本刊編輯部

工業(yè)互聯(lián)網(wǎng)是基于制造業(yè)發(fā)展面臨深刻變革這一背景下提出的，是推動(dòng)我國(guó)制造業(yè)數(shù)字化轉(zhuǎn)型的現(xiàn)實(shí)路徑。當(dāng)前，全球工業(yè)互聯(lián)網(wǎng)正處在產(chǎn)業(yè)格局還沒(méi)有確定的關(guān)鍵期，也是大規(guī)模運(yùn)用、規(guī)模化擴(kuò)張的窗口期。這在個(gè)時(shí)期，工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全問(wèn)題顯得非常重要。

國(guó)家工業(yè)信息安全發(fā)展研究中心副主任何小龍稱(chēng)，工業(yè)互聯(lián)網(wǎng)平臺(tái)是面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求構(gòu)建，基于海量數(shù)據(jù)采集、匯聚、分析的服務(wù)體系，它向上承載應(yīng)用生態(tài)，向下接入系統(tǒng)的設(shè)備，是設(shè)計(jì)、制造、銷(xiāo)售、物流與服務(wù)等全生產(chǎn)鏈、各環(huán)節(jié)實(shí)現(xiàn)協(xié)同制造的一個(gè)紐帶，是連接設(shè)備、軟件、產(chǎn)品、工廠、人等工業(yè)全要素的樞紐。“工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全關(guān)系到生產(chǎn)的安全、社會(huì)的安全甚至國(guó)家的安全?！焙涡↓堈f(shuō)。

工業(yè)互聯(lián)網(wǎng)平臺(tái)面臨嚴(yán)峻風(fēng)險(xiǎn)

據(jù)悉，當(dāng)前我國(guó)的工業(yè)互聯(lián)網(wǎng)平臺(tái)面臨嚴(yán)峻風(fēng)險(xiǎn)，這主要表現(xiàn)在：一是越來(lái)越多的工業(yè)設(shè)備、系統(tǒng)暴露在互聯(lián)網(wǎng)上，導(dǎo)致平臺(tái)被攻擊的風(fēng)險(xiǎn)加?。欢枪I(yè)互聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)種類(lèi)和需求呈現(xiàn)多樣化特點(diǎn)，目前的數(shù)據(jù)保護(hù)措施難以滿(mǎn)足需求。2018年、2019年，工信部連續(xù)兩年對(duì)國(guó)內(nèi)主要的一些工業(yè)互聯(lián)網(wǎng)平臺(tái)進(jìn)行了檢查與評(píng)估，結(jié)果不盡如人意，顯示出工業(yè)互聯(lián)網(wǎng)平臺(tái)安全保護(hù)能力薄弱。

這是由于早期的工業(yè)控制系統(tǒng)都是在相對(duì)獨(dú)立的網(wǎng)絡(luò)環(huán)境下運(yùn)行，在產(chǎn)品設(shè)計(jì)和網(wǎng)絡(luò)部署時(shí)，只考慮了功能性和穩(wěn)定性，對(duì)安全性考慮不足。隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)之間互聯(lián)互通的不斷推進(jìn)，以及工業(yè)控制系統(tǒng)和工業(yè)設(shè)備接入互聯(lián)網(wǎng)的數(shù)量越來(lái)越多，通過(guò)互聯(lián)網(wǎng)對(duì)工業(yè)控制系統(tǒng)實(shí)施攻擊的可能性越來(lái)越大，這些都為工業(yè)互聯(lián)網(wǎng)帶來(lái)巨大的安全隱患。

從2011年以后工業(yè)控制系統(tǒng)的各種漏洞每年都在高速的增加，這些漏洞將會(huì)成為攻擊工業(yè)控制網(wǎng)絡(luò)的一種主要途徑。通過(guò)這些漏洞攻擊可以完成獲取系統(tǒng)權(quán)限、修改工程數(shù)據(jù)和控制流程、非法關(guān)閉現(xiàn)場(chǎng)設(shè)備等操作，造成重大的生產(chǎn)事故和經(jīng)濟(jì)損失。

比較常見(jiàn)的是來(lái)自外部網(wǎng)絡(luò)的滲透：工業(yè)互聯(lián)網(wǎng)會(huì)有較多的開(kāi)放服務(wù)，攻擊者可以通過(guò)掃描發(fā)現(xiàn)開(kāi)放服務(wù)，并利用開(kāi)放服務(wù)中的漏洞和缺陷登錄到網(wǎng)絡(luò)服務(wù)器獲取企業(yè)關(guān)鍵資料，同進(jìn)還可以利用辦公網(wǎng)絡(luò)作為跳板，逐步滲透到控制網(wǎng)絡(luò)中。通過(guò)對(duì)于辦公網(wǎng)絡(luò)和控制網(wǎng)絡(luò)一系列的滲透和攻擊，最終獲取企業(yè)重要的生產(chǎn)資料、關(guān)鍵配方，更嚴(yán)重的是隨意更改控制儀表的開(kāi)關(guān)狀態(tài)，惡意修改其控制量，造成重大的生產(chǎn)事故。

