国家顶层设计出台工业互联网安全产业注入“强心剂”

本篇文章3718字，读完约9分钟

近日，工业和信息化部会同教育部、人力资源和社会保障部、生态与环境部、卫生与健康委员会、应急管理部、国有资产监督管理委员会、国家市场监管总局、国家能源局和国防科技工业局联合发布了《关于加强工业互联网安全的指导意见》(以下简称《安全指导意见》)，引起了业界的高度关注和热烈讨论。首先，10个部门联合发布了一个沉重的文件，这表明国家高度重视工业互联网安全，工业互联网安全已上升到国家战略水平。其次，本文的内容具体详细，可以作为行业互联网安全发展的指导原则。《安全指导意见》为我国工业互联网安全设定了非常具体的总体目标，围绕设备、控制、网络、平台和数据的安全，落实企业责任和政府监管责任，完善体制机制，建设技术手段，促进工业发展和加强人才培养，提出了17项明确任务和4项保障措施。《安全指导意见》的逐步实施，必将提高我国工业互联网创新发展的安全保障能力和服务水平，促进工业互联网的高质量发展，推动现代经济体系建设。

作为工业互联网安全行业的从业者，我已经多次阅读了《安全指导意见》，并对其有了深刻的理解和思考。从网络安全企业的角度，从产品技术的角度，谈谈我的想法，供大家参考、批评和指正。

首先，安全能力是工业互联网安全体系建设的基础。

工业互联网是新一代信息技术与制造业深度融合的产物，是第四次工业革命的重要支撑。其技术的复杂性、潜在的安全威胁以及安全事故造成的严重危害都对从事工业互联网安全工作的单位和企业提出了很高的安全要求。《安全指导意见》高度重视安全能力建设，要求巩固工业设备和控制安全，提高网络设施安全，加强平台和工业应用安全，增强企业数据安全防护能力，建设工业互联网安全技术支撑平台，建设工业互联网安全基础资源库，建设工业互联网安全测试验证环境，增强工业互联网安全公共服务能力，促进工业互联网安全技术创新和产业发展。这些要求体现在安全能力上，包括但不限于:工业资产探测能力、工业设备漏洞挖掘和检测能力、工业控制协议深度分析能力、攻击发现和拦截能力、高级持久威胁(apt)发现和追踪能力、网络安全攻防对抗能力、源代码安全检测能力、工业云平台保护能力、工业大数据安全保护能力、安全态势感知平台构建能力、大数据建模和分析处理能力、功能安全和信息安全集成能力等。工业互联网是安全的目标和对象。安全体系建设实质上是安全能力建设，全面、系统、有效的安全能力是安全体系建设的基础。因此，要构建良好的工业互联网安全体系，必须加大对R&D的投入，加强技术创新，提升安全能力，将安全能力与工业互联网业务场景充分融合，使工业互联网具备适应性、独立性和自我成长性的“内生安全”能力。在这一点上，我们作为一个工业互联网安全企业责无旁贷。

其次，工业互联网设备和控制安全保护，工业主机是重点。

《安全指南》的第六个主要任务是要求夯实设备和控制安全。“督促工业企业部署有针对性的防护措施，加强工业生产、主机、智能终端等设备的安全接入和防护，加强控制网络协议、设备和工业软件的安全保障，促进设备制造商、自动化集成商和安全企业之间的合作，增强设备和控制系统的本质安全。”通过对大量工业企业的安全应急服务，我们发现目前对工业设备和工业控制系统的最大威胁是专门针对工业主机(指工业控制系统的上位机，如操作员站、工程师站、历史数据库、实时数据库、mes服务器、hmi等)的ransomware和网络攻击。)。工业主机通常运行通用的操作系统，攻击者很容易获得和研究这些操作系统。同时，由于工业控制系统的生命周期较长，现有的工业主机大多是windows7、windows2000和windowsxp等旧操作系统，难以升级甚至无法更新。已知的漏洞很多，很容易成为病毒和网络攻击的直接目标、攻击入口和重要跳板。工业主机是连接信息系统和工业控制设备的“大门”。对工业主机的攻击会直接影响工业控制系统的运行状态，甚至篡改控制器的操作指令，使信息安全事件转化为影响安全生产的功能安全事件，给工业企业乃至国计民生造成不可挽回的损失。我们发现针对主机的攻击方法有:通过网络攻击获取工业主机的管理权限、加密密钥文件、敲诈勒索；通过u盘向工业主机注入病毒，篡改控制器上报的数据，掩盖控制数据的异常；通过鱼叉攻击，多个工业主机可以提升它们的权限并篡改已发布的控制指令；通过感染双网卡的工业主机在各地区传播计算机病毒；网络风暴数据通过受控的工业主机发送到控制器，导致控制器运行周期异常甚至崩溃。因此，工业主机是工业互联网设备和控制安全保护的重点，也是应该首先进行安全投资和投资回报最大化的方向。

