面向中小企業(yè)的工業(yè)互聯網安全研究

文｜郭剛 樊陸陸 郭子豪 馬曉雙

隨著新一代信息技術與制造業(yè)的融合，工業(yè)互聯網安全面臨巨大挑戰(zhàn)。本文重點闡述了當下工業(yè)互聯網安全存在：工廠內網和互聯網互聯互通導致網絡攻擊路徑增多，數據安全風險隱患凸顯以及工業(yè)企業(yè)普遍存在資金有限、人員缺乏、意識薄弱的問題。同時，本文提出了加強工業(yè)互聯網安全建設建議，分別是：建設內生安全防御為主的安全防護能力、建立工業(yè)領域數據安全管理體系、建設一站式安全服務平臺。

中小企業(yè)在國民經濟中占據非常重要的位置，是就業(yè)、創(chuàng)業(yè)創(chuàng)新的重要力量，在穩(wěn)增長、調結構、防風險中發(fā)揮著非常重要的作用，是大眾創(chuàng)業(yè)、萬眾創(chuàng)新的重要載體。隨著以第五代移動通信（5G）、人工智能（AI）為代表的新一代信息技術正迅速向通信設備制造業(yè)、機械設備、汽車制造等領域滲透，工業(yè)互聯網賦能傳統制造業(yè)的深度和廣度都在不斷加強，工業(yè)資產、系統、數據從封閉的空間轉向開放的空間，受到的威脅越來越大，工業(yè)領域網絡安全、數據安全面臨的挑戰(zhàn)愈加突出，而中小企業(yè)在企業(yè)安全能力、安全資金投入、安全人才培養(yǎng)等方面面臨的挑戰(zhàn)更加突出，所以，研究工業(yè)互聯網安全的意義非常重大，應對不當，可能影響產業(yè)安全、經濟安全乃至國家總體安全。

一、工業(yè)互聯網概述

工業(yè)互聯網是第四次工業(yè)革命的關鍵支撐技術，是第五代移動通信等新一代信息技術與制造業(yè)融合的產物，通過生產各環(huán)節(jié)、各要素的互聯互通，助力工業(yè)企業(yè)數字化轉型。工業(yè)互聯網通過連接人、設備、環(huán)境、虛擬資源等全部生產要，打通整個產業(yè)鏈上下游。工業(yè)互聯網網絡通過低延時、高帶寬、高可靠及兼容性高的網絡設施,實現工業(yè)大數據在設計環(huán)節(jié)、研發(fā)環(huán)節(jié)、制造環(huán)節(jié)、運維環(huán)節(jié)的流動。工業(yè)互聯網平臺通過匯聚來自工業(yè)各個環(huán)節(jié)各個流程的數據，基于工業(yè)機理模型、工業(yè)數據建模分析，實現工業(yè)知識模型化、代碼化、軟件化，賦能工業(yè)場景。工業(yè)互聯網安全包括網絡安全、數據安全、控制系統等，是工業(yè)互聯網健康有序發(fā)展的保障。工業(yè)互聯網的發(fā)展催生很多新的模式、新的業(yè)態(tài)，通過智能化生產提升企業(yè)內部及企業(yè)之間之間的協同效率，通過網絡化協同降低研發(fā)成本，通過規(guī)模化定制降低低庫存，通過服務化幫助企業(yè)實現產品向服務的轉型。

圖1 工業(yè)互聯網內涵

二、工業(yè)互聯網安全現狀

黨和國家高度重視網絡空間安全，習近平總書記在全國網絡安全和信息化工作會議上強調“沒有網絡安全就沒有國家安全，就沒有經濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障”。2017年以來，《中華人民共和國網絡安全法》《數據安全法》《個人信息保護法》等法律法規(guī)的發(fā)布施行，標志著我國網絡空間安全領域的基礎性法律法規(guī)框架體系已經基本完成。為了提升工業(yè)互聯網安全水平，2021年以來，工信部先后組織開展了網絡安全、數據安全分級分類試點以及安全深度行活動。雖然，我國工業(yè)互聯網安全取得不少成績，但與發(fā)達國家相比，各方面都還比較薄弱，主要面臨如下三方挑戰(zhàn)：

