筑牢工業互聯網平臺安全防線

本刊編輯部

工業互聯網是基于制造業發展面臨深刻變革這一背景下提出的，是推動我國制造業數字化轉型的現實路徑。當前，全球工業互聯網正處在產業格局還沒有確定的關鍵期，也是大規模運用、規模化擴張的窗口期。這在個時期，工業互聯網平臺的安全問題顯得非常重要。

國家工業信息安全發展研究中心副主任何小龍稱，工業互聯網平臺是面向制造業數字化、網絡化、智能化需求構建，基于海量數據采集、匯聚、分析的服務體系，它向上承載應用生態，向下接入系統的設備，是設計、制造、銷售、物流與服務等全生產鏈、各環節實現協同制造的一個紐帶，是連接設備、軟件、產品、工廠、人等工業全要素的樞紐。“工業互聯網平臺的安全關系到生產的安全、社會的安全甚至國家的安全。”何小龍說。

工業互聯網平臺面臨嚴峻風險

據悉，當前我國的工業互聯網平臺面臨嚴峻風險，這主要表現在：一是越來越多的工業設備、系統暴露在互聯網上，導致平臺被攻擊的風險加劇；二是工業互聯網平臺的數據種類和需求呈現多樣化特點，目前的數據保護措施難以滿足需求。2018年、2019年，工信部連續兩年對國內主要的一些工業互聯網平臺進行了檢查與評估，結果不盡如人意，顯示出工業互聯網平臺安全保護能力薄弱。

這是由于早期的工業控制系統都是在相對獨立的網絡環境下運行，在產品設計和網絡部署時，只考慮了功能性和穩定性，對安全性考慮不足。隨著工業控制系統網絡之間互聯互通的不斷推進，以及工業控制系統和工業設備接入互聯網的數量越來越多，通過互聯網對工業控制系統實施攻擊的可能性越來越大，這些都為工業互聯網帶來巨大的安全隱患。

從2011年以后工業控制系統的各種漏洞每年都在高速的增加，這些漏洞將會成為攻擊工業控制網絡的一種主要途徑。通過這些漏洞攻擊可以完成獲取系統權限、修改工程數據和控制流程、非法關閉現場設備等操作，造成重大的生產事故和經濟損失。

比較常見的是來自外部網絡的滲透：工業互聯網會有較多的開放服務，攻擊者可以通過掃描發現開放服務，并利用開放服務中的漏洞和缺陷登錄到網絡服務器獲取企業關鍵資料，同進還可以利用辦公網絡作為跳板，逐步滲透到控制網絡中。通過對于辦公網絡和控制網絡一系列的滲透和攻擊，最終獲取企業重要的生產資料、關鍵配方，更嚴重的是隨意更改控制儀表的開關狀態，惡意修改其控制量，造成重大的生產事故。

如何小龍所說，我國典型工業互聯網平臺在邊緣層、工業IaaS（基礎設施即服務）層、PaaS（平臺即服務）層、SaaS（軟件即服務）層和平臺數據安全層皆面臨一些問題。在邊緣層，現有的安全能力側重點在于設備接入認證、網絡安全審計、通信加密策略安全防護等，而亟須加強邊緣設備可信驗證、工業協議深度解析、對接不同廠商端側設備等方面的安全能力；在工業SaaS層方面，現在平臺側重點在身份認證、權限控制、安全審計等方面把控，亟須加強工業應用安全加固、統一安全運維、應用日志分析等能力。

工業互聯網實現了設備、工廠、人、產品的全方位連接，因此工業互聯網安全建設必須從綜合安全防護體系的視角對其進行統籌規劃。

構建安全閉環

業內人士分析認為，從工業互聯網的整體架構來看，應該在各個層面實施相應的安全防護措施，并通過入侵檢測、邊界防護、協議分析、行為分析、安全審計、容災備份、態勢感知等各種安全技術與安全管理相結合的方式實現工業互聯網的安全防護，形成對工業互聯網安全的“監測、報警、處置、溯源、恢復、檢查”工作閉環。

