【工業(yè)互聯(lián)網(wǎng)專題】工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展必須強化網(wǎng)絡(luò)安全的“底座”作用
2021-03-11
來源:新華網(wǎng)
工業(yè)和信息化部近日印發(fā)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃(2021-2023年)》(以下簡稱“行動計劃”),,提出到2023年,我國工業(yè)互聯(lián)網(wǎng)新型基礎(chǔ)設(shè)施建設(shè)量質(zhì)并進,,新模式,、新業(yè)態(tài)大范圍推廣,產(chǎn)業(yè)綜合實力顯著提升,;新型基礎(chǔ)設(shè)施進一步完善,、融合應(yīng)用成效進一步彰顯、技術(shù)創(chuàng)新能力進一步提升,、產(chǎn)業(yè)發(fā)展生態(tài)進一步健全,、安全保障能力進一步增強。
《行動計劃》從工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展的幾個方面入手,,分別提出了切實可行的目標,,明確了以下11項重點任務(wù):網(wǎng)絡(luò)體系強基行動、標識解析增強行動,、平臺體系壯大行動,、數(shù)據(jù)匯聚賦能行動、新型模式培育行動,、融通應(yīng)用深化行動,、關(guān)鍵標準建設(shè)行動、技術(shù)能力提升行動,、產(chǎn)業(yè)協(xié)同發(fā)展行動,、安全保障強化行動、開放合作深化行動,。其中,,安全保障能力增強是其它重點任務(wù)的底座和基礎(chǔ),應(yīng)在以下幾個方面引起關(guān)注,。
在網(wǎng)絡(luò)體系強基行動中,,工業(yè)企業(yè)需要對工業(yè)設(shè)備、企業(yè)內(nèi)網(wǎng),、企業(yè)外網(wǎng)進行改造,、升級、建設(shè),。我們在對工業(yè)現(xiàn)場“啞設(shè)備”進行網(wǎng)絡(luò)互聯(lián)能力改造,,既要注意保護這些設(shè)備自身的數(shù)據(jù)安全,也要注意搭建工業(yè)互聯(lián)網(wǎng)過程中避免出現(xiàn)中,、高危漏洞,,這些漏洞可能帶來的風險包括拒絕服務(wù)攻擊、遠程命令執(zhí)行,、信息泄露等,。
在平臺體系壯大行動中,部分企業(yè)針對設(shè)備,、網(wǎng)絡(luò),、控制,、應(yīng)用和數(shù)據(jù)的防護措施尚未到位,對風險的識別,、抵御和化解能力尚未形成,,上線平臺基本處于“裸奔”狀態(tài)。我國工業(yè)互聯(lián)網(wǎng)平臺IaaS層發(fā)展成熟度較高,,基礎(chǔ)設(shè)施相對完善,,在數(shù)據(jù)安全方面已具備較為完備的安全解決方案。工業(yè)互聯(lián)網(wǎng)平臺PaaS層對工業(yè)數(shù)據(jù)的保護主要依賴于傳統(tǒng)的用戶鑒權(quán)管理,,數(shù)據(jù)加密存儲和安全傳輸能力亟待增強,。工業(yè)APP開發(fā)周期短,迭代頻繁,,對數(shù)據(jù)安全考慮不足,。工業(yè)企業(yè)連接平臺后未及時升級防護措施,數(shù)據(jù)保護意識薄弱,。在工業(yè)企業(yè)自身防護能力普遍較弱的情況下,,國家級管理體系和技術(shù)防護平臺的重要性和優(yōu)先級更為凸顯。建設(shè)平臺過程中,,由于企業(yè)對工業(yè)互聯(lián)網(wǎng)安全防護整體解決方案了解不足,,對安全防護架構(gòu)、措施,、技術(shù),、產(chǎn)品最佳實踐知之甚少,因此需要依托國家級的防護平臺,、解決方案和最佳實踐,,開展相關(guān)試點示范工作,推動工業(yè)互聯(lián)網(wǎng)平臺安全防護體系建設(shè),。
在數(shù)據(jù)匯聚賦能行動中,,通過大數(shù)據(jù)中心實現(xiàn)對數(shù)據(jù)統(tǒng)一管理和使用固然可以解決數(shù)據(jù)“孤島”的問題,我們需要在遵循等保2.0相關(guān)法律要求的基礎(chǔ)之上,,明確數(shù)據(jù)收集,、存儲、處理,、轉(zhuǎn)移,、刪除等環(huán)節(jié)安全保護要求,在加快推動數(shù)據(jù)資源開放共享和開發(fā)應(yīng)用的同時,,必須建立行之有效的數(shù)據(jù)安全保障體系,,構(gòu)筑適應(yīng)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)發(fā)展的法規(guī)制度,健全工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)時代信息安全新秩序。
