石菲

隨著云計(jì)算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與制造技術(shù)加速融合，工業(yè)信息安全經(jīng)歷了從傳統(tǒng)制造時(shí)代到全新時(shí)代的蛻變。而隨著制造強(qiáng)國(guó)戰(zhàn)略的實(shí)施，在我國(guó)，工業(yè)信息安全的重要性也越來(lái)越凸顯。

以數(shù)據(jù)安全為例，2018年100余家汽車(chē)制造商的關(guān)鍵生產(chǎn)數(shù)據(jù)遭泄露事件，敲響了工業(yè)數(shù)據(jù)安全防護(hù)的警鐘。據(jù)《2018年數(shù)據(jù)泄露調(diào)查報(bào)告》統(tǒng)計(jì)，2018年全球制造業(yè)的數(shù)據(jù)泄露事件多達(dá)536起，其中涉及大型企業(yè)事件375起。

在網(wǎng)絡(luò)攻擊層面，2018年，法國(guó)、俄羅斯等數(shù)百家工業(yè)企業(yè)成為網(wǎng)絡(luò)釣魚(yú)的攻擊目標(biāo)，涉及制造業(yè)、石油天然氣、冶金等行業(yè)。

據(jù)國(guó)家工信安全中心統(tǒng)計(jì)，2017-2018年，工業(yè)領(lǐng)域公開(kāi)報(bào)道的勒索病毒攻擊事件高達(dá)17起，其中制造業(yè)是攻擊的重點(diǎn)目標(biāo)。2019年以來(lái)，針對(duì)制造業(yè)的勒索病毒攻擊事件已發(fā)生5起，涉及多國(guó)知名化工、食品、汽車(chē)制造企業(yè)，直接造成了系統(tǒng)癱瘓、生產(chǎn)停滯、運(yùn)營(yíng)中斷等嚴(yán)重后果。未來(lái)，隨著制造業(yè)企業(yè)價(jià)值密度增大、網(wǎng)絡(luò)依賴性提升，將愈發(fā)成為勒索者的“理想目標(biāo)”。

進(jìn)入2019年，隨著工業(yè)企業(yè)上云、工業(yè)App培育進(jìn)程的加速，有一些關(guān)乎工業(yè)企業(yè)命脈的海量關(guān)鍵數(shù)據(jù)會(huì)進(jìn)一步向云平臺(tái)匯聚，這些數(shù)據(jù)如果成為不法分子牟取利益的攻擊目標(biāo)，則會(huì)引發(fā)進(jìn)一步的工業(yè)信息安全危機(jī)。而隨著物聯(lián)網(wǎng)的進(jìn)一步應(yīng)用，物聯(lián)網(wǎng)的安全漏洞也會(huì)引發(fā)對(duì)終端安全更深層次的思考。在工業(yè)互聯(lián)網(wǎng)平臺(tái)快速發(fā)展的同時(shí)，我們更應(yīng)該把安全元素放在首位，只有在建設(shè)之初就充分考慮到安全因素，工業(yè)互聯(lián)網(wǎng)平臺(tái)才能充分發(fā)揮他的價(jià)值。

那么，隨著智能制造的加速發(fā)展，新時(shí)代下工業(yè)信息安全會(huì)迎來(lái)怎樣的趨勢(shì)，又應(yīng)該向什么方向發(fā)展？有哪些短板需要補(bǔ)足？讓我們嘗試去尋找到工業(yè)信息安全發(fā)展的加速度，為“智能+”與工業(yè)發(fā)展的融合打牢基礎(chǔ)。

物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)增加

據(jù)Gartner預(yù)測(cè)，到2020年，全球?qū)⒂?04億件聯(lián)網(wǎng)產(chǎn)品投入使用。《2018-2019中國(guó)物聯(lián)網(wǎng)發(fā)展年度報(bào)告》也顯示，2018年我國(guó)物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模已超1.2萬(wàn)億元，物聯(lián)網(wǎng)產(chǎn)業(yè)將呈現(xiàn)蓬勃發(fā)展的態(tài)勢(shì)。

