近日,工信部联合教育部、人力资源社会保障部、生态环境部、卫生健康委员会、应急管理部、国有资产监督管理委员会、国家市场监督总局、国家能源局、国防科技工业局等十部委共同发表了《加强工业互联网安全工作的指导意见》(以下简称安全指导意见),引起了业界人士的关注和成为话题。首先,十部门联合重磅发文体现了国家对工业互联网安全的重视程度高、力量大,工业互联网安全已经上升到国家战略水平。其次,该文件内容具体详细,可作为工业互联网安全产业发展的指导纲领。《安全指导意见》为我国工业互联网安全设定了十分具体的总体目标,围绕设备、控制、互联网、平台、数据安全,落实企业主体责任、政府监管责任,健全制度机制、建设技术手段、促进产业发展、加强人才培养,提出十七项明确的工作任务和四项保障措施。《安全指导意见》的逐步落实,必将全面提升我国工业互联网创新发展的安全保障能力和服务水平,促进工业互联网高质量发展,推动现代化经济体系建设。
作为工业互联网安全产业的员工,本人多次阅读《安全指导意见》,深入理解和思考,从网络安全企业的角度,从产品技术的维度,谈本人的一些思考,供参考和批评。
首先,工业互联网安全保障体系建设,安全能力是基础。
工业互联网是新一代信息技术与制造行业深度融合的产物,是第四次工业革命的关键支撑,其本身的技术复杂程度、所面临的潜在安全威胁、安全事件造成的严重危害对从事工业互联网安全工作的单位和企业提出了非常高的安全能力要求。《安全指导意见》高度重视安全能力建设,要求巩固工业设备和控制安全,提高网络设施安全,加强平台和工业应用安全,加强企业数据安全防护能力,建设工业互联网安全技术保障平台,建设工业互联网安全基础资源库,建设工业互联网安全测试验证环境,加强工业互联网安全公共服务能力,推进工业互联网安全科技创新和产业发展。这些要求表现在安全能力上,但不限于工业资产探索能力、工业设备漏洞探索和检验能力、工业控制协议深度分析能力、攻击发现和阻断能力、高级持续威胁(APT)发现和跟踪跟踪能力、网络安全攻击对抗能力、源代码安全检验能力、工业云平台防护能力、工业大数据安全防护能力、安全形势感知平台建设能力、大数据建模和分析处理能力、功能安全和信息安全融合能力等。工业互联网是安全保障的目标和对象,安全保障体系建设本质上是安全能力的建设,全面、系统、有效的安全能力是安全保障体系建设的基础。因此,要建立工业互联网安全保障体系,必须加大研发投入,加强技术创新,提高安全能力,充分融合安全能力和工业互联网业务场景,使工业互联网具有适应性、自主性和成长性的内生安全能力。在这方面,我们作为工业互联网安全企业没有责任。
其次,工业互联网设备和控制安全防护,工业主机是重点。
《安全指导意见》第六项主要任务要求巩固设备,控制安全。督促工业企业部署有针对性的防护措施,加强工业生产、主机、智能终端等设备的安全访问和防护,加强网络协议、装置设备、工业软件等安全保障,加强设备制造商、自动化集成商和安全企业的合作,提高设备和控制系统的本质安全。通过对大量工业企业的安全应急服务,目前对工业设备和工业控制系统的威胁最大的是对工业主机(操作员站、工程师站、历史数据库、实时数据库、MES服务器、HMI等工业控制系统的上位机的威胁病毒和网络攻击。工业主机经常运行常见的操作系统,攻击者容易获得和研究。同时,由于工业控制系统的生命周期长,现存的工业主机多为Windows7、Windows2000、WindowsXP等旧的操作系统,版本升级困难,无法更新,存在很多已知漏洞,成为病毒和网络攻击的直接目标工业主机是连接信息化系统和工业控制设备的大门,对工业主机的攻击直接影响工业控制系统的运行状况,篡改控制器的操作指令,将信息安全事件转化为影响安全生产的功能安全事件,给工业企业和国计民生带来无法挽回的损失。我们的研究发现,主机的攻击方式是通过网络攻击获得主机管理权限,加密重要文件进行威胁,通过USB向主机注入病毒篡改控制器报告数据,通过隐藏控制数据异常的鱼叉攻击实现多个主机的权限,篡改发行控制命令的双网卡工业主机通过跨地区传播计算机病毒的被控制的工业主机向控制器发行网络风暴数据,控制器的运行周期异常因此,工业主机是工业互联网设备和控制安全防护的重点,也是首先进行安全投资,投资回报率最大的方向。
