■江蘇省通信管理局 堵雯曦

工業(yè)是實體經(jīng)濟的主體，是技術創(chuàng)新的主戰(zhàn)場，是供給側結構性改革的重要領域。工業(yè)互聯(lián)網(wǎng)作為新一代信息技術與制造業(yè)深度融合的產(chǎn)物，不僅能為制造業(yè)乃至整個實體經(jīng)濟數(shù)字化、網(wǎng)絡化、智能化升級提供新型網(wǎng)絡基礎設施支撐，而且催生了網(wǎng)絡化協(xié)同、個性化定制、服務型制造等新模式新業(yè)態(tài)，有力促進了傳統(tǒng)動能改造升級和新動能培育壯大。

黨的十九大報告指出，加快建設制造強國，加快發(fā)展先進制造業(yè)，推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實體經(jīng)濟深度融合。要實現(xiàn)智能制造和安全發(fā)展，除了要把握智能制造的發(fā)展趨勢和動向外，更需要圍繞新的工業(yè)、信息技術，建立新的安全解決方案，構建工業(yè)互聯(lián)網(wǎng)安全保障體系。新形勢下，安全被提到了前所未有的高度，與網(wǎng)絡、平臺并列成為工業(yè)互聯(lián)網(wǎng)的“三大功能體系”。

基于以上分析，我們要從“以安全保發(fā)展、以發(fā)展促安全”的戰(zhàn)略高度，認真思考在建設制造強國、網(wǎng)絡強國戰(zhàn)略背景下，工業(yè)互聯(lián)網(wǎng)安全工作面臨的新形勢、新任務，正確處理好發(fā)展與安全的關系，建立工業(yè)互聯(lián)網(wǎng)安全保障體系。

工業(yè)互聯(lián)網(wǎng)發(fā)展新趨勢

工業(yè)互聯(lián)網(wǎng)與制造業(yè)的融合將帶來四方面的智能化升級：一是智能化生產(chǎn)，實現(xiàn)從單機到產(chǎn)線、工廠的智能決策；二是網(wǎng)絡協(xié)同化，及形成眾包眾創(chuàng)、協(xié)同設計制造等新模式，降低新產(chǎn)品研發(fā)成本，縮短上市周期；三是個性化定制，即基于互聯(lián)網(wǎng)獲取用戶個性化需求，通過靈活柔性組織設計、生產(chǎn)流程，實現(xiàn)低成本大規(guī)模定制；四是服務化轉型，通過對產(chǎn)品實時監(jiān)測，提供遠程維護等服務，并反饋優(yōu)化產(chǎn)品設計。

因此，工業(yè)互聯(lián)網(wǎng)是智能制造的關鍵基礎。信息化和智能化是工業(yè)互聯(lián)網(wǎng)的發(fā)展方向。

工業(yè)互聯(lián)網(wǎng)安全領域新特征

工業(yè)化和信息化的融合，意味著未來的安全漏洞將會擴散和滲透到制造、醫(yī)療、交通、能源、材料等各類關鍵基礎設施，造成的后果日益嚴重。

從國際層面來看，各類工業(yè)互聯(lián)網(wǎng)安全事件層出不窮。2006年8月，美國Browns Ferry 核電站3號機組遭到網(wǎng)絡攻擊；2010年9月，伊朗布什爾核電站遭受震網(wǎng)（Stuxnet）蠕蟲病毒攻擊被摧毀；2015年12月，烏克蘭電力部門遭黑客攻擊；2018年2 月，歐洲廢水處理設備遭加密貨幣采礦軟件攻擊；2018 年8 月，臺積電因人為失誤被病毒入侵。

我國工業(yè)互聯(lián)網(wǎng)安全領域存在軟件漏洞容易被黑客利用、操作系統(tǒng)安全漏洞難以修補、工控系統(tǒng)自身安全建設不足、工控設備缺乏安全設計、生產(chǎn)數(shù)據(jù)面臨丟失泄漏篡改等新特征，嚴重威脅國家安全。從國內層面來看，我國工業(yè)互聯(lián)網(wǎng)面臨嚴峻的安全形勢，存在大量針對我國工業(yè)互聯(lián)網(wǎng)的惡意嗅探事件，工控系統(tǒng)漏洞中高危漏洞占比偏高。據(jù)CNCERT監(jiān)測數(shù)據(jù)顯示，2016年境外針對我國聯(lián)網(wǎng)工控系統(tǒng)和設備的惡意嗅探事件88萬起，2017年達到245萬起。截止到2018年10月，CNVD共收錄工控漏洞1794條，其中，將近四分之三為中高危漏洞，高危漏洞占比33.07%，中危漏洞占比42.4%。

