“新基建”背景下工業互聯網的安全挑戰及應對策略研究

張昌福 楊靈運

工業互聯網作為推進“人-機-物”全面互聯的核心被納入國家重大工程和“新型基礎設施”。隨著工業互聯網與實體經濟融合加快，諸多工控系統和工業互聯網“上網上云上平臺”，致使工控系統和工業互聯網各層級安全問題大量暴露，工業互聯網安全態勢加劇。

一、引言

工業互聯網作為新一代信息技術與制造業深度融合的產物是國家新型基礎設施也是我國未來經濟發展的新動能和重要支撐。近年來，工業互聯網與實體經濟深度融合已滲透到航空航天、鋼鐵等多個重點領域，諸多大中小微企業通過工業互聯網將海量的設備、數據和應用等“上網上云上平臺”，打破工控系統封閉格局的同時，暴露出大量安全問題。目前在監測的暴露在互聯網上的工控系統，九成以上含有漏洞，可輕易被遠程控制，約兩成的重要工控系統可被遠程入侵并完全接管。近年來針對工業領域的網絡攻擊和威脅日益加劇，如委內瑞拉電力系統在2019年連續遭遇三次攻擊，導致大規模停電；如臺積電公司工業網絡在2018年遭受攻擊，導致核心生產基地全部停擺，損失近20億元；在“新基建”的大形勢下，構建工業互聯網安全保障體系推進工業互聯網健康發展尤為重要。

二、工業互聯網安全形勢及挑戰

5G、人工智能等新興技術的普及應用加快了傳統的工控制系統不斷向工業互聯網演進，智能化生產、網絡化協同、個性化定制、服務化延伸等新制造模式，推動工業互聯網與實體經濟深度融合，海量數據、設備和應用的接入和資源匯聚暴露出工業互聯網大量安全問題。

（一）生產設備和工控系統存在安全隱患和漏洞

一是國內制造業用系統、設備大量依賴國外引進，這些設備可能存在設計缺陷和植入后門，造成諸多生產和制造信息被非法獲取，這些設備生產廠家和生產標準不一，限制漏洞和安全防護技術的應用；二是多數工業系統在設計之初是封閉的“單機系統”，沒有考慮聯網需求，它們接入到工業互聯網，由于很多系統和設備沒有防護軟件，也不能安裝殺毒系統，接入互聯網會存在被攻擊的風險；三是工業互聯網連接著大量的工控系統和設備，這些設備和系統的價值本身較高，如遭入侵或攻擊造成的經濟損失不可估量，波及范圍不僅是單個企業，更可能延伸至整個鏈或者整個工業互聯網。

（二）工業互聯網各層次安全挑戰亟待解決

一是云基礎設施安全，云基礎設施面臨虛擬機逃逸等攻擊威脅，多數平臺使用第三方云基礎設施服務其安全性有待考量；二是云服務平臺安全，平臺受到攻擊會造成平臺癱瘓、數據丟失等問題；三是云服務安全，云服務種類繁雜、開發標準不一，可能存在安全漏洞、開發者惡意代碼植入等問題；四是工業大數據安全方面，工業數據的體量大、種類多，在采集、清洗加工和傳輸過程中被偵聽、攔截、篡改的風險高；五是網絡安全方面，目前運行的很多接入協議缺乏安全機制，極易發生非法入侵、信息泄露等問題。

（三） 新興技術的普及應用為工業互聯網安全帶來新挑戰

一是人工智能、5G和區塊鏈、邊緣計算、標識解析等新技術的研究和應用普及，工業互聯網作為與新興技術融合應用的重點領域，這些新技術的應用或基于這些技術開發的應用增加數據泄露和被竊取的風險；二是隨著5G協議的全面普及應用，造成外部攻擊的可能性增加，對基于5G 的應用場景安全帶來極大挑戰；三是區塊鏈技術本身具備防篡改等技術優勢，但技術本身存在技術缺陷可能會加劇工業互聯網的應用安全；四是邊緣設備的安全防護能力比較弱，且需與平臺頻繁數據交互，遭受攻擊被非法控制或被作為跳板攻擊工業互聯網或者其他系統的可能性較大。

