“近年来,工业互联网安全风险日益突出。”在日前召开的2019中国工业信息安全大会上,工信部网络安全管理局副局长杨玉燕表示,我国工业互联网安全存在5个问题。下一步,我国将从四个方面构建工业互联网安全体系。工业和信息化部网络安全管理局副局长杨玉燕表示,工业互联网安全风险主要来自两个方面。一方面,外部风险加剧。互联网与工业的深度融合,打破了传统工业领域相对封闭、信任的环境。互联网的安全威胁已经渗透到工业领域,网络攻击可以直达生产线。而且,工业互联网一旦受到网络攻击,不仅会造成系统或服务中断、数据泄露等传统互联网安全问题,甚至还会引发生产安全问题,导致信息泄露等安全事件的发生。污染物质、爆炸破坏、大范围停水停电。另一方面,网络风险有所增加。传统工控系统和设备大多受限于内存和处理能力,防护能力较弱。这些系统接入互联网后,将采用更加开放的协议和标准化的技术架构,进一步降低攻击门槛;5G、IPv6、工业互联网等新技术的推广应用,将给网络安全带来更大的挑战。“工业互联网平台连接着海量的工业控制系统、业务系统和网络,同时承载着大量的工业互联网数据,成为网络攻击的重点目标;而且,工业互联网拥有庞大的数据种类多、流向复杂、使用场景多样,数据篡改、泄露、滥用、数据跨境流动等安全问题更加突出。”杨玉燕指出,平台和数据安全已成为工业互联网安全的新重点。她还提到,目前我国工业互联网安全存在五大问题:一是安全监管和制度体系不健全。在监管层面,工业互联网涉及制造、电力等多个行业,包括设备安全、控制安全、网络安全、平台安全、数据安全等。在这种一体化状态下,监管职能分散在多个行业主管部门,缺乏权责明确的监管体系。在生产层面,工业互联网涉及研发设计、生产制造、产品流通、售后服务等全产业链的各个环节。不清楚。二是企业安全意识相对薄弱。工业企业普遍存在“重发展轻安全”的问题,对工业互联网安全认识不足,安全防护投入低,企业在部署安全措施时缺乏统一的标准和指导。三是市场带动乏力。企业在安全方面的投入意愿较弱,使得工业互联网安全市场整体规模较小,导致目前可用的工业互联网安全产品和解决方案相对匮乏。同时,缺乏行业认可的第三方机构进行工业安全审查和评估认证,产品和服务的安全性难以得到保障。四是安全技术能力不足。我国工业互联网安全建设整体刚刚起步,传统工业领域应对新型攻击的安全能力不足。尚未形成国家级、有组织的工业互联网安全事件监测发现、精准预警、快速处置和有效溯源。全网态势感知技术手段。五是复合型人才短缺。工业互联网需要大量基础广泛、一专多能、多专多能的人才。此类人才不仅要掌握网络安全专业知识,还要熟悉应用场景。现有的网络安全人才水平还不足以满足工业互联网发展的需要。要求。“工信部网信办将从四个方面构建工业互联网安全体系。”杨玉燕说。一是抓顶层。目前,《关于加强工业互联网安全工作的指导意见》已完成公开征求意见,将于近期印发。工信部委托专业机构选取20余家典型工业企业和平台企业开展安全检查评价试点,查出整改风险通报近2000份。此外,工业互联网安全标准体系框架已经建立,其中安全防护通用要求、平台安全、数据安全等关键标准规范相继发布。二是建设手段。具体包括建设工业互联网资产目录库、工业协议库、安全漏洞库、恶意代码库等工业互联网安全基础资源库;建设工业互联网安全测试验证环境,建设功能完备的工业互联网安全攻防演练环境;建设国家、省、企业三级工业互联网安全技术支撑平台等。目前,国家级平台、省级8个平台建设已基本完成,覆盖3000多家重点行业企业,如电子、航空和自动化。三是做强产业。工信部持续开展工业互联网安全试点示范;通过“揭榜领衔”方式在全国评选优秀工业互联网安全项目,300余家工业互联网安全相关企业参与今年“揭榜领衔”,带动超过100社会基金1亿元;积极推进网络安全产业园建设。四是培养人才。具体措施包括开展工业互联网安全竞赛、举办“网保杯”网络安全防护大赛等。
