6月21日至6月22日,2019年中國工業信息安全大會在京召開。工業和信息化部網絡安全管理局副局長楊宇燕出席主論壇并作主旨發言。
近年來工業互聯網安全風險日益突出
楊宇燕說,近年來工業互聯網安全風險日益突出:一方面,外部風險加劇,互聯網和工業的深度融合,打破了傳統工業領域相對封閉可信的環境,互聯網的安全威脅滲透延伸至工業領域,網絡攻擊可直達生產一線 ,例如去年8月發生的臺積停電事件,造成三大廠區停電,經濟損失巨大。工業互聯網一旦遭受網絡攻擊不僅會造成系統或服務中斷、數據泄露等傳統互聯網安全問題,甚至會引發生產安全問題,導致污染性物質泄露、爆炸性破壞、大面積斷水斷電等安全事件。例如今年4月份委內瑞拉發生停電事件,持續了五天的時間,影響了全國23個州中的21個州。另一方面,網絡風險加大,傳統的大部分工業控制系統與設備受其內存、處理能力等限制,防護能力較弱,這些系統接入互聯網后,將更多使用公開協議以及標準化技術架構,進一步降低了攻擊門檻;5G、IPv6等新技術在工業互聯網的普及應用將帶來更大的網絡安全挑戰。此外,平臺和數據安全成為工業互聯網安全新焦點,平臺連接海量工業控制系統、業務系統和網絡基礎設施,同時承載大量數據和工業APP,成為網絡攻擊的重點對象;工業互聯網數據種類繁多、流動路徑復雜、使用場景多樣,數據篡改、泄露、濫用以及數據跨境流動等安全問題更為突出。
當前我國在工業互聯網安全方面也存在幾方面問題
楊宇燕指出,當前我國在工業互聯網安全方面存在幾方面問題:一是,安全監管和制度體系不健全。在監管層面,工業互聯網涉及制造業、電力等眾多行業,包括設備安全、控制安全、網絡安全、平臺安全、數據安全等,在這種融合狀態下,安全管理、協調等諸多層面的監管職能分散于多個行業主管部門,缺乏責權清晰的監管體系。在生產層面,工業互聯網涉及研發設計、生產制造、產品流通及售后服務等全產業鏈多個環節,運營單位、工業互聯網平臺提供商等多方主體,各企業主體在工業互聯網安全方面的法律責任和義務劃分尚不清晰,難以有效督促企業落實工業互聯網安全保護要求。二是企業安全意識相對薄弱,工業企業普遍存在重發展輕安全的情況,對工業互聯網安全缺乏足夠認識,安全防護投入較低,企業在部署安全措施時缺乏統一的標準和引導。三是市場驅動乏力,企業在安全投入上的意愿比較薄弱,整個工業互聯網安全市場的規模不大。因為市場規模不大,導致目前能夠提供的工業互聯網安全的產品和方案都相對匱乏。在工業安全領域缺乏行業認可的第三方機構開展安全審查及評估認證,難以保證產品和服務的安全性。四是安全技術能力不足。我國整體工業互聯網安全才剛開始起步建設,在傳統工業領域應對新型攻擊的安全能力不足,尚未形成國家級、有組織的工業互聯網安全事件監測發現、精準預警、快速處置和有效溯源的全網態勢感知技術手段。五是復合型人才短缺。工業互聯網需要大量基礎面寬、一專多能、多專多能的人才,此類安全人才不僅要掌握網絡安全專業知識,又要熟悉工廠壞境的應用場景,當前,現有網絡安全人才水平還不能更好的滿足工業互聯網發展的需求。
我國將從四個方面構建工業互聯網安全保障體系
楊宇燕介紹,工信部網絡安全管理局從三個方面構建工業互聯網安全保障體系,一是抓頂層,組織制定《關于加強工業互聯網安全工作的指導意見》,目前,《意見》已經完成公開征求意見,預計近期就會下發;初步建立工作機制,開展風險評估、威脅信息共享、監督檢查、信息通報等,委托專業機構,選取20余家典型工業企業、平臺企業開展安全檢查評估試點,發現通報整改風險近2000個;開展工業互聯網安全標準研制:構建了工業互聯網安全標準體系構架,其中,安全防護總體要求、平臺安全、數據安全等重點標準規范已陸續發布。二是建手段,建設工業互聯網安全基礎資源庫,包括工業互聯網資產目錄庫、工業協議庫、安全漏洞庫、惡意代碼庫等;建設工業互聯網安全測試驗證環境,搭建功能完備的工業互聯網安全攻防演練環境;構建國家、省、企業三級的工業互聯網安全技術保障平臺。目前,已經基本完成了國家級平臺的建設和八個省的省級平臺的建設,覆蓋了電子、航空、自動化等重點行業領域3000多家的企業。三是強產業,持續開展工業互聯網安全試點示范工作。通過“揭榜掛帥”的方式在全國范圍內遴選優秀的工業互聯網安全項目,參與今年“揭榜掛帥”的工業互聯網安全相關企業達到了300余家,帶動社會資金超百億元;積極推進網絡安全產業園區的建設。四是育人才,開展工業互聯網安全大賽,舉辦“護網杯”網絡安全防護賽,指導舉辦國內首個針對工業互聯網應用的安全防護演練活動、工業互聯網精英邀請賽等活動;指導相關產業聯盟開展安全論壇和專題會議,搭建交流互學的平臺。
楊宇燕表示,下一步將開展以下幾方面工作:一是建立安全管理體系。加快出臺安全指導性文件,研制安全標準,建立安全管理制度,落實企業主體責任;二是建設安全技術手段。加快國家、省、企業三級技術監測體系建設,擴展監測范圍、完善系統功能,覆蓋重點平臺企業、主要標識解析節點;三是構建產業發展支撐體系。持續開展試點示范和行業應用,推廣最佳實踐,推進國家網絡安全產業園建設,計劃再在全國范圍內遴選兩到三個省市來建設國家級的網絡安全產業園區。四是加快網絡安全人才的培養。開展教育培訓、安全大賽、防護演練等,提升各類從業人員的安全意識,全面培養網絡安全人才的實操能力。