（四）技術水平和管理體制機制有待進一步健全

一是工業互聯網安全保障能力弱，設備、業務系統等的接入認證和管控技術還不成熟，大量依賴國外技術和產品，整體解決方案還不成熟，關鍵安全技術和產品受制于人；二是人才不足，工業互聯網復雜，牽涉領域較多，安全保障需要大量的安全專業人才，然而我國安全人才缺口大，多學科交叉培養難度非常大；三是工業互聯網發展還未成熟，管理規定、政策和技術標準還處于研究制定中，在工業互聯網網絡、平臺、應用開發標準和規范上還沒有建立完整的體系。

三、工業互聯網安全發展應對策略

安全作為工業互聯網三大體系之一，是保障工業互聯網穩定運行的重要支撐，是“新基建”背景下推進工業互聯網產業健康發展和網絡強國建設的關鍵保障，提升工業互聯網安全保障能力至關重要。

（一）構建工業互聯網安全技術體系和管理體系

一是主管部門需將工業互聯網納入國家信息安全頂層規劃，作為國家戰略，明確工業互聯網發展目標和保障措施等，規范工業互聯網安全保障水平；二是落實工業互聯網產業鏈各參與者的安全防護責任和義務，加強政府部門、行業與企業間的信息互通共享；三是建立全產業鏈分級管理體系，依據工業門類開展工業互聯網安全評估和監測。

（二）加強工業互聯網安全監測預警技術和資源共享

一是不斷完善工業互聯網的網絡層、邊緣層、基礎設施層、平臺層、應用層、數據層等安全體系架構，以適應新的應用要求；二是加強工業互聯網安全技術研究和安全檢測手段，構建安全識別防護、檢測預警、追蹤溯源技術企業側探針等技術研發和產品體系；三是提升平臺安全態勢感知能力，建設安全監測預警平臺，構建工業互聯網應用服務安全監測環境；四是提升設備和控制系統本質安全，增強設備、應用和數據的安全保障能力，實現設備、系統接入平臺的可信可控可追溯；五是構建工業互聯網安全資源庫和信息分享平臺，如安全漏洞庫、協議庫、病毒庫和安全威脅信息庫及安全應急處置等工具集。

（三）強化工業互聯網各層級安全構建安全產業鏈

一是培育工業互聯網安全優秀解決方案供應商；二是采用自主可控的系統或產品替代國外安全產品，避免國外產品存在后門或其他有意植人的安全威脅；三是構建工業互聯網安全靶場，在重點行業建設一批安全測試床和模擬仿真平臺，為漏洞挖掘與驗證、安全威脅感知與安全防護等技術研究提供基礎科研平臺；四是強化數據安全防護能力，明確數據收集、存儲、處理等環節安全保護要求，完善各環節數據防竊密、防篡改和數據備份管理機制。

（四）構建黑白名單機制豐富工業互聯網安全標準體系

一是建立黑白名單庫，實現供應鏈安全管控；二是完善工業互聯網安全標準體系，建立健全工業互聯網安全管理、各層級數據采集分析和管理技術、測評等標準規范，主導或參與工業互聯網安全國際標準，提升工業互聯網安全國際影響力；三是開展對工控協議的安全性分析，建立工業互聯網安全評估認證體系，在工業互聯網平臺安全管理、安全防護、安全評估、安全測試等方面加快標準研制。

（五）強化新技術的應用和人才培養，護航工業互聯網安全

強化區塊鏈等新興技術的應用。一是利用好區塊鏈、5G、可信計算、人工智能等新興技術，如區塊鏈技術的可信協作、隱私保護優勢可應用在工業互聯網數據交換共享及海量設備接入認證與等方面；二是加快工業互聯網和網絡安全復合型高端人才的培養，通過“產學研用”聯合培養等培養人才，建立一批工業互聯網安全重點實驗室，增設工業聯網安全專業，支持培訓機構開展網絡安全學培訓，將工業網絡安全職業或職稱納入技能鑒定體系等。

四、結束語

工業互聯網作為國家新型基礎設施，其安全性已成為產業發展的關鍵。為構建防御一體化、使用個性化、安全服務化、響應智能化的工業互聯網安全體系，強化工業互聯網安全核心技術研究和應用，行業主管部門及各主體需建立協同推進機制，共同構建工業互聯網安全保障體系，推進工業互聯網安全健康發展。

作者單位：貴州航天云網科技有限公司