一是傳統企業(yè)網絡安全邊界的改變，導致網絡攻擊路徑增多，隨著工業(yè)互聯網戰(zhàn)略的落實，企業(yè)數字化轉型的深入實施，企業(yè)的網絡風險正在變得越來越嚴峻。

圖2 網絡安全邊界改變

二是數據安全不容忽視，數據安全風險貫穿于工業(yè)互聯網大數據的產生、采集、存儲、傳輸、處理、銷毀等全生命周期，急需要明確數據安全主體責任，加強數據各個環(huán)節(jié)的安全防護，定期開展數據安全能力評估，實時監(jiān)測數據的安全流動，追蹤安全事件，及時做出響應，形成安全閉環(huán)。

三是新冠肺炎疫情對實體經濟影響較大，特別是中小企業(yè)，企業(yè)利潤率下降，在數字化轉型、安全防護、安全團隊建設等方面投入有限，同時，企業(yè)安全防護意識缺乏，重發(fā)展輕安全的思維普遍存在。

三、工業(yè)互聯網安全建議

（一）建設內生安全防御為主的安全防護能力

在工業(yè)設備方面，對設備芯片與操作系統進行安全加固，并對設備配置進行優(yōu)化；在應用程序脆弱性分析方面，引入漏洞挖掘技術，對應用及控制系統采取靜態(tài)挖掘、動態(tài)挖掘，實現對自身隱患的常態(tài)化排查；在工業(yè)通信協議方面，新版本協議中加入數據加密、身份驗證、訪問控制、完整性驗證等機制提升其安全性，并逐步取代現有協議。

（二）建立工業(yè)領域數據安全管理體系

探索構建工業(yè)領域數據安全管理體系，明確企業(yè)的數據安全主體責任，加強數據安全的政策引導，幫助企業(yè)完成企業(yè)內部的數據分類，針對不同重要程度的數據實施分級（重要數據和核心數據）防護，定期開展企業(yè)數據安全評估，同時，搭建數據安全的服務平臺，幫助企業(yè)數據安全能力的建設。

（三）建設一站式安全服務平臺

針對中小企業(yè)普遍存在安全意識薄弱、安全防護能力建設資金有限、安全人才缺乏的問題，圍繞安全產品服務化、安全服務輕量化、服務形式便捷化等特征和方向，建議從安全診斷評估、安全分級分類、安全監(jiān)測SaaS服務、安全解決方案、安全應急響應服務、安全人才培訓等方面建設工業(yè)互聯網安全公共服務平臺。平臺將秉承一站式、輕量化的服務理念，以安全診斷評估服務為入口，以網絡安全、數據安全分級分類為抓手，以監(jiān)測、解決方案、應急響應為服務重點，吸引企業(yè)入駐平臺，聚合企業(yè)安全需求，匯聚企業(yè)安全事件數據，聯合安全生態(tài)企業(yè)，提供梯度式的、延續(xù)性強的安全解決方案，打造從評估、監(jiān)測、防護、應急響應、人才培訓為一體的閉環(huán)式安全服務體系。

四、結論

工業(yè)互聯網作為第四次工業(yè)革命的重要支撐，在推動企業(yè)數字化轉型的同時，安全變得越來越重要。黨和國家非常重視工業(yè)企業(yè)安全能力的建設，頒布了多部相關的法律法規(guī)。針對當下工業(yè)互聯網安全存在的被攻擊路徑增多、數據安全風險、企業(yè)安全能力不足等問題，本文從增強安全防護能力、建立數據安全管理體系、建設一站式安全服務平臺三方面推動工業(yè)互聯網安全體系建設。