工業信息安全尋找加速度

石菲

隨著云計算、大數據、人工智能等新一代信息技術與制造技術加速融合，工業信息安全經歷了從傳統制造時代到全新時代的蛻變。而隨著制造強國戰略的實施，在我國，工業信息安全的重要性也越來越凸顯。

以數據安全為例，2018年100余家汽車制造商的關鍵生產數據遭泄露事件，敲響了工業數據安全防護的警鐘。據《2018年數據泄露調查報告》統計，2018年全球制造業的數據泄露事件多達536起，其中涉及大型企業事件375起。

在網絡攻擊層面，2018年，法國、俄羅斯等數百家工業企業成為網絡釣魚的攻擊目標，涉及制造業、石油天然氣、冶金等行業。

據國家工信安全中心統計，2017-2018年，工業領域公開報道的勒索病毒攻擊事件高達17起，其中制造業是攻擊的重點目標。2019年以來，針對制造業的勒索病毒攻擊事件已發生5起，涉及多國知名化工、食品、汽車制造企業，直接造成了系統癱瘓、生產停滯、運營中斷等嚴重后果。未來，隨著制造業企業價值密度增大、網絡依賴性提升，將愈發成為勒索者的“理想目標”。

進入2019年，隨著工業企業上云、工業App培育進程的加速，有一些關乎工業企業命脈的海量關鍵數據會進一步向云平臺匯聚，這些數據如果成為不法分子牟取利益的攻擊目標，則會引發進一步的工業信息安全危機。而隨著物聯網的進一步應用，物聯網的安全漏洞也會引發對終端安全更深層次的思考。在工業互聯網平臺快速發展的同時，我們更應該把安全元素放在首位，只有在建設之初就充分考慮到安全因素，工業互聯網平臺才能充分發揮他的價值。

那么，隨著智能制造的加速發展，新時代下工業信息安全會迎來怎樣的趨勢，又應該向什么方向發展？有哪些短板需要補足？讓我們嘗試去尋找到工業信息安全發展的加速度，為“智能+”與工業發展的融合打牢基礎。

物聯網安全風險增加

據Gartner預測，到2020年，全球將有204億件聯網產品投入使用。《2018-2019中國物聯網發展年度報告》也顯示，2018年我國物聯網產業規模已超1.2萬億元，物聯網產業將呈現蓬勃發展的態勢。

隨著工業互聯網發展速度加快，海量工業設備泛在連接、企業業務系統云化服務、網絡化協調制造的趨勢日益明顯，工業生產裝備、傳感器、工業控制系統等極易成為網絡攻擊的重點目標，在邊緣計算的加持下，物聯網安全風險更是不斷增加，這也導致工業企業受攻擊的風險進一步增大。

2018年，國家工信安全中心收集研判工業控制系統、智能設備、物聯網等領域的安全漏洞共計432個，主要分布于關鍵制造、能源、水務化學化工等領域。其中，高危漏洞276個，中危漏洞151個，中高危漏洞占比高達99%。從漏洞類型來看，緩沖區溢出漏洞數量最多，占比20%。排名前五的漏洞類型還有認證錯誤漏洞、權限控制漏洞、信息泄露漏洞、輸入驗證漏洞。從漏洞影響領域來看，排名前五的分別是關鍵制造、能源、水務、醫療健康、食品農業，共占比74%。

由于邊緣計算分布廣、環境復雜、數量龐大、在計算機存儲上資源受限，且很多應用在設計之初并沒有充分考慮到安全風險，傳統信息安全已不能完全適應邊緣計算的防護需求。而在實際應用中部分物聯網產品未經權威安全評測就會直接投入使用，產品安全性也存在風險。同時，由于邊緣計算的特殊性，大多數用戶無法及時察覺他們的設備是否被黑客入侵。而對于服務提供商來說，隨著設備數量顯著增加，管理難度加大，也很難有效監控所有設備。

因此，物聯網安全已經成為工業發展道路上的重要議題。對此，很多人視區塊鏈為解決物聯網安全的有效手段。區域鏈的主要好處是其分散的基礎架構，一個訪問點出問題不會損害整個系統，并且它能記錄與之交互的每個設備的時間戳，可以利用區域鏈的特性確保只有經過批準的設備才能訪問系統，并記錄任何違規或未經授權的訪問，可以快速有效地對其進行處理。從這個角度來說，區塊鏈或許會成為物聯網設備的最佳搭檔。但區塊鏈技術的成熟還需要時間，希望工業而企業在進行物聯網設備的安裝管理時能夠充分考慮到安全問題，提前做好防御規劃。

工業互聯網走向快車道

眾所周知，工業互聯網是推動制造業數字化轉型的重要抓手。工業互聯網的本質是以機器、原材料、控制系統、信息系統、產品及人之間的網絡互連為基礎，通過對工業數據深度感知、實時傳輸交換、快速計算處理及高級建模分析，實現智能控制、運營優化和生產組織方式的變革。

目前，我國工業互聯網已由理念研究加速走向落地實施，進入發展快車道，各地各類工業互聯網應用創新不斷涌現。工業互聯網已廣泛應用于石油石化、鋼鐵冶金等行業，具有一定影響力的工業互聯網平臺已超過50家，重點平臺平均連接設備數量達到近60萬臺。但據有關機構對20余家典型工業互聯網平臺企業進行的安全評估，發現2000多個安全威脅，存在較多的風險隱患。

