【工业互联网专题】工业互联网创新发展必须强化网络安全的“底座”作用
2021-03-11
来源:新华网
工业和信息化部近日印发《工业互联网创新发展行动计划(2021-2023年)》(以下简称“行动计划”),提出到2023年,我国工业互联网新型基础设施建设量质并进,新模式、新业态大范围推广,产业综合实力显著提升;新型基础设施进一步完善、融合应用成效进一步彰显、技术创新能力进一步提升、产业发展生态进一步健全、安全保障能力进一步增强。
《行动计划》从工业互联网创新发展的几个方面入手,分别提出了切实可行的目标,明确了以下11项重点任务:网络体系强基行动、标识解析增强行动、平台体系壮大行动、数据汇聚赋能行动、新型模式培育行动、融通应用深化行动、关键标准建设行动、技术能力提升行动、产业协同发展行动、安全保障强化行动、开放合作深化行动。其中,安全保障能力增强是其它重点任务的底座和基础,应在以下几个方面引起关注。
在网络体系强基行动中,工业企业需要对工业设备、企业内网、企业外网进行改造、升级、建设。我们在对工业现场“哑设备”进行网络互联能力改造,既要注意保护这些设备自身的数据安全,也要注意搭建工业互联网过程中避免出现中、高危漏洞,这些漏洞可能带来的风险包括拒绝服务攻击、远程命令执行、信息泄露等。
在平台体系壮大行动中,部分企业针对设备、网络、控制、应用和数据的防护措施尚未到位,对风险的识别、抵御和化解能力尚未形成,上线平台基本处于“裸奔”状态。我国工业互联网平台IaaS层发展成熟度较高,基础设施相对完善,在数据安全方面已具备较为完备的安全解决方案。工业互联网平台PaaS层对工业数据的保护主要依赖于传统的用户鉴权管理,数据加密存储和安全传输能力亟待增强。工业APP开发周期短,迭代频繁,对数据安全考虑不足。工业企业连接平台后未及时升级防护措施,数据保护意识薄弱。在工业企业自身防护能力普遍较弱的情况下,国家级管理体系和技术防护平台的重要性和优先级更为凸显。建设平台过程中,由于企业对工业互联网安全防护整体解决方案了解不足,对安全防护架构、措施、技术、产品最佳实践知之甚少,因此需要依托国家级的防护平台、解决方案和最佳实践,开展相关试点示范工作,推动工业互联网平台安全防护体系建设。
在数据汇聚赋能行动中,通过大数据中心实现对数据统一管理和使用固然可以解决数据“孤岛”的问题,我们需要在遵循等保2.0相关法律要求的基础之上,明确数据收集、存储、处理、转移、删除等环节安全保护要求,在加快推动数据资源开放共享和开发应用的同时,必须建立行之有效的数据安全保障体系,构筑适应工业互联网数据发展的法规制度,健全工业互联网数据时代信息安全新秩序。
在关键标准建设行动中,虽然我国工业互联网发展顶层架构已经具备,但是工业互联网安全技术防护体系和安全管理体系尚在建立过程中,相关政策文件和标准指南主要集中于工业控制系统安全领域,针对工业互联网平台安全接入、数据保护、平台防护等方面的标准尚属空白,平台分级分类管理体制和方法尚未统一,我们需要摸索一个合适的安全评价体系。针对当前缺乏工业互联网安全检测评估标准的问题,我们可以通过对工业互联网安全现状、安全需求和攻防技术的深入调研,全面分析工业互联网可能存在的安全隐患,确定工业互联网安全审查、检测和评估的方向和重点,梳理和细化安全审查和检测评估内容,编制可量化、可操作的工业互联网安全审查和检测评估技术要求和测试评价方法相关标准。
在产业协同发展行动中,由于我国工业软硬件自主研发实力不足,在高端装备、工业控制系统、工业网络和软件领域的技术产业实力难以满足安全防护需求,工业控制系统及工业软硬件依赖国外技术产品。工业控制系统方面,工控MCU、DSP、FPGA等核心元器件技术与国外差距较大,SCADA、PLC、DCS、PCS等系统国外产品占领大部分国内市场。PLC绝大部分是法国施耐德、德国西门子等品牌,DCS的首选品牌则包括瑞典ABB、美国罗克韦尔等传统品牌。工业软硬件方面,超高精度机床主要来自日本、德国和瑞士。国外厂商凭借其全球品牌影响力,进入中国市场较早,已经形成持续性的产品服务生态和利益链,具备较强的市场竞争优势。为推动工业互联网科技创新与产业发展,我们需要产学研相结合,实现工业互联网安全关键核心技术自主可控。而目前工业企业——厂商——科研机构的链条不畅,缺乏促进合作的相关项目。高校应注重开放创新,加强工业互联网各类行业客户、专业服务企业之间的协同合作,发挥其在所属领域的知识经验和资源优势,形成一系列重量级工业应用。
在工业互联网产业生态培育工程中,国内网络安全人才存在较大缺口,且高度集中在北京、广州、上海等一线城市,在安全需求分析和体系设计、安全态势分析以及战略法规制定方面的人才最为紧缺。而工业信息安全从业人员在数量和质量上与现实需求差距更大,服务支撑能力不足,相当一部分在企业端负责信息安全的管理人员是非专业出身,对工业控制系统的系统知识不甚了解,负责操作和维护工业控制系统的工程人员是其它相关专业转行,对工业信息安全掌握不系统不到位。大多数工业企业现有安全领域从业人员不具备分析和解决工业信息安全问题的能力,在专业性上亟待提高。
2021-2023年是我国工业互联网的快速成长期,《行动计划》给出了我国工业互联网这三年发展的11项重点任务,从政策上推动企业的工业化与信息化进一步融合发展。相信《行动计划》将带动我国企业信息化朝着更高、更深、更广的方向发展。