态势感知技术手段。
五是复合型人才短缺。工业互联网需要大量基础面宽、一专多能、多专多能的人才,此类人才不仅要掌握网络安全专业知识,还要熟悉应用场景,现有网络安全人才水平还不足以满足工业互联网发展的需求。
“工信部网络安全管理局将从4个方面构建工业互联网安全保障体系,”杨宇燕介绍。
一是抓顶层。目前,关于加强工业互联网安全工作的指导意见已经完成公开征求意见,将于近期下发。工信部已委托专业机构,选取20余家典型工业企业、平台企业开展安全检查评估试点,发现通报整改风险近2000个。此外,工业互联网安全标准体系构架已经构建,其中,安全防护总体要求、平台安全、数据安全等重点标准规范已陆续发布。
二是建手段。具体包括建设工业互联网资产目录库、工业协议库、安全漏洞库、恶意代码库等工业互联网安全基础资源库;建设工业互联网安全测试验证环境,搭建功能完备的工业互联网安全攻防演练环境;构建国家、省、企业三级的工业互联网安全技术保障平台等。目前,国家级平台和8个省级平台的建设已基本完成,覆盖了电子、航空、自动化等重点行业领域的3000多家企业。
三是强产业。工信部持续开展工业互联网安全试点示范工作;通过“揭榜挂帅”的方式在全国范围内遴选优秀的工业互联网安全项目,参与今年“揭榜挂帅”的工业互联网安全相关企业超过300家,带动社会资金逾百亿元;积极推进网络安全产业园区建设。
四是育人才,具体措施包括开展工业互联网安全大赛,举办“护网杯”网络安全防护赛等。