隨著工業(yè)互聯(lián)網(wǎng)發(fā)展速度加快，海量工業(yè)設(shè)備泛在連接、企業(yè)業(yè)務(wù)系統(tǒng)云化服務(wù)、網(wǎng)絡(luò)化協(xié)調(diào)制造的趨勢(shì)日益明顯，工業(yè)生產(chǎn)裝備、傳感器、工業(yè)控制系統(tǒng)等極易成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)，在邊緣計(jì)算的加持下，物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)更是不斷增加，這也導(dǎo)致工業(yè)企業(yè)受攻擊的風(fēng)險(xiǎn)進(jìn)一步增大。

2018年，國(guó)家工信安全中心收集研判工業(yè)控制系統(tǒng)、智能設(shè)備、物聯(lián)網(wǎng)等領(lǐng)域的安全漏洞共計(jì)432個(gè)，主要分布于關(guān)鍵制造、能源、水務(wù)化學(xué)化工等領(lǐng)域。其中，高危漏洞276個(gè)，中危漏洞151個(gè)，中高危漏洞占比高達(dá)99%。從漏洞類型來(lái)看，緩沖區(qū)溢出漏洞數(shù)量最多，占比20%。排名前五的漏洞類型還有認(rèn)證錯(cuò)誤漏洞、權(quán)限控制漏洞、信息泄露漏洞、輸入驗(yàn)證漏洞。從漏洞影響領(lǐng)域來(lái)看，排名前五的分別是關(guān)鍵制造、能源、水務(wù)、醫(yī)療健康、食品農(nóng)業(yè)，共占比74%。

由于邊緣計(jì)算分布廣、環(huán)境復(fù)雜、數(shù)量龐大、在計(jì)算機(jī)存儲(chǔ)上資源受限，且很多應(yīng)用在設(shè)計(jì)之初并沒(méi)有充分考慮到安全風(fēng)險(xiǎn)，傳統(tǒng)信息安全已不能完全適應(yīng)邊緣計(jì)算的防護(hù)需求。而在實(shí)際應(yīng)用中部分物聯(lián)網(wǎng)產(chǎn)品未經(jīng)權(quán)威安全評(píng)測(cè)就會(huì)直接投入使用，產(chǎn)品安全性也存在風(fēng)險(xiǎn)。同時(shí)，由于邊緣計(jì)算的特殊性，大多數(shù)用戶無(wú)法及時(shí)察覺(jué)他們的設(shè)備是否被黑客入侵。而對(duì)于服務(wù)提供商來(lái)說(shuō)，隨著設(shè)備數(shù)量顯著增加，管理難度加大，也很難有效監(jiān)控所有設(shè)備。

因此，物聯(lián)網(wǎng)安全已經(jīng)成為工業(yè)發(fā)展道路上的重要議題。對(duì)此，很多人視區(qū)塊鏈為解決物聯(lián)網(wǎng)安全的有效手段。區(qū)域鏈的主要好處是其分散的基礎(chǔ)架構(gòu)，一個(gè)訪問(wèn)點(diǎn)出問(wèn)題不會(huì)損害整個(gè)系統(tǒng)，并且它能記錄與之交互的每個(gè)設(shè)備的時(shí)間戳，可以利用區(qū)域鏈的特性確保只有經(jīng)過(guò)批準(zhǔn)的設(shè)備才能訪問(wèn)系統(tǒng)，并記錄任何違規(guī)或未經(jīng)授權(quán)的訪問(wèn)，可以快速有效地對(duì)其進(jìn)行處理。從這個(gè)角度來(lái)說(shuō)，區(qū)塊鏈或許會(huì)成為物聯(lián)網(wǎng)設(shè)備的最佳搭檔。但區(qū)塊鏈技術(shù)的成熟還需要時(shí)間，希望工業(yè)而企業(yè)在進(jìn)行物聯(lián)網(wǎng)設(shè)備的安裝管理時(shí)能夠充分考慮到安全問(wèn)題，提前做好防御規(guī)劃。