再次,工业互联网大数据安全防护,内生安全是核心。
《安全指导意见》特别是多带带列举了加强工业互联网数据安全保护能力,作为主要任务之一,充分说明了数据安全在工业互联网安全中的重要地位。数字双胞胎、工业大数据是工业互联网的重要应用创新,也是制造业与互联网深度技术融合的产物,承载着工业企业的核心知识产权。毫不夸张地说,随着工业互联网应用的发展,我们所做的一切安全防护措施,根本目的是保护工业互联网企业的核心资产工业大数据。工业大数据的安全防护是一项复杂系统工程。同时,工业大数据业务应用的大部分框架在云平台、大数据平台、微服务框架等新兴IT技术的基础上,业务应用与基础设施、运输与开发、业务与安全自然高度结合,因此工业大数据安全防护系统应特别重视内生安全问题,实现内生安全,安全特性应无缝嵌入工业大数据的软件技术框架安全自适应具有足够的系统自诊功能,在遇到安全风险和系统异常时可及时发现警示,同时具有自动化的战略调整和安全修复功能,使工业大数据系统具有足够的弹性,关闭部分服务保证重要业务的执行。工业大数据的安全防护系统应该是运营系统,通过持续的安全运营,优化安全战略,提高安全防护能力,实现安全防护能力的自我成长。
同时,工业互联网安全技术保障平台建设,联动是关键。
《安全指导意见》第十一项主要任务,要求建设国家、省、企三级合作的工业互联网安全技术保障平台,特别强调地方、企业与国家平台之间的系统对接、数据共享、业务合作,构建整体形势感知、信息共享和应急合作能力。我们公司近年来承担了工信部部分重要平台建设的特别工作,对此深有体会。近两年,地方政府有关主管部门和部分工业企业纷纷开始建设工业互联网安全技术保障平台,取得了良好的应用效果。但是,在应用过程中也暴露了一些问题。这种平台的最大特点是集中监测安全风险,实现响应处优艾设计网_PS论坛理和形势预判和跟踪。从集中监视的角度来看,没有互联的孤立平台不能有效地集中监视和信息共享。例如,政府主管部门的平台目前缺乏与工业企业平台的联系,缺乏对工业企业内部工业控制网络安全状况的实时感知和监测。例如,目前行业安全大数据尚未有效整合,形成行业平台对整个行业安全形势的监测和感知。从应急处理的角度来看,政府部门与工业企业的合作联动、工业企业与网络安全企业的合作联动、工业企业与工业互联网厂商的合作联动三个方面。只有工业互联网安全的四个重要角色建立规范化的应急处理机制,制定联合处理计划,定期进行有效的应急处理训练,才能在受到网络攻击时进行应急处理。
最后,工业互联网安全产业发展,人才培养是保障。
《安全指导意见》第四条保障措施指出,加强宣传教育,加快人才培养。深入推进产教融合、校企合作,建立安全人才联合培养机制,培养复合型、创新型高技能人才。开展网络安全训练、安全竞赛等,培养选拔不同水平的工业网络安全员工。我们在主办2017年网络安全大会时,提议人是安全的尺度。网络安全本质是人与人的对抗,大量的安全事件是由于人的因素造成的,问题的解决最终也离不开人的参与。工业互联网安全保障体系设离不开大量的专业网络安全人员,工业互联网安全产业的发展离不开高水平、高素质的网络安全人员。高校是人才培养的源头,产教融合、校企合作相关落地政策的推出,势必会激励网络安防企业在人才培养方面有更大的投入,结合高校的通识教育和企业的网络安防实战经验,共同培养实战能力更强的多层次网络安防人才。
大力发展工业互联网是我国重要的国策,近年来,工信部发布了一系列相关政策和具体行动,推动工业互联网产业发展,网络、平台、安全是工业互联网的三大体系。在网络建设方面,IPV6和5G应用于工业领域,已经看到了可以落地的技术支持和建设运营计划的平台建设方面,也出现了数十个具有雏形的工业互联网平台,努力验证应用效果,提高应用价值。但客观地说,工业互联网安全是进展缓慢的一环,工业互联网安全系统一直处于探索探讨阶段,工业互联网安全市场也没有看到爆炸的迹象。安全指导意见的及时发表,可以说是及时雨,给工业互联网安全产业打了强心针。随着具体措施的落地,相信一定会激发工业互联网安全产业的快速发展,大大提高我国工业互联网的安全防护水平,保护工业互联网的快速稳定发展。
精彩评论