作者|張格 孫軍 張哲宇 董良遇
國家工業信息安全發展研究中心
“新基建”的提出及其高速發展,為工業互聯網自主創新產業發展帶來新的歷史機遇,而安全作為所有信息化技術發展的前提和保障,作為工業互聯網三大功能體系之一,也必將是工業互聯網產業自主創新健康高速發展的重要保障。
一、深化安全保障體系,促工業互聯網高質量發展
近年來,在政府推動、市場驅動的雙重因素作用下,我國工業互聯網進入加速發展階段,工業互聯網安全作為發展的基礎和前提,保障體系不斷深化,同時在工業互聯網核心技術突破和應用創新方面投入力度不斷加大。
政策方面,2016年5月,國務院發布《關于深化制造業與互聯網融合發展指導意見》(國發〔2016〕28號),明確將提高工業信息系統安全水平作為主要發展任務之一;2016年10月,工業和信息化部制訂《信息化和工業化融合發展規劃(2016-2020年)》,明確提出加強工業互聯網網絡側安全技術手段建設,建立健全工業互聯網網絡安全保障體系;2016年12月,工業和信息化部和財政部聯合發布《智能制造發展規劃(2016-2020年)》,要求構筑工業互聯網基礎,研發新型工業網絡設備與系統、信息安全軟硬件產品,建立健全風險評估、檢查和信息共享機制;2017年11月,國務院正式印發《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》(以下簡稱《意見》),明確將安全作為工業互聯網三大功能體系之一,堅持工業互聯網安全保障手段同步規劃、同步建設、同步運行,提升工業互聯網安全防護能力。同時提出要加大關鍵共性技術攻關力度,提升產業支撐能力,降低核心技術和高端產品對外依存度。2019年7月,十部門聯合印發《加強工業互聯網安全工作的指導意見》(工信部聯網安〔2019〕168號)的通知,要求加快構建責任清晰、制度健全、技術先進的工業互聯網安全保障體系,加大對工業互聯網安全技術研發和成果轉化的支持力度,加快自主可控產品的創新推廣應用。
當前,工業互聯網安全保障體系正逐步建立,已初步構建企業安全主體責任制,建立了監督檢查、信息共享和通報、應急處置等工業互聯網安全相關管理制度,研究形成了工業互聯網安全標準體系框架,推動設備、平臺、數據等亟需的工業互聯網安全相關標準的制定,探索構建工業互聯網安全檢查評估體系。同時,自2017年開始,工信部及地方政府加大工業互聯網安全投入力度,陸續通過工業互聯網創新發展工程、工業互聯網安全產品與解決方案試點示范等相關工作,從產業發展及技術手段建設等多個方面,推進工業企業加速信息化與工業化融合進程,逐步推動安全技術保障平臺、基礎資源庫和安全測試驗證環境等工業互聯網基礎設施建設,鼓勵核心企業利用工業互聯網帶動中小企業轉型升級。
然而,在我國在信息技術領域的水平仍然較為落后的大環境下,工業互聯網同樣處于核心技術受制于人的現狀,依賴國外核心技術引進并非長宜之計。2019工業互聯網全球峰會中習近平總書記在致賀信中指出,持續提升工業互聯網創新能力,推動工業化與信息化在更廣范圍、更深程度、更高水平上實現融合發展。目前,工業互聯網自主創新安全相關工作也正在推進,與工業互聯網發展相匹配的技術保障能力逐步建立。
二、“新基建”下工業互聯網領域面臨的主要安全問題
(一)原有“孤島式”工業場景在工業互聯網應用快速拓展下,可能存在將關鍵設備及系統直接暴露在互聯網上的風險
工業互聯網多用于裝備制造、能源、交通等關鍵領域,涉及國家關鍵信息基礎設施,其安全事關人民生產生活、經濟發展和社會穩定。與傳統基建不同的是,“新基建”更加關注科技前沿技術的應用,當“新”與“舊”碰撞時,在帶來新機遇的同時,也可能帶來新的安全隱患。例如工業控制系統等關鍵信息基礎設施領域的關鍵設備及系統,長久以來大多以“孤島”模式或局域網環境運行,在未經大規模實踐驗證情況下,一旦采用工業互聯網相關應用,極有可能由于安全策略設置不當、開放某類服務端口或存在某種安全漏洞,為惡意攻擊者的非法攻擊提供了機會。可能導致系統極易被境外勢力侵害,竊取我國重要敏感數據和信息、專用設備工藝參數等,特別是國防、軍工等重要領域。因此,當前階段須高度警惕境外黑客組織可能的攻擊行為,引導工業互聯網用戶和應用企業提高安全防護意識,加強自身網絡風險排查和工業互聯網安全加固工