從科學認識角度看工業(yè)互聯(lián)網(wǎng)安全威脅

近年來，工業(yè)互聯(lián)網(wǎng)安全威脅已經(jīng)成為普遍關注的問題。隨著惡意軟件在開放計算平臺上帶來越來越多的威脅，典型的工控系統(tǒng)越來越容易受到來自外部的篡改。目前，工業(yè)互聯(lián)網(wǎng)的安全威脅存在攻擊工具層出不窮、攻擊范圍迅速擴大、攻擊頻率不斷增加、攻擊后果愈發(fā)嚴重等特征。

另一方面，工控系統(tǒng)逐漸與其他系統(tǒng)廣泛互聯(lián)帶來的安全問題并未得到充分認識和重視，系統(tǒng)采用的工業(yè)協(xié)議存在缺乏加密和認證等網(wǎng)絡安全的考慮，基礎核心設備嚴重依賴國外產(chǎn)品和技術，系統(tǒng)外聯(lián)缺乏風險評估和安全保障措施，這些因素也導致工業(yè)互聯(lián)網(wǎng)安全威脅越發(fā)復雜多變，難以控制。

(一)工業(yè)網(wǎng)絡安全威脅

工業(yè)網(wǎng)絡的設備分布于廠區(qū)各處，經(jīng)常需要無線網(wǎng)絡、衛(wèi)星、移動通信網(wǎng)絡（3G4G）等通用傳輸手段來實現(xiàn)與調度中心的連接和數(shù)據(jù)交換。這些傳輸手段沒有足夠的安全保護和加密措施，易出現(xiàn)網(wǎng)絡竊聽、數(shù)據(jù)劫持、第三方攻擊等安全問題，而且攻擊者還可以以此作為攻擊工業(yè)控制網(wǎng)絡的入口，實現(xiàn)對整個工業(yè)互聯(lián)網(wǎng)的滲透和控制。

在云平臺中，作為底層支撐技術的虛擬化技術在帶來效率提升和開銷降低的同時，也帶來了一系列由于物理共享與邏輯隔離的沖突而導致的數(shù)據(jù)安全問題。在公有云環(huán)境下，不同機構之間物理隔離的網(wǎng)絡被由網(wǎng)絡虛擬化技術構建的虛擬網(wǎng)絡取代。這種網(wǎng)絡資源復用模式雖然實現(xiàn)了網(wǎng)絡資源的高效利用、網(wǎng)絡流量的集中分發(fā)，但也帶來了諸多安全問題。

(二)工業(yè)系統(tǒng)安全威脅

早期的工控系統(tǒng)對安全性考慮不足，而且主要是采用物理隔離的方式進行部署。隨著工控系統(tǒng)網(wǎng)絡之間互聯(lián)互通，通過互聯(lián)網(wǎng)對工控系統(tǒng)實施攻擊的可能性越來越大。

2011 年以來，每年新發(fā)現(xiàn)的SCADA、DCS、PLC 漏洞數(shù)量也不斷增加。這些漏洞將會成為攻擊工控系統(tǒng)網(wǎng)絡的一種主要途徑。通過這些漏洞攻擊可以完成獲取系統(tǒng)權限、修改工程數(shù)據(jù)和控制流程、非法關閉現(xiàn)場設備等操作，造成重大的生產(chǎn)事故和經(jīng)濟損失。

(三)工業(yè)設備安全威脅

工業(yè)設備主要關注的是功能安全、系統(tǒng)穩(wěn)定性和可靠性?；ヂ?lián)網(wǎng)通常都通過加密、身份認證等方式來保證協(xié)議傳輸?shù)陌踩?，如SSH、HTTPS 協(xié)議；工業(yè)協(xié)議基本都是采用明文方式傳輸，并且缺少身份認證的支持。