如何小龍所說(shuō)，我國(guó)典型工業(yè)互聯(lián)網(wǎng)平臺(tái)在邊緣層、工業(yè)IaaS（基礎(chǔ)設(shè)施即服務(wù)）層、PaaS（平臺(tái)即服務(wù)）層、SaaS（軟件即服務(wù)）層和平臺(tái)數(shù)據(jù)安全層皆面臨一些問(wèn)題。在邊緣層，現(xiàn)有的安全能力側(cè)重點(diǎn)在于設(shè)備接入認(rèn)證、網(wǎng)絡(luò)安全審計(jì)、通信加密策略安全防護(hù)等，而亟須加強(qiáng)邊緣設(shè)備可信驗(yàn)證、工業(yè)協(xié)議深度解析、對(duì)接不同廠商端側(cè)設(shè)備等方面的安全能力；在工業(yè)SaaS層方面，現(xiàn)在平臺(tái)側(cè)重點(diǎn)在身份認(rèn)證、權(quán)限控制、安全審計(jì)等方面把控，亟須加強(qiáng)工業(yè)應(yīng)用安全加固、統(tǒng)一安全運(yùn)維、應(yīng)用日志分析等能力。

工業(yè)互聯(lián)網(wǎng)實(shí)現(xiàn)了設(shè)備、工廠、人、產(chǎn)品的全方位連接，因此工業(yè)互聯(lián)網(wǎng)安全建設(shè)必須從綜合安全防護(hù)體系的視角對(duì)其進(jìn)行統(tǒng)籌規(guī)劃。

構(gòu)建安全閉環(huán)

業(yè)內(nèi)人士分析認(rèn)為，從工業(yè)互聯(lián)網(wǎng)的整體架構(gòu)來(lái)看，應(yīng)該在各個(gè)層面實(shí)施相應(yīng)的安全防護(hù)措施，并通過(guò)入侵檢測(cè)、邊界防護(hù)、協(xié)議分析、行為分析、安全審計(jì)、容災(zāi)備份、態(tài)勢(shì)感知等各種安全技術(shù)與安全管理相結(jié)合的方式實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)的安全防護(hù)，形成對(duì)工業(yè)互聯(lián)網(wǎng)安全的“監(jiān)測(cè)、報(bào)警、處置、溯源、恢復(fù)、檢查”工作閉環(huán)。

工業(yè)互聯(lián)網(wǎng)平臺(tái)應(yīng)在云基礎(chǔ)設(shè)施、平臺(tái)基礎(chǔ)能力、基礎(chǔ)應(yīng)用能力的安全可信方面制定五個(gè)基本計(jì)劃活動(dòng)——

1.識(shí)別：識(shí)別管理系統(tǒng)、資產(chǎn)、數(shù)據(jù)和功能的安全風(fēng)險(xiǎn)；2.防護(hù)：對(duì)平臺(tái)實(shí)施安全保障措施，確保工業(yè)互聯(lián)網(wǎng)平臺(tái)能夠提供服務(wù)；3.檢測(cè)：對(duì)平臺(tái)使用、維護(hù)、管理過(guò)程實(shí)施適當(dāng)?shù)某掷m(xù)性監(jiān)視和檢測(cè)活動(dòng)，以識(shí)別安全事件的發(fā)生；4.響應(yīng)：對(duì)平臺(tái)使用、維護(hù)、管理過(guò)程制定和實(shí)施適當(dāng)?shù)膽?yīng)對(duì)計(jì)劃，對(duì)檢測(cè)到的安全事件采取行動(dòng)；5.恢復(fù)：對(duì)平臺(tái)使用、維護(hù)、管理過(guò)程制定和實(shí)施適當(dāng)?shù)幕顒?dòng)及維護(hù)恢復(fù)計(jì)劃，以恢復(fù)由于安全事件而受損的任何能力或服務(wù)。

當(dāng)前需要完成對(duì)安全思維的根本性切換，即應(yīng)該充分意識(shí)到安全防護(hù)是一個(gè)持續(xù)的處理過(guò)程，即從“應(yīng)急響應(yīng)”到“持續(xù)響應(yīng)”。

天融信科技集團(tuán)CEO李雪瑩博士認(rèn)為，工業(yè)企業(yè)接入網(wǎng)絡(luò)之后需盡量減少與生產(chǎn)相關(guān)的資產(chǎn)在互聯(lián)網(wǎng)上的暴露，單點(diǎn)登錄、應(yīng)用代理在一定的防護(hù)基礎(chǔ)上可以暴露于網(wǎng)上，應(yīng)用于業(yè)務(wù)間的協(xié)同，其自身的資產(chǎn)、設(shè)備應(yīng)該在企業(yè)的內(nèi)網(wǎng)側(cè)。在企業(yè)側(cè)最大限度減少非必要資產(chǎn)在互聯(lián)網(wǎng)上的暴露面，達(dá)到安全的要求。在產(chǎn)業(yè)層面，把工業(yè)業(yè)務(wù)分為可見(jiàn)區(qū)域和不可見(jiàn)區(qū)域，生產(chǎn)過(guò)程是不可見(jiàn)的，而企業(yè)間的業(yè)務(wù)協(xié)同是可見(jiàn)的。