第三，内生安全是工业互联网大数据安全保护的核心。

《安全指导意见》明确将“加强工业互联网数据安全保护能力”列为主要任务之一，充分说明了数据安全在工业互联网安全中的重要地位。数字双胞胎和工业大数据是工业互联网的重要应用创新，也是制造业与互联网深度技术融合的产物，承载着工业企业的核心知识产权。可以毫不夸张地说，随着工业互联网应用的发展，我们所采取的所有安全措施都是为了保护工业互联网企业的核心资产——工业大数据。工业大数据的安全保护是一项复杂的系统工程。同时，工业大数据业务应用大多基于新兴的it技术，如云平台、大数据平台和微服务架构，这使得业务应用与基础设施、运维与开发、业务与安全自然高度耦合。因此，工业大数据安全保护系统需要特别关注其“内生安全性”。为了实现“内生安全”，安全特性必须无缝地嵌入到工业大数据的软件技术架构中，并且需要具有自适应安全特性的大数据安全架构。安全自适应具有足够的系统自诊断功能，当遇到安全风险和系统异常时，能够及时发现并报警。同时，具有自动策略调整和安全修复功能，使工业大数据系统具有足够的“弹性”，可以关闭部分服务，保证关键业务的执行。工业大数据的安全保护系统应该是一个操作系统。通过持续的安全运行，不断完善和优化安全策略，增强安全防护能力，实现安全防护能力的自我成长。

同时，协同联动是构建工业互联网安全技术支撑平台的关键。

《安全指导意见》第11项主要任务要求建设国家级、省级和企业级协同工业互联网安全技术支撑平台，重点加强地方、企业和国家平台之间的系统对接、数据共享和业务协作，建设整体态势感知、信息共享和应急协调能力。近年来，我公司承担了工业和信息化部一些重要平台建设的专项工作。近两年来，相关地方政府部门和部分工业企业开始搭建工业互联网安全技术支撑平台，并取得了良好的应用效果。但是，在申请过程中存在一些问题。这种平台的最大特点是能够集中监控安全风险，进而实现响应、处置、甚至态势预测和可追溯。从集中监控的角度来看，没有互联的孤立平台无法实现有效的集中监控和信息共享。例如，目前政府部门平台缺乏与工业企业平台的互联，缺乏对工业企业内部工业控制网络安全状态的实时感知和监控。另一个例子是，行业的安全大数据目前还没有得到有效整合，形成了一个行业平台来监控和感知行业的整体安全形势。从应急响应的角度来看，仍然存在三个协同问题:政府部门与工业企业的协同联动、工业企业与网络安全企业的协同联动、工业企业与工业互联网厂商的协同联动。只有工业互联网安全的这四个关键角色建立规范的应急机制，制定联合应对计划，定期进行有效的应急演练，才能做好遭受网络攻击时的应急工作。

最后，工业互联网是安全的，工业发展和人才培养是保证。

《安全生产指导意见》第四条保障措施指出:“加强宣传教育，加快人员培训。进一步推进产教结合、校企合作，建立安全人才联合培养机制，培养复合型、创新型高技能人才。进行网络安全演习、安全竞赛等。，培训和选拔不同层次的行业互联网安全从业人员。”当我们主办2017年互联网安全大会时，我们提出“人是安全的标尺”。网络安全的本质是人与人之间的对抗。大量的安全事件都是人为因素造成的，问题的解决离不开人们的参与。工业互联网安全体系的建设离不开大量的专业网络安全人员，工业互联网安全产业的发展也离不开高水平、高素质的网络安全从业人员。高校是人才培养的源头，实施产教结合、校企合作的相关政策，必将鼓励网络安全企业加大对人才培养的投入，将高校通识教育与企业网络安全实战经验相结合，共同培养实战能力较强的多层次网络安全人才。

大力发展工业互联网是中国的一项重要国策。近年来，工业和信息化部出台了一系列相关政策和具体行动，促进工业互联网产业的发展。网络、平台和安全是工业互联网的三大系统。在网络建设方面，工业领域采用ipv6和5g，技术支持和可登陆的建设运营计划已经出台；在平台建设方面，已经出现了几十个初步的工业互联网平台，正在努力验证应用效果，提升应用价值。但是，客观地说，工业互联网的安全进展缓慢，工业互联网安全体系一直处于探索阶段，工业互联网安全市场没有出现任何爆发的迹象。《安全指导意见》的及时发布可以说是一场“及时雨”，给工业互联网安全行业打了一针强心剂。我相信，随着相关具体措施的逐步落地，将刺激工业互联网安全产业的快速发展，中国工业互联网的安全防护水平将大大提高，从而为工业互联网的快速稳定发展保驾护航。(作者左英南，祁安信副总裁，中国工业互联网研究所专家)

来源：搜狐微门户