伴随着互联网、大数据、人工智能与实体经济的深度融合,以工业互联网为典型代表的新一轮科技革命正不断重构产业发展格局。工业互联网继承了传统互联网的实体低成本连接、信息高效率流通等特点,同时又在体系结构、传输内容、网络边缘等方面具有自身特色,承载着助力制造业高质量发展、经济社会创新发展的新使命,是推动“制造强国”和“网络强国”建设的关键支撑。但同时我们也应清醒地认识到,目前其发展仍处于探索过程中,还有很多不成熟、不完善之处,其中网络安全问题便是面临的新挑战之一。传统互联网安全保障体系已难以完全应对新时代需求,亟需从制度机制、技术手段、数据保护和产业发展等方面入手,加快构建涵盖设备安全、控制安全、网络安全、平台安全和数据安全的工业互联网多层次安全保障体系,为“两个强国”战略实施提供坚实保障。
网络安全保障能力建设迫在眉睫
工业互联网具有传统信息系统和工业控制系统的双重属性,在其快速发展推进过程中,面临各种叠加安全风险的威胁。当前工业互联网安全保障能力建设还存在一些突出问题,主要表现在:一是工业互联网安全技术手段不足。早期的工业控制系统在相对独立的网络环境下运行,产线规划只考虑功能性和稳定性,对网络安全性要求较低。随着工业设备联网数量越来越多,通过互联网对工业控制系统实施攻击的可能性越来越高,传统工业控制系统和新兴工业互联网平台安全技术手段不足的短板越来越凸显。二是工业互联网安全责任落实尚不够明确。工业互联网覆盖行业广泛、平台种类繁多、服务类型丰富、涉及企业众多,目前尚未完全落实主管部门、平台企业和工业企业等的责任分工。主管部门应履行安全监督管理职责,平台企业应明确在工业互联网安全保障方面的责任和义务,工业企业应明确关键设备和数据资产,并在接入平台前开展安全风险测评。三是工业互联网安全管理制度缺失。当前我国陆续出台《关于深化“互联网+先进制造业”发展工业互联网的指导意见》《工业互联网发展行动计划(2018-2020年)》等文件,为工业互联网发展提供顶层政策指导,但工业互联网企业在实际开展平台安全设计、建设、运维等活动中,仍然存在安全管理活动缺乏统筹规划、相关部门组织间协调不畅、安全管理制度建设严重滞后等问题。四是工业互联网安全标准体系亟需完善。目前,我国网络安全标准体系已较为成熟,但针对工业互联网安全的专门的标准体系尚待完善,已立项研制《信息安全技术 工业互联网平台安全要求及评估规范》《信息安全技术 可编程逻辑控制器(PLC)安全技术要求和测试评价方法》等国家标准,但安全接入、数据保护、平台防护等关键技术、管理标准仍然存在缺失。在面对工业互联网安全防护和攻击入侵事件时,工业企业和平台企业缺乏统一标准要求,无法形成系统、全面的工业互联网安全保障体系。为实现“制定至少20项亟需的工业互联网安全标准”的目标,急需加快行标、国标的研制立项工作。
加快构建层次化的安全保障体系
日前,工业和信息化部联合教育部、人力资源和社会保障部、生态环境部、国家卫生健康委员会、应急管理部、国有资产监督管理委员会、国家市场监督管理总局、国家能源局、国防科技工业局等十部委共同印发了《关于加强工业互联网安全工作的指导意见》(以下简称《指导意见》),明确提出了构建工业互联网安全保障体系的总体要求、主要任务以及保障措施,指出要按照《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》有关要求,围绕设备、控制、网络、平台、数据安全,落实企业主体责任、政府监管责任,健全制度机制,建设技术手段,促进产业发展,强化人才培育,构建责任清晰、制度健全、技术先进的工业互联网安全保障体系。《指导意见》不仅是工业互联网安全工作的纲领性指引,更是强化安全保障体系建设、各部门协同发力的重要举措,为切实推进当前工业互联网安全工作指明了方向。