工業(yè)互聯(lián)網(wǎng)走向快車(chē)道

眾所周知，工業(yè)互聯(lián)網(wǎng)是推動(dòng)制造業(yè)數(shù)字化轉(zhuǎn)型的重要抓手。工業(yè)互聯(lián)網(wǎng)的本質(zhì)是以機(jī)器、原材料、控制系統(tǒng)、信息系統(tǒng)、產(chǎn)品及人之間的網(wǎng)絡(luò)互連為基礎(chǔ)，通過(guò)對(duì)工業(yè)數(shù)據(jù)深度感知、實(shí)時(shí)傳輸交換、快速計(jì)算處理及高級(jí)建模分析，實(shí)現(xiàn)智能控制、運(yùn)營(yíng)優(yōu)化和生產(chǎn)組織方式的變革。

目前，我國(guó)工業(yè)互聯(lián)網(wǎng)已由理念研究加速走向落地實(shí)施，進(jìn)入發(fā)展快車(chē)道，各地各類工業(yè)互聯(lián)網(wǎng)應(yīng)用創(chuàng)新不斷涌現(xiàn)。工業(yè)互聯(lián)網(wǎng)已廣泛應(yīng)用于石油石化、鋼鐵冶金等行業(yè)，具有一定影響力的工業(yè)互聯(lián)網(wǎng)平臺(tái)已超過(guò)50家，重點(diǎn)平臺(tái)平均連接設(shè)備數(shù)量達(dá)到近60萬(wàn)臺(tái)。但據(jù)有關(guān)機(jī)構(gòu)對(duì)20余家典型工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)進(jìn)行的安全評(píng)估，發(fā)現(xiàn)2000多個(gè)安全威脅，存在較多的風(fēng)險(xiǎn)隱患。

一直以來(lái)，關(guān)于工業(yè)互聯(lián)網(wǎng)的政策都非常明確。2017年11月27日，國(guó)務(wù)院發(fā)布了《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》，第一次對(duì)于工業(yè)互聯(lián)網(wǎng)做出全面論述，是規(guī)范和指導(dǎo)我國(guó)工業(yè)互聯(lián)網(wǎng)發(fā)展的綱領(lǐng)性文件。2018年底中央經(jīng)濟(jì)會(huì)議明確提出：加強(qiáng)人工智能，工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施建設(shè)。各部委文件逐漸由指定綱領(lǐng)進(jìn)入到引導(dǎo)實(shí)施階段。

其中，關(guān)于工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域，政府和主管部門(mén)也都投注了足夠的重視。近日，工業(yè)和信息化部、教育部、人力資源和社會(huì)保障部、生態(tài)環(huán)境部、國(guó)家衛(wèi)生健康委員會(huì)、應(yīng)急管理部、國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)、國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家能源局、國(guó)家國(guó)防科技工業(yè)局聯(lián)合印發(fā)了加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)?！都訌?qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》從指導(dǎo)思想、基本原則、總體目標(biāo)三個(gè)層面上對(duì)我國(guó)工業(yè)互聯(lián)網(wǎng)的發(fā)展方向進(jìn)行了清晰的規(guī)劃。

工業(yè)互聯(lián)網(wǎng)的建設(shè)不是單純的企業(yè)行為，而是一項(xiàng)重大的國(guó)家發(fā)展戰(zhàn)略。因此，工業(yè)互聯(lián)網(wǎng)的發(fā)展是需要多方力量匯聚的結(jié)果。工業(yè)互聯(lián)網(wǎng)的安全體系建設(shè)要獲得集聚發(fā)展，各地相關(guān)部門(mén)需要結(jié)合本地工業(yè)互聯(lián)網(wǎng)的發(fā)展特征，制定相應(yīng)的政府支持機(jī)制和發(fā)展策略，為企業(yè)安全技術(shù)創(chuàng)新和應(yīng)用推廣方面提供充分的支持條件。