PC+Windows的技術架構現(xiàn)已成為控制系統(tǒng)設備和操作站的主流方式，在控制網(wǎng)絡中是實現(xiàn)與MES通信的主要網(wǎng)絡節(jié)點，因此其設備的漏洞就成為整個工控系統(tǒng)中的一個短板，操作系統(tǒng)漏洞頻繁出現(xiàn)，導致安全事故時有發(fā)生。

例如Windows XP 版本就曾被發(fā)現(xiàn)大量漏洞，典型的如輸入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ緩沖區(qū)溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。這些漏洞大部分危害巨大，惡意代碼通過這些漏洞，可以獲得Windows設備的完全控制權。

(四)工業(yè)數(shù)據(jù)安全威脅

在數(shù)據(jù)安全層面，目前我國尚未對數(shù)據(jù)安全進行立法，行業(yè)里主要是靠行業(yè)的自律機制來保障，缺乏強制性監(jiān)督。工業(yè)數(shù)據(jù)平臺的漏洞日益增多，且大量集中在裝備制造、交通、能源等重要領域，嚴重威脅國家工業(yè)基礎設施安全。

工業(yè)大數(shù)據(jù)的共享是工業(yè)互聯(lián)網(wǎng)應用的基礎和靈魂，而工業(yè)數(shù)據(jù)安全及隱私保護又是一切應用的前提。在工業(yè)大數(shù)據(jù)和工業(yè)互聯(lián)網(wǎng)領域，工業(yè)數(shù)據(jù)需要被多次使用，傳統(tǒng)的“告知與許可”隱私保護機制不具備現(xiàn)實可行性，工業(yè)數(shù)據(jù)信息隱私保護的責任將由數(shù)據(jù)提供方和使用方共同來承擔。

在大數(shù)據(jù)時代新形勢下，數(shù)據(jù)安全、隱私安全乃至工業(yè)數(shù)據(jù)平臺安全等均面臨新的威脅與新的風險，做好工業(yè)數(shù)據(jù)安全保障工作面臨嚴峻挑戰(zhàn)。

構建工業(yè)互聯(lián)網(wǎng)安全保障體系的思考與建議

工業(yè)互聯(lián)網(wǎng)實現(xiàn)了設備、工廠、人、產(chǎn)品的全方位連接，因此工業(yè)互聯(lián)網(wǎng)安全建設必須從綜合安全防護體系的視角對其進行統(tǒng)籌規(guī)劃。構建新時代中國特色的國家工業(yè)互聯(lián)網(wǎng)安全保障體系是一項重大戰(zhàn)略任務，也是一項艱巨復雜的系統(tǒng)工程，需要高度重視、統(tǒng)籌規(guī)劃，科學部署、加強協(xié)調，全面推進、狠抓落實。

(一)健全工業(yè)互聯(lián)網(wǎng)安全法律體系

工業(yè)互聯(lián)網(wǎng)安全是制造強國和網(wǎng)絡強國建設中的一個全新領域，涉及面廣、責任主體多，是一個復雜的系統(tǒng)工程。網(wǎng)絡安全的法律法規(guī)建設總體上還處于起步階段，還沒有形成一個具備完整性、適用性、針對性的法律體系。

一是逐步建立工業(yè)互聯(lián)網(wǎng)安全法律體系，將國家工業(yè)互聯(lián)網(wǎng)保障體系的總體框架、基本制度和重要措施等上升為具有國家強制力保障實施的法律制度。

二是確立工業(yè)互聯(lián)網(wǎng)安全領域的基本法律原則和制度，規(guī)范工業(yè)互聯(lián)網(wǎng)安全各方主體的權利和義務關系，在為工業(yè)互聯(lián)網(wǎng)領域維護國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益提供有力的法律保護。

(二)建立工業(yè)互聯(lián)網(wǎng)安全標準體系

加強工業(yè)互聯(lián)網(wǎng)安全標準化頂層設計，逐步完善標準體系，發(fā)揮標準化對產(chǎn)業(yè)發(fā)展的重要支撐作用。

一是開展工業(yè)互聯(lián)網(wǎng)安全標準的理論研究與推廣，根據(jù)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展需求，建立工業(yè)互聯(lián)網(wǎng)安全技術、產(chǎn)品和服務國家標準和行業(yè)標準。