在關(guān)鍵標準建設(shè)行動中,,雖然我國工業(yè)互聯(lián)網(wǎng)發(fā)展頂層架構(gòu)已經(jīng)具備,,但是工業(yè)互聯(lián)網(wǎng)安全技術(shù)防護體系和安全管理體系尚在建立過程中,相關(guān)政策文件和標準指南主要集中于工業(yè)控制系統(tǒng)安全領(lǐng)域,,針對工業(yè)互聯(lián)網(wǎng)平臺安全接入,、數(shù)據(jù)保護、平臺防護等方面的標準尚屬空白,,平臺分級分類管理體制和方法尚未統(tǒng)一,我們需要摸索一個合適的安全評價體系,。針對當前缺乏工業(yè)互聯(lián)網(wǎng)安全檢測評估標準的問題,,我們可以通過對工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀、安全需求和攻防技術(shù)的深入調(diào)研,,全面分析工業(yè)互聯(lián)網(wǎng)可能存在的安全隱患,,確定工業(yè)互聯(lián)網(wǎng)安全審查、檢測和評估的方向和重點,,梳理和細化安全審查和檢測評估內(nèi)容,,編制可量化、可操作的工業(yè)互聯(lián)網(wǎng)安全審查和檢測評估技術(shù)要求和測試評價方法相關(guān)標準,。
在產(chǎn)業(yè)協(xié)同發(fā)展行動中,,由于我國工業(yè)軟硬件自主研發(fā)實力不足,在高端裝備,、工業(yè)控制系統(tǒng),、工業(yè)網(wǎng)絡(luò)和軟件領(lǐng)域的技術(shù)產(chǎn)業(yè)實力難以滿足安全防護需求,工業(yè)控制系統(tǒng)及工業(yè)軟硬件依賴國外技術(shù)產(chǎn)品,。工業(yè)控制系統(tǒng)方面,,工控MCU、DSP,、FPGA等核心元器件技術(shù)與國外差距較大,,SCADA、PLC,、DCS,、PCS等系統(tǒng)國外產(chǎn)品占領(lǐng)大部分國內(nèi)市場。PLC絕大部分是法國施耐德,、德國西門子等品牌,,DCS的首選品牌則包括瑞典ABB、美國羅克韋爾等傳統(tǒng)品牌,。工業(yè)軟硬件方面,,超高精度機床主要來自日本、德國和瑞士,。國外廠商憑借其全球品牌影響力,,進入中國市場較早,,已經(jīng)形成持續(xù)性的產(chǎn)品服務(wù)生態(tài)和利益鏈,具備較強的市場競爭優(yōu)勢,。為推動工業(yè)互聯(lián)網(wǎng)科技創(chuàng)新與產(chǎn)業(yè)發(fā)展,,我們需要產(chǎn)學研相結(jié)合,實現(xiàn)工業(yè)互聯(lián)網(wǎng)安全關(guān)鍵核心技術(shù)自主可控,。而目前工業(yè)企業(yè)——廠商——科研機構(gòu)的鏈條不暢,,缺乏促進合作的相關(guān)項目。高校應(yīng)注重開放創(chuàng)新,,加強工業(yè)互聯(lián)網(wǎng)各類行業(yè)客戶,、專業(yè)服務(wù)企業(yè)之間的協(xié)同合作,發(fā)揮其在所屬領(lǐng)域的知識經(jīng)驗和資源優(yōu)勢,,形成一系列重量級工業(yè)應(yīng)用,。
在工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)培育工程中,國內(nèi)網(wǎng)絡(luò)安全人才存在較大缺口,,且高度集中在北京,、廣州、上海等一線城市,,在安全需求分析和體系設(shè)計,、安全態(tài)勢分析以及戰(zhàn)略法規(guī)制定方面的人才最為緊缺。而工業(yè)信息安全從業(yè)人員在數(shù)量和質(zhì)量上與現(xiàn)實需求差距更大,,服務(wù)支撐能力不足,,相當一部分在企業(yè)端負責信息安全的管理人員是非專業(yè)出身,對工業(yè)控制系統(tǒng)的系統(tǒng)知識不甚了解,,負責操作和維護工業(yè)控制系統(tǒng)的工程人員是其它相關(guān)專業(yè)轉(zhuǎn)行,,對工業(yè)信息安全掌握不系統(tǒng)不到位。大多數(shù)工業(yè)企業(yè)現(xiàn)有安全領(lǐng)域從業(yè)人員不具備分析和解決工業(yè)信息安全問題的能力,,在專業(yè)性上亟待提高,。
2021-2023年是我國工業(yè)互聯(lián)網(wǎng)的快速成長期,《行動計劃》給出了我國工業(yè)互聯(lián)網(wǎng)這三年發(fā)展的11項重點任務(wù),,從政策上推動企業(yè)的工業(yè)化與信息化進一步融合發(fā)展,。相信《行動計劃》將帶動我國企業(yè)信息化朝著更高、更深,、更廣的方向發(fā)展,。