随着制造业向数字化、网络化、智能化、服务化方向加速发展,工业信息安全整体形势日趋严峻。据我国国家信息安全漏洞共享平台(CNVD)统计,2017年新增信息安全漏洞4798个,其中工控系统新增漏洞数351个,与2016年同期相比,新增数量几乎翻番,工业控制系统漏洞呈快速增长趋势。当前,我国工业信息安全产业发展存在产业生态尚不健全、核心技术积累不够、安全服务能力亟待提升等明显短板,加快构建创新体系,打造工业互联网安全产业生态链,持续提升保障体系迫在眉睫。
工业互联网成网络威胁新目标
近年来,随着信息技术的发展,各种大规模、高强度的工业信息安全事件频频发生,特别是2015年以来,每年发生的工业信息安全事件都接近300起。国家工业信息安全发展研究中心主任尹丽波表示,近年来工业信息安全方面“漏洞”整体呈现增长趋势,其中近六成属于高危漏洞,广泛分布在能源、制造、商业设施、水务市政等重点领域,对重要工业控制系统造成了极大的威胁。
工业控制系统和设备大量暴露在互联网上,已经成为世界各国工业信息安全的重要威胁和软肋。其中,我国暴露在互联网上工业控制系统数量增幅尤其明显,增速超过全球平均水平。
据工信部近期发布的网络安全威胁态势分析,今年一季度,我国境内新增工控安全漏洞112个,相比上一个季度增长约50%,连接互联网的工控系统及设备的漏洞数量增长明显;今年二季度,来源于境外的、针对我国境内工业互联网平台的网络攻击事件共有656起,我国境内感染工业互联网智能设备恶意程序的受控IP地址共有52.7万余个,涉及在中国广泛应用的工控系统产品,工业互联网平台正成为网络威胁的新目标。
产业支撑力不足致安全漏洞频现
工业互联网是新一代信息技术与制造业深度融合的新兴产物,是实现生产制造领域全要素、全产业链、全价值链连接的关键支撑,对未来工业经济发展将产生全方位、深层次、革命性的影响。
目前我国工业互联网面临的一大问题是产业支撑能力不足,比如,安全管理和标准体系不健全;企业意识淡薄,安全防护能力不足;科研投入少,国家级技术手段缺失;在工业互联网安全领域缺乏体系化、针对性的产品和解决方案,产业生态尚未形成,难以满足工业互联网快速发展的安全需求。
工业互联网数据种类和保护需求多样,数据流动方向和路径复杂,设计、生产、操控等各类数据分布在云平台、用户端、生产端等多种设施上,仅依托单点、离散的数据保护措施难以有效保护工业互联网中流动的工业数据安全。工业互联网承载着事关企业生产、社会经济命脉乃至国家安全的重要工业数据,一旦被窃取、篡改或流动至境外,将对国家安全造成严重威胁,加快构建创新体系,打造工业互联网安全产业生态链成当下要义。
安全保障之“道”不容忽视
当前,互联网与工业的深度融合为中国经济转型升级提供了新的动力,引发了新的产业变革,催生了新的生产方式。作为新工业革命的关键支撑,工业互联网逐渐成为全球产业布局的新方向。
虽然当下国家为工业互联网的发展提供了坚实的安全保障体系,很多企业也有了更多的机会实现弯道超车,但由于目前我国工业互联网总体发展水平仍然不高,且产业的支撑能力不足以及系列安全隐患问题突出,国内的工业互联网发展仍面临巨大的安全挑战。
因此,工业互联网安全可控问题不容小觑,保障体系亟待加强。
一方面,建立健全工业互联网安全管理制度,加强工业互联网安全相关政策法规建设,明确各主体安全责任和监督检查、风险评估、数据保护等安全管理制度。健全工业互联网安全标准体系,推动标识解析系统安全、工业互联网平台安全等重点领域行业标准的研究制定。
另一方面,要着力提升工业互联网安全防护能力,推动科研院所、高等院校等建立工业互联网安全实验室,重点突破标识解析系统安全、平台安全、数据安全等核心技术。