二是參與工業(yè)互聯(lián)網(wǎng)安全國際標準化工作，加強我國工業(yè)互聯(lián)網(wǎng)標準化組織與相關國際組織的交流合作。組織整合我國產(chǎn)學研用資源，加快國際標準提案的推進工作，逐步提升我國在工業(yè)互聯(lián)網(wǎng)國際標準化組織中的影響力。

三是加強政策法規(guī)對標準應用的指導作用，加大標準規(guī)范的宣貫力度，切實做好標準實施的監(jiān)督檢查工作，全面提升大數(shù)據(jù)安全標準的質量和實施成效。

(三)提升工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)實力

我國工業(yè)互聯(lián)網(wǎng)在應用創(chuàng)新和模式等方面發(fā)展踴躍，但在安全技術發(fā)展等方面距離國際先進水平還有明顯差距，處在“守”，而非“攻”的地位。

一是夯實工業(yè)互聯(lián)網(wǎng)安全技術基礎設施建設，構建條塊結合的工控安全在線監(jiān)測網(wǎng)絡，建立工控安全應急資源庫，建設工業(yè)互聯(lián)網(wǎng)安全試驗驗證、安全監(jiān)測預警、安全評測評估、安全公共服務等平臺。

二是強化工業(yè)互聯(lián)網(wǎng)安全技術產(chǎn)品研發(fā)，積極開展相關技術研究及漏洞挖掘、攻擊防護、安全審計等產(chǎn)品研發(fā)，掌握芯片級核心技術，把控工業(yè)互聯(lián)網(wǎng)安全“命門”。

三是積極培育良好的市場環(huán)境，強化知識產(chǎn)權保護，反對壟斷和不正當競爭，加快建立健全工業(yè)互聯(lián)網(wǎng)安全市場評價技術創(chuàng)新成果的機制。

(四)重視工業(yè)互聯(lián)網(wǎng)安全應急處置體系

構建工業(yè)互聯(lián)網(wǎng)安全應急處置體系，對于工業(yè)企業(yè)提升安全意識，落實保障措施，以及更好構建工業(yè)互聯(lián)網(wǎng)安全保障體系具有十分重要的意義。

一是出臺應急管理辦法，明確工業(yè)互聯(lián)網(wǎng)安全應急處置體系的重要性，細化安全應急處置規(guī)范與標準。

二是建立應急工作預案，統(tǒng)籌可能出現(xiàn)的工業(yè)互聯(lián)網(wǎng)安全問題，明確應急處置工作的組織機制、工作目標、處置方案及處置程序。

三是制定應急處置機制，加強部門協(xié)作、政企聯(lián)動，把握發(fā)現(xiàn)、研判、預警、決策、調度、行動、追查、反制等主要環(huán)節(jié)，建立統(tǒng)一指揮中心，明確各單位職責、任務和處置措施。

四是開展應急處置演練，通過沙盤推演、滲透攻擊、防護措施驗證等方式，演示工業(yè)互聯(lián)網(wǎng)平臺、工控系統(tǒng)和工業(yè)現(xiàn)場設備存在的安全漏洞、面臨的安全風險以及遭受安全攻擊后對工業(yè)互聯(lián)網(wǎng)多個方面的破壞和影響，及時提高技術水平和保障能力。

(五)落實工業(yè)互聯(lián)網(wǎng)安全監(jiān)管責任

政府部門要積極營造良好的產(chǎn)業(yè)環(huán)境，構建完善內部安全機制、動態(tài)網(wǎng)格安全防御機制、信息和重大安全融合機制，推動工業(yè)互聯(lián)網(wǎng)安全技術突破，提升工業(yè)企業(yè)對網(wǎng)絡安全的風險意識和部署能力，保障工業(yè)互聯(lián)網(wǎng)發(fā)展穩(wěn)定可控。