工業互聯網平臺應在云基礎設施、平臺基礎能力、基礎應用能力的安全可信方面制定五個基本計劃活動——

1.識別：識別管理系統、資產、數據和功能的安全風險；2.防護：對平臺實施安全保障措施，確保工業互聯網平臺能夠提供服務；3.檢測：對平臺使用、維護、管理過程實施適當的持續性監視和檢測活動，以識別安全事件的發生；4.響應：對平臺使用、維護、管理過程制定和實施適當的應對計劃，對檢測到的安全事件采取行動；5.恢復：對平臺使用、維護、管理過程制定和實施適當的活動及維護恢復計劃，以恢復由于安全事件而受損的任何能力或服務。

當前需要完成對安全思維的根本性切換，即應該充分意識到安全防護是一個持續的處理過程，即從“應急響應”到“持續響應”。

天融信科技集團CEO李雪瑩博士認為，工業企業接入網絡之后需盡量減少與生產相關的資產在互聯網上的暴露，單點登錄、應用代理在一定的防護基礎上可以暴露于網上，應用于業務間的協同，其自身的資產、設備應該在企業的內網側。在企業側最大限度減少非必要資產在互聯網上的暴露面，達到安全的要求。在產業層面，把工業業務分為可見區域和不可見區域，生產過程是不可見的，而企業間的業務協同是可見的。

“中國的工業產品占世界工業產品的近一半，我國是一個名副其實的工業大國。在兩化融合的過程中，工業企業都已逐漸普及信息化，如何利用信息化的優勢和技術提高產能是工業發展的重要方向，工業互聯網是實現上述效果的重要途徑，而在這其中，安全是重中之重，是一切工業企業信息化發展的基石。”李雪瑩說。

政策助力

我國高度重視工業互聯網安全，國務院于2017年11月發布《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》（以下簡稱《指導意見》）提出，要加快發展工業互聯網建設，構建網絡、平臺、安全三大體系，強化工業互聯網的安全保障。《指導意見》突出了我國工業互聯網安全的基礎性和戰略性的地位，也為今后工業互聯網的安全制定了時間表和路線圖。

何小龍說，為了貫徹落實國家相關政策和文件要求，有效應對工業互聯網安全風險，特別是互聯網向工業領域的連接、IT和OT的連接，國家工業信息安全發展研究中心更加聚焦工業領域信息安全。據介紹，國家工業信息安全發展研究中心積極響應工業互聯網發展的戰略部署，在工業和信息化部的指導下，針對政策標準制定、技術保障能力構建、產業發展和人才隊伍培養等方面做了多項工作。

2020年，工信部發布《工業互聯網標識管理辦法》（征求意見稿）指導我國工業互聯網標識解析建設，促進工業互聯網標識健康有序發展和應用，規范工業互聯網標識服務，保護用戶合法權益，保障工業互聯網標識系統安全、可靠運行。

近日，工業和信息化部、應急管理部也聯合發布了《“工業互聯網+安全生產”行動計劃（2021-2023年）》，圍繞建設新型基礎設施、打造新型能力、深化融合應用、構建支撐體系四個方面提出了重點任務，其中建設新型基礎設施是基礎，建設新型能力是核心，深化融合應用是重點，構建支撐體系是保障。

政策助力、市場需求，使得工業互聯網安全也成為一個正在快速增長的新市場。國家工業信息安全發展研究中心工程師賈若倫分析：“在產業未來的發展趨勢上，大致有四個方面的預測：一是工業信息安全產業政策紅利進一步釋放，隨著各項國家政策規劃的穩步推進，工業信息安全產業的環境將持續優化，產業聚集效應逐漸形成；二是我國工業信息安全產業規模將持續保持高速增長；三是新一代信息技術促進新興業態安全技術研發；四是工業信息安全產業鏈上下游企業加速協同互動，工業信息安全廠商與工業控制系統廠商、IT系統廠商將開展多層次、多維度的合作。”

對工業互聯網平臺的安全領域而言，挑戰和機遇并存，個中企業唯有真刀真槍的實網攻防，在此過程中不斷增強自身的防御能力，才能有效地保護平臺健康發展。