“中國(guó)的工業(yè)產(chǎn)品占世界工業(yè)產(chǎn)品的近一半，我國(guó)是一個(gè)名副其實(shí)的工業(yè)大國(guó)。在兩化融合的過(guò)程中，工業(yè)企業(yè)都已逐漸普及信息化，如何利用信息化的優(yōu)勢(shì)和技術(shù)提高產(chǎn)能是工業(yè)發(fā)展的重要方向，工業(yè)互聯(lián)網(wǎng)是實(shí)現(xiàn)上述效果的重要途徑，而在這其中，安全是重中之重，是一切工業(yè)企業(yè)信息化發(fā)展的基石。”李雪瑩說(shuō)。

政策助力

我國(guó)高度重視工業(yè)互聯(lián)網(wǎng)安全，國(guó)務(wù)院于2017年11月發(fā)布《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》（以下簡(jiǎn)稱(chēng)《指導(dǎo)意見(jiàn)》）提出，要加快發(fā)展工業(yè)互聯(lián)網(wǎng)建設(shè)，構(gòu)建網(wǎng)絡(luò)、平臺(tái)、安全三大體系，強(qiáng)化工業(yè)互聯(lián)網(wǎng)的安全保障。《指導(dǎo)意見(jiàn)》突出了我國(guó)工業(yè)互聯(lián)網(wǎng)安全的基礎(chǔ)性和戰(zhàn)略性的地位，也為今后工業(yè)互聯(lián)網(wǎng)的安全制定了時(shí)間表和路線(xiàn)圖。

何小龍說(shuō)，為了貫徹落實(shí)國(guó)家相關(guān)政策和文件要求，有效應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)，特別是互聯(lián)網(wǎng)向工業(yè)領(lǐng)域的連接、IT和OT的連接，國(guó)家工業(yè)信息安全發(fā)展研究中心更加聚焦工業(yè)領(lǐng)域信息安全。據(jù)介紹，國(guó)家工業(yè)信息安全發(fā)展研究中心積極響應(yīng)工業(yè)互聯(lián)網(wǎng)發(fā)展的戰(zhàn)略部署，在工業(yè)和信息化部的指導(dǎo)下，針對(duì)政策標(biāo)準(zhǔn)制定、技術(shù)保障能力構(gòu)建、產(chǎn)業(yè)發(fā)展和人才隊(duì)伍培養(yǎng)等方面做了多項(xiàng)工作。

2020年，工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)管理辦法》（征求意見(jiàn)稿）指導(dǎo)我國(guó)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析建設(shè)，促進(jìn)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)健康有序發(fā)展和應(yīng)用，規(guī)范工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)服務(wù)，保護(hù)用戶(hù)合法權(quán)益，保障工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)系統(tǒng)安全、可靠運(yùn)行。

近日，工業(yè)和信息化部、應(yīng)急管理部也聯(lián)合發(fā)布了《“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”行動(dòng)計(jì)劃（2021-2023年）》，圍繞建設(shè)新型基礎(chǔ)設(shè)施、打造新型能力、深化融合應(yīng)用、構(gòu)建支撐體系四個(gè)方面提出了重點(diǎn)任務(wù)，其中建設(shè)新型基礎(chǔ)設(shè)施是基礎(chǔ)，建設(shè)新型能力是核心，深化融合應(yīng)用是重點(diǎn)，構(gòu)建支撐體系是保障。

政策助力、市場(chǎng)需求，使得工業(yè)互聯(lián)網(wǎng)安全也成為一個(gè)正在快速增長(zhǎng)的新市場(chǎng)。國(guó)家工業(yè)信息安全發(fā)展研究中心工程師賈若倫分析：“在產(chǎn)業(yè)未來(lái)的發(fā)展趨勢(shì)上，大致有四個(gè)方面的預(yù)測(cè)：一是工業(yè)信息安全產(chǎn)業(yè)政策紅利進(jìn)一步釋放，隨著各項(xiàng)國(guó)家政策規(guī)劃的穩(wěn)步推進(jìn)，工業(yè)信息安全產(chǎn)業(yè)的環(huán)境將持續(xù)優(yōu)化，產(chǎn)業(yè)聚集效應(yīng)逐漸形成；二是我國(guó)工業(yè)信息安全產(chǎn)業(yè)規(guī)模將持續(xù)保持高速增長(zhǎng)；三是新一代信息技術(shù)促進(jìn)新興業(yè)態(tài)安全技術(shù)研發(fā)；四是工業(yè)信息安全產(chǎn)業(yè)鏈上下游企業(yè)加速協(xié)同互動(dòng)，工業(yè)信息安全廠商與工業(yè)控制系統(tǒng)廠商、IT系統(tǒng)廠商將開(kāi)展多層次、多維度的合作。”

對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全領(lǐng)域而言，挑戰(zhàn)和機(jī)遇并存，個(gè)中企業(yè)唯有真刀真槍的實(shí)網(wǎng)攻防，在此過(guò)程中不斷增強(qiáng)自身的防御能力，才能有效地保護(hù)平臺(tái)健康發(fā)展。