《指導(dǎo)意見(jiàn)》中強(qiáng)調(diào)了通過(guò)部門(mén)協(xié)同、部省協(xié)作提高工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)的運(yùn)作效率，面向企業(yè)的安全需求，充分發(fā)揮市場(chǎng)引導(dǎo)、政府支持作用，形成政產(chǎn)學(xué)研用多方力量的有效匯聚。通過(guò)開(kāi)展安全宣傳教育、安全競(jìng)賽演練、安全人才培養(yǎng)等一系列工作，優(yōu)化工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)的人才培育和生態(tài)環(huán)境。工業(yè)互聯(lián)網(wǎng)的安全體系建設(shè)關(guān)乎我國(guó)制造業(yè)轉(zhuǎn)型發(fā)展過(guò)程的穩(wěn)定性與持續(xù)性。工業(yè)互聯(lián)網(wǎng)融合、跨越、系統(tǒng)的工程特征要求其安全體系的建設(shè)需要政府部門(mén)、企業(yè)、市場(chǎng)多方的統(tǒng)籌協(xié)作，樹(shù)立全局觀念，通過(guò)分類分級(jí)、突出重點(diǎn)、鼓勵(lì)創(chuàng)新，營(yíng)造工業(yè)互聯(lián)網(wǎng)穩(wěn)定安全的開(kāi)放發(fā)展環(huán)境，才能夠?qū)崿F(xiàn)安全與發(fā)展的同步運(yùn)行。

“增強(qiáng)免疫力”替代“打補(bǔ)丁”

除了工業(yè)領(lǐng)域的特殊性，呈幾何倍數(shù)增長(zhǎng)的新科技在進(jìn)行產(chǎn)業(yè)升級(jí)的同時(shí)也帶來(lái)了不可避免的安全問(wèn)題。這些新技術(shù)都需要在發(fā)展的同時(shí)注入安全基因，比如在人工智能領(lǐng)域，2019年8月底，2019世界人工智能安全高端對(duì)話聯(lián)合2019世界人工智能大會(huì)法治論壇發(fā)布了《人工智能安全與法治導(dǎo)則（2019）》。該導(dǎo)則從算法安全、數(shù)據(jù)安全、知識(shí)產(chǎn)權(quán)、社會(huì)就業(yè)和法律責(zé)任等五大方面，對(duì)人工智能發(fā)展的安全風(fēng)險(xiǎn)作出了預(yù)判，提出了人工智能未來(lái)發(fā)展的安全與法治應(yīng)對(duì)策略。

隨著人工智能在工業(yè)領(lǐng)域的不斷深入應(yīng)用，隨之而來(lái)的安全風(fēng)險(xiǎn)的確應(yīng)該引起人們的足夠重視。在算法安全方面，如果在研究算法的同時(shí)考慮到安全因素，可以避免很多不必要的安全漏洞；數(shù)據(jù)安全方面，在民用領(lǐng)域數(shù)據(jù)隱私保護(hù)已經(jīng)引發(fā)了人們的重視，但還缺乏相關(guān)配套的法律法規(guī)。而在工業(yè)領(lǐng)域，數(shù)據(jù)安全危機(jī)造成的損害更為重大，理應(yīng)受到企業(yè)、供應(yīng)商和政府部門(mén)各方的高度重視；在法律責(zé)任方面，我們還應(yīng)期待政府出臺(tái)更多的相關(guān)規(guī)范，完善人工智能及其在工業(yè)領(lǐng)域進(jìn)一步應(yīng)用的法律規(guī)范。

一方面，由“萬(wàn)物互聯(lián)”、智能系統(tǒng)等引發(fā)的新安全問(wèn)題（如車(chē)聯(lián)網(wǎng)安全、能源網(wǎng)安全、工控系統(tǒng)安全等）帶來(lái)的挑戰(zhàn)日益凸顯。另一方面，智能制造的加速發(fā)展又必須建立在安全保障的基礎(chǔ)之上。