在制度机制方面,我们应加强顶层设计,出台工业互联网安全指导性文件,建立健全监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,明确企业主体安全责任;建立分类分级管理机制,制定工业互联网行业企业分类分级指南,对重点企业实施差异化管理;发挥标准规范引导作用,编制工业互联网安全标准体系建设指南,加快制定设备、平台、数据等层面亟需的工业互联网安全标准;针对工业互联网平台企业、工业生产企业、工业APP和联网设备开展安全能力评估和认证,探索构建工业互联网设备、网络和平台的安全评估认证体系。
在技术手段方面,应加快建设国家、省、企业三级协同的工业互联网安全技术保障体系,包括国家工业互联网安全技术保障平台、安全基础资源库和安全测试验证环境等共性支撑基础,提升工业互联网安全综合管理和保障能力;针对标识解析系统、工业互联网平台、工业控制系统、工业大数据等方面的安全需求,要加强攻击防护、漏洞挖掘、态势感知、安全审计、可信芯片等关键技术及安全产品的研发攻关力度,强化设备、控制系统、网络设施、平台和工业APP等安全保障,建立与产业发展相匹配的核心安全技术能力。
在数据保护方面,应规划建立工业互联网全产业链数据安全管理体系,明确数据收集、存储、处理、转移、删除等全生命周期各环节的安全保护要求,提升企业在数据防窃密、防篡改和数据备份等方面的安全防护能力,鼓励商用密码应用于工业互联网数据保护工作;建立工业互联网数据分级分类管理制度,形成数据流动管理机制,明确数据留存、数据泄露通报要求,加强工业互联网重要数据安全监测和管理,有效提升工业整体性数据安全能力,在实践中逐步形成健全的数据安全保护体系。
在产业发展方面,应整合行业资源,依托国家级、省级网络安全产业园等形式,发挥市场主体作用,打造产学研用协同创新发展平台,培育一批具有核心竞争力的工业互联网安全企业,形成工业互联网安全对外展示和市场服务能力。针对汽车、电子、航空航天、船舶、能源等重点领域,研发创新实用的安全产品并形成整体安全解决方案,组织开展工业互联网安全试点示范,遴选优秀安全解决方案和最佳实践,并加以应用推广,提升行业整体安全保障服务能力。
全面落实工业互联网安全各项任务部署
根据《指导意见》的总体部署要求,结合当前我国工业互联网安全现状,建议从“放管服”改革、标准化服务、保障措施落实、明确安全责任、强化人才培养等方面综合施策,加快提升我国工业互联网安全保障能力水平:
一是落实“放管服”改革,激发企业自主安全意识,去行政化管理,以标准化服务提供安全保障。深刻总结网络安全监管行政命令模式的不足与弊端,切实以深化“放管服”改革思想为实践指导,激发企业做好工业互联网安全工作的自主意识,围绕工业互联网的安全防护、检测、响应、恢复、预警、追踪、测评、认定等实际市场需求,建设完善管理机制,形成对应的技术标准、实施指南、示范案例,为产业界提供包括标识解析系统安全、终端安全、边界安全、平台安全、数据安全、工业云安全在内的标准化、体系化服务支撑。
二是强化网络安全保障“全国一盘棋”的整体观思想认识,落实保障措施及安全责任,力戒“形式主义”防护。借鉴传统互联网安全治理经验,统筹好生态环境、卫生健康、能源、国防科工、应急管理等部门职责分工,在各行业、各领域、各地区内各司其职、协同配合,做好指导与监管工作,各级监督检查要能够真正发现问题、查清问题,切实帮助企业进行整改,提升安全保障硬实力;同时,企业自身要提升思想认识,切实将工业互联网安全防护措施部署到位,将安全责任合理的落实到人,优化安全管理结构及技术方案,避免安全防护手段流于“形式化”“走过场”。
三是加快从建设规划、运维保障、监督检查三个方面同步强化人才培养工作,实现安全工作“提质增效”。在网络安全领域,我国一直面临专业人才总量不足、高端复合型人才严重匮乏的局面,无法满足市场实际需求。工业互联网的安全建设规划、运营后的安全运维保障、主管部门的依法依规安全监管都要靠人去执行,可见网络安全人才培养的数量和质量直接关系到工业互联网安全工作的实施效果。为此应加大网络安全专业高校普及培养工作,以产教融合、校企合作、安全演练、安全竞赛等更多样化的形式为专业人才培养提速,同时要适时打造高端专家智库,共同为工业互联网安全工作出谋划策、保驾护航。