近日,在世界工业互联网大会-工业互联网安全分论坛上,中国信息通信研究院安全研究所柯浩仁参会并发表了《工业互联网安全发展新形势展望》的专题演讲。我国制造业经历了几十年的发展,如今已全面进入数字化新阶段。2017年以后,我国在推动工业互联网发展过程中取得了显著成效。但与此同时,在安全性方面,还存在一些需要解决的问题。新基建发展战略提出后,工业互联网发展再次提速,形成了新技术加速融合、新生态加速形成的良好局面。工业互联网攻击的两大特点柯浩仁表示,互联网攻防从以前到现在发生了很大的变化。过去,黑客主要针对个人隐私和经济行为。如今,随着工业信息化的发展,工业领域发生了多起网络安全事件。互联网攻击由以经济为目的,转变为以特定组织为目标,引发了一系列社会安全和国家安全事件。近年来,工业互联网安全事件频发,安全形势不容乐观。针对工业互联网的攻击主要表现在以下两类:一是攻击的专业化。当今的攻击手段越来越复杂,表现为仪器化、规模化、自动化;攻击类型已经从最初的短期突发性攻击演变为现在的高级别、持续性攻击,其中还包括针对特定工业场景、特定系统、特定设备的专门攻击。二是侵略民族化。现在很多大型公共事件,都可以看作是一些国家之间网络安全的直接交锋,被视为第三战场。对国家重要能源、电力领域的袭击,关联更为密切。工业互联网五方面安全风险新基建发展战略提出后,为我国工业互联网建设发展按下了快进键。随着行业的发展,安全隐患也进一步增加。IT技术与工业领域的深度融合,放大了工业互联安全保障能力与日益增长的安全需求之间的差距。IT与OT融合后,暴露出诸多安全隐患。柯浩仁总结为五个方面:一是传统网络安全防护机制亟待升级。我国的工业互联网正在强调人机数据的全面互联互通,打通原来封闭的OT网络,逐步模糊边界。传统的基于边界的保护机制难以有效应对新的安全风险。二是终端设备安全资源相对不足。一些传统的PC,包括智能设备和智能设备,已经成为我国互联网安全的重灾区。第三,库存控制系统协议存在很多安全漏洞。包括可能直接明文传输相关控制指令,严重影响安全生产。此外,整个供应链的安全不可控,也存在相应的安全隐患。四是工业互联网平台安全基础薄弱。我国的工业互联网保护手段比较简陋。事实上,相当一部分企业的平台安全意识相对薄弱。五是行业数据泄露风险较大。过去没有相应的安全防护的具体防护措施,现在工业数据可能应用的点越来越多,针对性的安全防护措施相对缺乏,类似的泄密事件时有发生。工信部发布安全指南,为工业互联网安全保驾护航。目前很多安全厂商还是用互联网的思维在做工业互联网安全。这个系统有一定的缺陷。在提升安全防护能力、发现相应的安全风险和安全漏洞方面还存在不足。针对这一问题,去年底,工信部出台《工业互联网企业网络安全分类分级指南(试行)》(以下简称《指导意见》),从国家战略层面为工业互联网安全发展提供基础支撑。该指南是实施安全防护、完善安全队伍的重要依据和实践抓手。目前,随着近几年国家顶层设计逐步完善,一些行业对工业互联网安全工作的重视,使得整个管理体系逐步完善。用户已经从对公共安全不接受或不认可的状态转变为网络安全意识基本形成的状态。分析了《科豪人安全管理指南》的一些定位和目标。他指出,安全管理者以企业为主体,围绕工业互联网企业的网络安全分级分类,调动地方、行业协会、第三方组织等多方力量,强化差异化、精细化。企业管理,推动整个企业落实网络安全主体责任,提高相应能力和水平。在指南的实施附录中,配套的标准和规范对国家标准和社会规范的形成具有重要的推动作用,其中单独制定了行业数据和安全保护规范。
