逐层推进分阶段实施跨行业协同保障工业互联网安全

本篇文章2185字，读完约5分钟

近年来，随着工业互联网的快速发展，传统的工业控制系统已经从“封闭的孤岛”转变为“互联的”。随着效率的提高，互联网的安全威胁已经渗透到工业领域。面对可以直接到达工作现场的网络攻击，构建一个工业互联网安全系统迫在眉睫。

近日，工业和信息化部会同教育部、人力资源和社会保障部、生态与环境部、卫生与健康委员会、应急管理部、国有资产监督管理委员会、国家市场监管总局、国家能源局、国防科技工业局联合发布了《关于加强工业互联网安全的指导意见》(以下简称《安全指导意见》)，明确了建设工业互联网安全体系的主要任务。

《安全指导意见》)明确指出，到2020年底，将初步建立工业互联网安全体系。到2025年，体系和机制健全完善，技术手段和能力明显提高，安全产业形成规模，基本建成相对完整可靠的工业互联网安全体系。

《安全指导意见》为中国工业互联网的安全设定了非常具体的总体目标，通过全面提升中国工业互联网创新发展的安全保障能力和服务水平，促进中国工业互联网的高质量发展。

自上而下推进安全评价体系的建立

目前，我国工业企业高度重视工业互联网安全建设，愿意投资安全。然而，目前的情况是，企业不了解自己的安全状况，不能得到自己的解决方案。对此，教育部工程研究中心主任余姚指出，工业互联网安全管理体系建设需要从上到下推进。通过构建覆盖整个工业系统的安全防护体系，创建满足工业需求的安全技术体系和相应的管理机制，识别和抵御内外安全威胁，化解各种安全风险，是工业互联网可靠运行和实现工业智能化的可靠可靠保障。

目前，5g网络建设全面展开，ipv6部署全面推进。在与工业实体经济整合的过程中，除了相关企业之间的合作外，还需要行业之间的整合。除了确保其自身的安全外，还需要对每个接口进行评估，以确保整体操作安全。余姚指出，要开展工业互联网安全评估和认证，有必要探索一种合适的安全评估体系。针对目前工业互联网安全测试评估标准的缺失，有必要深入分析工业互联网的安全隐患，确定工业互联网安全审查和测试评估的方向和重点，梳理和细化安全审查和测试评估的内容，为工业互联网安全审查和测试评估编制可量化、可操作的技术要求和测试评估方法的相关标准。

加强技术创新，实现安全防护的自我成长

大力发展工业互联网是中国的一项重要国策。近年来，工业和信息化部出台了一系列相关政策和具体行动，促进工业互联网产业的发展。网络、平台和安全是工业互联网的三大系统。其中，网络是基础，平台是核心，安全是保障。祁安信副总裁左英南表示，要构建良好的工业互联网安全体系，必须加大研发投入，加强技术创新，提升安全能力，将安全能力与工业互联网业务场景充分融合，使工业互联网具备自适应、自主、自我成长的“内生安全”能力。

《安全指导意见》明确将“加强工业互联网数据安全保护能力”列为主要任务之一，充分说明了数据安全在工业互联网安全中的重要地位。事实上，随着工业互联网应用的发展，我们所采取的所有安全措施都是为了保护工业互联网企业的核心资产——工业大数据。

面对“内生安全”这一紧迫问题，左应南认为，要实现“内生安全”，安全特性必须无缝嵌入到工业大数据的软件技术架构中，需要一种具有自适应安全特性的大数据安全架构。安全适应具有足够的系统自诊断功能，在遇到安全风险和系统异常时能够及时发现并报警，并具有自动策略调整和安全修复功能，使工业大数据系统具有足够的“弹性”，能够关闭部分服务，保证关键业务的执行。工业大数据的安全保护系统应该是一个操作系统。通过持续的安全运行，不断完善和优化安全策略，增强安全防护能力，实现安全防护能力的自我成长。

从外到内、从表及里协同构建不同的行业安全工具集

在以互联网为标志的信息时代，“互联网加工业”已成为当前中国工业革命的最佳选择。由于我国自身技术水平的限制，我国许多核心技术和零部件依赖于国外。但是，由于通信协议、设计漏洞等问题没有掌握，使得工业生产中的信息很容易被外国非法收集。与此同时，中国自身的R&D能力亟待提高，人才培养的难度也越来越大。不同行业的安全防护水平也应区别对待。

中国科学院信息工程研究所研究员孙立民认为，“从外到内，从外到内”是关键的一步。plc、工业控制组态软件、数控机床等核心部件的安全应逐步深化，工业控制系统的功能安全应与信息安全相结合，实现工业互联网的内置安全。同时，针对重要基础设施的攻击需要多维度的协作，企业、行业、全国乃至全球范围内的工业控制安全态势感知和分析能力需要加强，网络攻击活动和未知攻击样本的特征需要通过主动监控和被动捕获相结合的方式来发现。

《安全指导意见》要求重点行业和领域要高度重视重点布局，如发电行业、电网系统、军工制造企业、轨道交通、三峡水利等。，这是工业互联网安全保护的重中之重。如何处理这个问题？

孙立民认为，应该为几个重要的工业互联网行业建立特定的工业互联网攻击和防御演习范围和模拟测试平台。同时，加强工业互联网和网络安全高端人才培养，建立一批工业互联网安全重点实验室。最后，建立行业专用的安全资源库和安全工具集，在行业培训和推广的同时，注重安全资源库的安全性和防泄漏性。

《安全指导意见》的实施，标志着我国工业互联网安全体系建设稳步迈向法制化、制度化、专业化的历史新阶段，必将带动工业互联网安全产业的快速发展，极大地提升我国工业互联网的安全防护水平。

来源：搜狐微门户