面向中小企業的工業互聯網安全研究

文｜郭剛 樊陸陸 郭子豪 馬曉雙

隨著新一代信息技術與制造業的融合，工業互聯網安全面臨巨大挑戰。本文重點闡述了當下工業互聯網安全存在：工廠內網和互聯網互聯互通導致網絡攻擊路徑增多，數據安全風險隱患凸顯以及工業企業普遍存在資金有限、人員缺乏、意識薄弱的問題。同時，本文提出了加強工業互聯網安全建設建議，分別是：建設內生安全防御為主的安全防護能力、建立工業領域數據安全管理體系、建設一站式安全服務平臺。

中小企業在國民經濟中占據非常重要的位置，是就業、創業創新的重要力量，在穩增長、調結構、防風險中發揮著非常重要的作用，是大眾創業、萬眾創新的重要載體。隨著以第五代移動通信（5G）、人工智能（AI）為代表的新一代信息技術正迅速向通信設備制造業、機械設備、汽車制造等領域滲透，工業互聯網賦能傳統制造業的深度和廣度都在不斷加強，工業資產、系統、數據從封閉的空間轉向開放的空間，受到的威脅越來越大，工業領域網絡安全、數據安全面臨的挑戰愈加突出，而中小企業在企業安全能力、安全資金投入、安全人才培養等方面面臨的挑戰更加突出，所以，研究工業互聯網安全的意義非常重大，應對不當，可能影響產業安全、經濟安全乃至國家總體安全。

一、工業互聯網概述

工業互聯網是第四次工業革命的關鍵支撐技術，是第五代移動通信等新一代信息技術與制造業融合的產物，通過生產各環節、各要素的互聯互通，助力工業企業數字化轉型。工業互聯網通過連接人、設備、環境、虛擬資源等全部生產要，打通整個產業鏈上下游。工業互聯網網絡通過低延時、高帶寬、高可靠及兼容性高的網絡設施,實現工業大數據在設計環節、研發環節、制造環節、運維環節的流動。工業互聯網平臺通過匯聚來自工業各個環節各個流程的數據，基于工業機理模型、工業數據建模分析，實現工業知識模型化、代碼化、軟件化，賦能工業場景。工業互聯網安全包括網絡安全、數據安全、控制系統等，是工業互聯網健康有序發展的保障。工業互聯網的發展催生很多新的模式、新的業態，通過智能化生產提升企業內部及企業之間之間的協同效率，通過網絡化協同降低研發成本，通過規模化定制降低低庫存，通過服務化幫助企業實現產品向服務的轉型。

圖1 工業互聯網內涵

二、工業互聯網安全現狀

黨和國家高度重視網絡空間安全，習近平總書記在全國網絡安全和信息化工作會議上強調“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障”。2017年以來，《中華人民共和國網絡安全法》《數據安全法》《個人信息保護法》等法律法規的發布施行，標志著我國網絡空間安全領域的基礎性法律法規框架體系已經基本完成。為了提升工業互聯網安全水平，2021年以來，工信部先后組織開展了網絡安全、數據安全分級分類試點以及安全深度行活動。雖然，我國工業互聯網安全取得不少成績，但與發達國家相比，各方面都還比較薄弱，主要面臨如下三方挑戰：

一是傳統企業網絡安全邊界的改變，導致網絡攻擊路徑增多，隨著工業互聯網戰略的落實，企業數字化轉型的深入實施，企業的網絡風險正在變得越來越嚴峻。

圖2 網絡安全邊界改變

二是數據安全不容忽視，數據安全風險貫穿于工業互聯網大數據的產生、采集、存儲、傳輸、處理、銷毀等全生命周期，急需要明確數據安全主體責任，加強數據各個環節的安全防護，定期開展數據安全能力評估，實時監測數據的安全流動，追蹤安全事件，及時做出響應，形成安全閉環。

三是新冠肺炎疫情對實體經濟影響較大，特別是中小企業，企業利潤率下降，在數字化轉型、安全防護、安全團隊建設等方面投入有限，同時，企業安全防護意識缺乏，重發展輕安全的思維普遍存在。

三、工業互聯網安全建議

（一）建設內生安全防御為主的安全防護能力

在工業設備方面，對設備芯片與操作系統進行安全加固，并對設備配置進行優化；在應用程序脆弱性分析方面，引入漏洞挖掘技術，對應用及控制系統采取靜態挖掘、動態挖掘，實現對自身隱患的常態化排查；在工業通信協議方面，新版本協議中加入數據加密、身份驗證、訪問控制、完整性驗證等機制提升其安全性，并逐步取代現有協議。

（二）建立工業領域數據安全管理體系

探索構建工業領域數據安全管理體系，明確企業的數據安全主體責任，加強數據安全的政策引導，幫助企業完成企業內部的數據分類，針對不同重要程度的數據實施分級（重要數據和核心數據）防護，定期開展企業數據安全評估，同時，搭建數據安全的服務平臺，幫助企業數據安全能力的建設。

（三）建設一站式安全服務平臺

針對中小企業普遍存在安全意識薄弱、安全防護能力建設資金有限、安全人才缺乏的問題，圍繞安全產品服務化、安全服務輕量化、服務形式便捷化等特征和方向，建議從安全診斷評估、安全分級分類、安全監測SaaS服務、安全解決方案、安全應急響應服務、安全人才培訓等方面建設工業互聯網安全公共服務平臺。平臺將秉承一站式、輕量化的服務理念，以安全診斷評估服務為入口，以網絡安全、數據安全分級分類為抓手，以監測、解決方案、應急響應為服務重點，吸引企業入駐平臺，聚合企業安全需求，匯聚企業安全事件數據，聯合安全生態企業，提供梯度式的、延續性強的安全解決方案，打造從評估、監測、防護、應急響應、人才培訓為一體的閉環式安全服務體系。

四、結論

工業互聯網作為第四次工業革命的重要支撐，在推動企業數字化轉型的同時，安全變得越來越重要。黨和國家非常重視工業企業安全能力的建設，頒布了多部相關的法律法規。針對當下工業互聯網安全存在的被攻擊路徑增多、數據安全風險、企業安全能力不足等問題，本文從增強安全防護能力、建立數據安全管理體系、建設一站式安全服務平臺三方面推動工業互聯網安全體系建設。