因此，在全新的IT架構(gòu)下，我們應(yīng)該重新審視信息安全漏洞，用最新的技術(shù)和應(yīng)用構(gòu)建一個(gè)全新的安全規(guī)則和防護(hù)體系，并建立應(yīng)急響應(yīng)體系。在工業(yè)信息安全領(lǐng)域也是如此，未來(lái)信息安全保障機(jī)制需要由“打補(bǔ)丁”式的被動(dòng)檢測(cè)防護(hù)向以“增強(qiáng)免疫力”為目標(biāo)的預(yù)測(cè)引導(dǎo)防護(hù)方向演進(jìn)，最終實(shí)現(xiàn)全新時(shí)代下的防護(hù)理念、技術(shù)思想和產(chǎn)業(yè)思維的全面升級(jí)。所以，只有以主動(dòng)防御技術(shù)為核心基礎(chǔ)，構(gòu)建全方位、一體化的縱深防護(hù)體系，并根據(jù)各行業(yè)實(shí)際應(yīng)用提供因地制宜的整體解決方案，才能夠解決工業(yè)信息安全的關(guān)鍵需求。

我們看到在政策層面，近年來(lái)工業(yè)和信息化部作為工業(yè)信息安全主管部門(mén)，一直在持續(xù)完善政策和標(biāo)準(zhǔn)體系，陸續(xù)發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020年）》等政策文件，指導(dǎo)開(kāi)展工控安全標(biāo)準(zhǔn)體系建設(shè)，通過(guò)貫徹落實(shí)相關(guān)政策標(biāo)準(zhǔn)，促使企業(yè)以較低成本實(shí)現(xiàn)重大安全風(fēng)險(xiǎn)的防范。工業(yè)和信息化部發(fā)布的多份文件對(duì)工業(yè)互聯(lián)網(wǎng)安全提出了一系列要求，為我國(guó)工業(yè)互聯(lián)網(wǎng)安全保障工作提供了強(qiáng)有力的政策支撐。國(guó)家能源局、公安部、水利部也相繼出臺(tái)網(wǎng)絡(luò)安全相關(guān)政策，進(jìn)一步提升重點(diǎn)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障能力。同時(shí)，工控安全、工業(yè)互聯(lián)網(wǎng)安全、電力系統(tǒng)安全檢查等方面多份標(biāo)準(zhǔn)也相繼發(fā)布，安全標(biāo)準(zhǔn)體系持續(xù)完善。

此外，在國(guó)際環(huán)境中，對(duì)工業(yè)互聯(lián)網(wǎng)的重視也在同步加強(qiáng)。歐美發(fā)達(dá)國(guó)家高度重視工業(yè)信息安全，持續(xù)強(qiáng)化戰(zhàn)略部署。比如美國(guó)出臺(tái)《能源行業(yè)網(wǎng)絡(luò)安全多年計(jì)劃》《2019財(cái)年國(guó)防授權(quán)法案》《2018年國(guó)防部網(wǎng)絡(luò)戰(zhàn)略》《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》等文件，不斷完善制造業(yè)、能源、電力、交通等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域政策法規(guī)體系。歐盟也發(fā)布了《工業(yè)4.0網(wǎng)絡(luò)安全挑戰(zhàn)和建議》明確新形勢(shì)下的智能制造和工業(yè)物聯(lián)網(wǎng)帶來(lái)的安全挑戰(zhàn)，并提出了具體可行的建議。

綜上所述，工業(yè)信息安全已經(jīng)迎來(lái)了快速發(fā)展的機(jī)遇，同時(shí)也存在技術(shù)和管理方面的挑戰(zhàn)。在機(jī)遇與挑戰(zhàn)當(dāng)中，如何找到適合自己的發(fā)展加速度，補(bǔ)足短板，快速發(fā)展是我們應(yīng)該深度思考并快速落實(shí)的重要問(wèn)題。