(二)“新基建”將物理空間與數字空間緊密結合,安全形勢愈加復雜,工業互聯網已成為網絡安全的主戰場
當前,工業互聯網場景下的工業控制設備(PLC、DCS、SCADA等)和工業控制協議中普遍存在安全漏洞,國際主流工業控制設備廠商幾乎均無幸免。我國由于相關技術起步較晚,企業大量采用國外進口設備和核心技術應用,設備關鍵技術仍被國外廠商把控,無論從技術實現或經濟利益角度考慮,短期大量更換設備或消除漏洞風險均無法實現,老舊設備安全隱患無法消除。與此同時,企業長期“重外網輕內網”的主觀意識較強,內部網絡互聯互通現象嚴重,一旦大量工業場景應用系統通過工業互聯網云化或平臺化,其聯網后系統安全性、應用和數據遷移等方面的穩定性仍需長期大量實踐驗證,核心組件漏洞后門等隱患也有待進一步驗證。另外,大量工業控制系統及設備廠商在工業互聯網應用場景下對產品的安全性測試與評估方法等方面也存在著局限性,安全漏洞和風險缺陷無法及時被發現,業務系統聯網后的安全性與可靠性無法得以保障。
(三)“新基建”下工業互聯網專用類安全防護產品較少,大量通用安全產品無法滿足當前企業需求
隨著工業互聯網、大數據、人工智能、數字孿生等概念和技術的提出,我國已著手布局“新基建”場景的安全防護體系。但由于仍處于起步階段,缺乏相關完整健全的產品測評技術體系和評估標準,存在部分廠商通過概念炒作和產品包裝等惡劣手段搶占市場,工業互聯網安全產品市場混亂,安全專用防護產品較少且不成體系。特別是關鍵信息基礎設施相關領域,受當前應用范圍和市場規模所限,大多數安全企業尚未著手工控類設備及系統相關安全產品的推進工作,安全防護專用產品體系不夠健全,傳統安全企業以優先適配大規模應用產品和示范工程所需通用安全產品為主,針對性的工業互聯網安全專用產品仍需較慢長的研發周期,工業互聯網應用安全防護水平也有待進一步提升。
(四)工業互聯網安全技術體系和市場服務模式不夠健全,無法滿足“新基建”下我國市場自主安全的實際需求
無論在傳統安全領域還是關鍵信息基礎設施安全、工業互聯網安全領域,隨著網絡安全的威脅來源和攻擊手段不斷變化,僅采購和部署單一安全產品無法滿足網絡長期、系統的安全需求,構建全面的安全防護體系、核心應用盡量避免采用國外技術顯得尤為重要。目前我國工業互聯網安全防護產品多以借鑒國外經驗為主,自主可控能力較弱。安全服務模式方面仍以提供單一產品功能需求為主,整體替代式的安全解決方案模式服務的經驗較少。自主創新類產品的研發由于技術瓶頸尚未形成完善的產品體系或經歷大量實踐。未來發展中應在重視國產化技術水平提升的同時,注重安全防護整體解決方案的建設,推動構建關鍵信息基礎設施領域自主可控的安全防護體系。
三、加快構建工業互聯網自主創新領域安全保障體系
(一)開展軟件產品測試適配工作,以測促改、以測促用
基于等保2.0通用要求和云防護、物聯網等擴展項要求,以及相關標準規范對工業互聯網提出的安全要求,開展對自主創新類軟件產品本質安全、系統安全、應用安全的安全檢測和適配工作。一是檢測安全功能,測試加密機制、認證機制、訪問控制等,確保敏感數據不泄露,不被篡改,保障軟件系統的穩定性、可用性、可靠性。二是對安全漏洞進行檢測,通過行漏洞掃描、滲透測試、逆向分析等方式,檢測軟件漏洞、程序缺陷、脆弱點、威脅內容、編碼錯誤等,識別潛在的安全風險。三是開展安全軟件與基礎軟件的適配性測試,提升國產設備的安全防護能力。四是開展自主創新安全技術類標準制修訂工作,重點針對物理安全、網絡安全、主機安全、應用安全和數據安全類標準進行細化和適配性修訂,完善國產化安全標準體系。
(二)充分調動產業鏈上下游力量,聚焦攻防核心技術研究,提升安全防護技術水平
結合國家優勢研究機構、行業聯盟組織、科研高校和安全廠商等,共同開展自主創新攻防技術研究與實踐應用工作。一是結合工業互聯網安全領域實際問題,開展專門針對信息技術應用領域自主創新類的安全攻防大賽,在有限范圍通過“眾測眾試”方式,聚集社會力量,實現“以攻促防”、“以賽代練”,吸納信創攻防新技術專業人才。二是搭建基于關鍵業務系統的安全攻防演練靶場,通過實網攻防演練的方式發現問題,依托安全廠商有針對性的匯集重點行業領域安全解決方案,提升工業互聯網自身安全防護水平。三是結合安全防護全生命周期的事前防護、事中監測、事后處置等各環節,有針對性地開展安全防護技術研究,實現整體安全態勢的可知可控,提升自主創新安全保障能力。