一直以來，關于工業互聯網的政策都非常明確。2017年11月27日，國務院發布了《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》，第一次對于工業互聯網做出全面論述，是規范和指導我國工業互聯網發展的綱領性文件。2018年底中央經濟會議明確提出：加強人工智能，工業互聯網、物聯網等新型基礎設施建設。各部委文件逐漸由指定綱領進入到引導實施階段。

其中，關于工業互聯網安全領域，政府和主管部門也都投注了足夠的重視。近日，工業和信息化部、教育部、人力資源和社會保障部、生態環境部、國家衛生健康委員會、應急管理部、國務院國有資產監督管理委員會、國家市場監督管理總局、國家能源局、國家國防科技工業局聯合印發了加強工業互聯網安全工作的指導意見。《加強工業互聯網安全工作的指導意見》從指導思想、基本原則、總體目標三個層面上對我國工業互聯網的發展方向進行了清晰的規劃。

工業互聯網的建設不是單純的企業行為，而是一項重大的國家發展戰略。因此，工業互聯網的發展是需要多方力量匯聚的結果。工業互聯網的安全體系建設要獲得集聚發展，各地相關部門需要結合本地工業互聯網的發展特征，制定相應的政府支持機制和發展策略，為企業安全技術創新和應用推廣方面提供充分的支持條件。

《指導意見》中強調了通過部門協同、部省協作提高工業互聯網安全體系建設的運作效率，面向企業的安全需求，充分發揮市場引導、政府支持作用，形成政產學研用多方力量的有效匯聚。通過開展安全宣傳教育、安全競賽演練、安全人才培養等一系列工作，優化工業互聯網安全體系建設的人才培育和生態環境。工業互聯網的安全體系建設關乎我國制造業轉型發展過程的穩定性與持續性。工業互聯網融合、跨越、系統的工程特征要求其安全體系的建設需要政府部門、企業、市場多方的統籌協作，樹立全局觀念，通過分類分級、突出重點、鼓勵創新，營造工業互聯網穩定安全的開放發展環境，才能夠實現安全與發展的同步運行。

“增強免疫力”替代“打補丁”

除了工業領域的特殊性，呈幾何倍數增長的新科技在進行產業升級的同時也帶來了不可避免的安全問題。這些新技術都需要在發展的同時注入安全基因，比如在人工智能領域，2019年8月底，2019世界人工智能安全高端對話聯合2019世界人工智能大會法治論壇發布了《人工智能安全與法治導則（2019）》。該導則從算法安全、數據安全、知識產權、社會就業和法律責任等五大方面，對人工智能發展的安全風險作出了預判，提出了人工智能未來發展的安全與法治應對策略。

隨著人工智能在工業領域的不斷深入應用，隨之而來的安全風險的確應該引起人們的足夠重視。在算法安全方面，如果在研究算法的同時考慮到安全因素，可以避免很多不必要的安全漏洞；數據安全方面，在民用領域數據隱私保護已經引發了人們的重視，但還缺乏相關配套的法律法規。而在工業領域，數據安全危機造成的損害更為重大，理應受到企業、供應商和政府部門各方的高度重視；在法律責任方面，我們還應期待政府出臺更多的相關規范，完善人工智能及其在工業領域進一步應用的法律規范。

一方面，由“萬物互聯”、智能系統等引發的新安全問題（如車聯網安全、能源網安全、工控系統安全等）帶來的挑戰日益凸顯。另一方面，智能制造的加速發展又必須建立在安全保障的基礎之上。

因此，在全新的IT架構下，我們應該重新審視信息安全漏洞，用最新的技術和應用構建一個全新的安全規則和防護體系，并建立應急響應體系。在工業信息安全領域也是如此，未來信息安全保障機制需要由“打補丁”式的被動檢測防護向以“增強免疫力”為目標的預測引導防護方向演進，最終實現全新時代下的防護理念、技術思想和產業思維的全面升級。所以，只有以主動防御技術為核心基礎，構建全方位、一體化的縱深防護體系，并根據各行業實際應用提供因地制宜的整體解決方案，才能夠解決工業信息安全的關鍵需求。

我們看到在政策層面，近年來工業和信息化部作為工業信息安全主管部門，一直在持續完善政策和標準體系，陸續發布了《工業控制系統信息安全防護指南》《工業控制系統信息安全行動計劃（2018-2020年）》等政策文件，指導開展工控安全標準體系建設，通過貫徹落實相關政策標準，促使企業以較低成本實現重大安全風險的防范。工業和信息化部發布的多份文件對工業互聯網安全提出了一系列要求，為我國工業互聯網安全保障工作提供了強有力的政策支撐。國家能源局、公安部、水利部也相繼出臺網絡安全相關政策，進一步提升重點領域關鍵信息基礎設施網絡安全保障能力。同時，工控安全、工業互聯網安全、電力系統安全檢查等方面多份標準也相繼發布，安全標準體系持續完善。

此外，在國際環境中，對工業互聯網的重視也在同步加強。歐美發達國家高度重視工業信息安全，持續強化戰略部署。比如美國出臺《能源行業網絡安全多年計劃》《2019財年國防授權法案》《2018年國防部網絡戰略》《國家網絡戰略》等文件，不斷完善制造業、能源、電力、交通等關鍵信息基礎設施領域政策法規體系。歐盟也發布了《工業4.0網絡安全挑戰和建議》明確新形勢下的智能制造和工業物聯網帶來的安全挑戰，并提出了具體可行的建議。

綜上所述，工業信息安全已經迎來了快速發展的機遇，同時也存在技術和管理方面的挑戰。在機遇與挑戰當中，如何找到適合自己的發展加速度，補足短板，快速發展是我們應該深度思考并快速落實的重要問題。