一是加快部署建設工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知技術手段項目，實現(xiàn)安全監(jiān)測、態(tài)勢感知、重點保障、應急支持、資產(chǎn)管理等重要功能，及時發(fā)現(xiàn)和處置安全威脅，分析預測安全態(tài)勢，為政府、企業(yè)提供數(shù)據(jù)支撐和安全保障。

二是嚴格落實主體責任，按照“誰主管誰負責，誰運行誰負責”的原則，依據(jù)工業(yè)互聯(lián)網(wǎng)安全各方主體的權利和義務關系，層層抓落實。

三是加強政企聯(lián)動、齊抓共管，在各級、各區(qū)域內實現(xiàn)工業(yè)互聯(lián)網(wǎng)安全風險監(jiān)測、安全態(tài)勢分析、安全信息共享、安全事件的協(xié)同處置，實現(xiàn)統(tǒng)一監(jiān)管、聯(lián)動對接。

(六)加強工業(yè)互聯(lián)網(wǎng)安全人才培養(yǎng)

工業(yè)互聯(lián)網(wǎng)安全的競爭，歸根結底是人才競爭。建設網(wǎng)絡強國，必須有一支優(yōu)秀的人才隊伍。

一是加強政策引領、價值導向，確立長遠的頂層設計規(guī)劃、優(yōu)化的組織體系架構、富有效能的培養(yǎng)模式，構建工業(yè)互聯(lián)網(wǎng)安全領域的人才評價機制。

二是加快人才培養(yǎng)步伐，引導高等院校、高職院校增設工業(yè)互聯(lián)網(wǎng)安全人才專業(yè)，在國家職業(yè)資格目錄清單中增加工業(yè)互聯(lián)網(wǎng)安全職業(yè)，構建與其技能、職業(yè)序列相匹配的薪酬體系，加快培養(yǎng)專業(yè)技術人才。

三是優(yōu)化人才管理制度，健全靈活的人才激勵、評價和留用機制，創(chuàng)新方式吸引人才，營造尊重知識、尊重勞動、尊重人才、尊重創(chuàng)造的良好環(huán)境，造就可靠的安全人才隊伍。

四是深入開展技術創(chuàng)新活動，與高校、科研機構、專業(yè)企業(yè)建立合作機制，推進建設政產(chǎn)學研用聯(lián)盟，形成協(xié)同創(chuàng)新攻關、開放合作共贏的產(chǎn)業(yè)發(fā)展新格局。

（七）促進工業(yè)互聯(lián)網(wǎng)安全國際合作與交流

習近平總書記強調，網(wǎng)絡空間是人類共同的活動空間，網(wǎng)絡空間前途命運應由世界各國共同掌握。各國應該加強溝通、擴大共識、深化合作，共同構建網(wǎng)絡空間命運共同體。目前各國政府均從國家戰(zhàn)略層面不斷加大在工業(yè)互聯(lián)網(wǎng)領域的協(xié)同合作力度，尤其應加強工業(yè)互聯(lián)網(wǎng)安全領域的國際合作。

一是深化安全領域產(chǎn)業(yè)合作，建立政府、產(chǎn)業(yè)聯(lián)盟、企業(yè)等多層次交流對話機制，共同制定工業(yè)互聯(lián)網(wǎng)安全標準規(guī)范和國際規(guī)則，構建多邊、民主、透明的工業(yè)互聯(lián)網(wǎng)安全治理體系。

二是開展國際化數(shù)字化安全人才培養(yǎng)合作，與國際網(wǎng)絡安全領域高校、科研機構、專業(yè)企業(yè)等開展專業(yè)人才培養(yǎng)合作，加強數(shù)字化人才的國際交流，鼓勵國內、外專業(yè)人才走出去、引進來，構建工業(yè)互聯(lián)網(wǎng)安全專業(yè)人才梯隊。

三是加強核心領域技術合作，面向大數(shù)據(jù)分析、工業(yè)數(shù)據(jù)建模、軟件系統(tǒng)、芯片開發(fā)等關鍵技術領域，通過國際合作開展技術攻關與產(chǎn)品研發(fā)，構建技術、產(chǎn)品、平臺、服務方面的國際合作機制，為工業(yè)互聯(lián)網(wǎng)安全提供技術保障，推動我國工業(yè)互聯(lián)網(wǎng)技術水平顯著提升。