(三)積極引導企業開展自研安全產品開發,促進我國自有安全產品及應用市場全面推廣
充分發揮企業自身優勢,引導安全廠商、集成商、整機廠商等開展自主創新類軟硬產品研發與應用推廣,提升自主安全能力。一是開展安全產品研發與適配工作。完成網絡空間測繪類、漏洞挖掘類、病毒查殺類、邊界防護類和源碼檢測類等安全產品在信息技術應用創新工程中的應用。二是穩步推進IPv6、5G網絡、人工智能、云計算、大數據等新技術新應用已有產品應用與自主創新應用體系融合的安全研究和數據遷移研究。避免由于硬件故障、程序缺陷、人為誤操作、惡意病毒和外部攻擊導致安全事件或數據泄露事件。三是開展優秀安全供應商遴選工作。評估廠商在業務系統開發、安全集成、安全運維和應急處置等相關能力,定期開展安全技術論壇和產品展示活動,提升我國安全產業體系整體品牌效應及影響力。
(四)優化安全服務模式,全面提升企業自主創新安全市場服務能力
結合當前工業互聯網供給側產品服務體系和需求側系統應用情況,優化自主創新類安全管理和服務模式,形成覆蓋企業全生命周期的產業服務生態體系,全面提升我國安全市場整體服務能力。一是優化健全安全管理體系與服務模式,利用已有國家、地方網絡安全產業園區,鼓勵產品廠商、應用廠商、安全廠商等提升面向自主可控安全的市場服務能力,扶持和培養具有市場競爭力的安全廠商。二是總結面向重大項目的安全工程經驗,逐步形成可復制可推廣的安全解決方案。鼓勵專業機構和企業由提供安全產品應用向提供安全服務和解決方案轉變。三是組織構建安全產品相關安全風險、安全事件、安全技術、安全應用等信息共享與風險通報機制,定期開展重點領域工業互聯網相關自主創新產品安全風險評估工作,為市場良性發展提供信息與技術動力,促進企業資訊收集和服務結構化增長,完善市場服務供應鏈完整化與體系化發展。
四、工業互聯網自主創新安全工作建議
(一)鼓勵工業互聯網平臺建設方加大自主可控產品應用比例,加快國內自有安全產品的創新推廣應用
一是鼓勵工業互聯網平臺建設方加大自主可控產品應用比例,從規模應用中逐步發現產品相關安全問題,促進我國自有工業互聯網產品的性能、功能、兼容性、安全性逐步完善;二是推動核心技術突破創新,加速關鍵信息基礎設施等重要領域工控系統和設備的安全解決方案研究與推廣,支持自主可控產品創新應用與市場開拓;三是引導工業互聯網企業提高安全防護意識,逐步從建設、運維階段減少對國外廠商的依賴,同時加強自身網絡風險排查和工業互聯網安全加固工作,提升企業內外網的安全防護能力。
(二)推動設備制造商、自動化集成商與安全企業加強合作,提升工業互聯網平臺、設備和控制系統的本質安全
一是建立協調機制和溝通渠道,促進設備制造商、自動化集成商與安全企業在工業互聯網自主創新產品研發初期加強合作,促進產業鏈需求對接,從本質上提升工業互聯網平臺、設備、控制系統安全水平;二是加大全國產化場景下工業互聯網安全防護產品的研發投入力度,引導安全企業提升國產應用領域安全技術和服務能力,加快安全產品在工業互聯網相關設備和平臺的測試適配與調優工作;三是推進工業互聯網信自主創新產品、平臺或系統的安全性測試與評估工作,建設信創安全測試與評估體系,及時發現安全隱患,強化建設與應用全過程的系統安全與數據安全保護。
(三)建立自主創新安全基礎資源庫及安全測試驗證環境,提升工業互聯網整體安全防護水平
一是組織開展工業互聯網自主創新安全防護技術研究,構建基于國產化環境下的工業互聯網安全防護解決方案;二是構建工業互聯網自主安全基礎資源庫,形成我國工業互聯網自有產品的資產目錄庫、安全漏洞庫、安全威脅信息庫、安全性測試用例集等基礎資源庫;三是推進面向工業互聯網自主創新環境的安全測試工具庫研發、安全測試驗證環境建設等工作,測試、驗證信創系統及產品各環節存在的網絡安全風險以及相應的安全防護解決方案的有效性。
來源:中國信息安全
