筑牢工业互联网平台安全防线

本刊编辑部

工业互联网是基于制造业发展面临深刻变革这一背景下提出的，是推动我国制造业数字化转型的现实路径。当前，全球工业互联网正处在产业格局还没有确定的关键期，也是大规模运用、规模化扩张的窗口期。这在个时期，工业互联网平台的安全问题显得非常重要。

国家工业信息安全发展研究中心副主任何小龙称，工业互联网平台是面向制造业数字化、网络化、智能化需求构建，基于海量数据采集、汇聚、分析的服务体系，它向上承载应用生态，向下接入系统的设备，是设计、制造、销售、物流与服务等全生产链、各环节实现协同制造的一个纽带，是连接设备、软件、产品、工厂、人等工业全要素的枢纽。“工业互联网平台的安全关系到生产的安全、社会的安全甚至国家的安全。”何小龙说。

工业互联网平台面临严峻风险

据悉，当前我国的工业互联网平台面临严峻风险，这主要表现在：一是越来越多的工业设备、系统暴露在互联网上，导致平台被攻击的风险加剧；二是工业互联网平台的数据种类和需求呈现多样化特点，目前的数据保护措施难以满足需求。2018年、2019年，工信部连续两年对国内主要的一些工业互联网平台进行了检查与评估，结果不尽如人意，显示出工业互联网平台安全保护能力薄弱。

这是由于早期的工业控制系统都是在相对独立的网络环境下运行，在产品设计和网络部署时，只考虑了功能性和稳定性，对安全性考虑不足。随着工业控制系统网络之间互联互通的不断推进，以及工业控制系统和工业设备接入互联网的数量越来越多，通过互联网对工业控制系统实施攻击的可能性越来越大，这些都为工业互联网带来巨大的安全隐患。

从2011年以后工业控制系统的各种漏洞每年都在高速的增加，这些漏洞将会成为攻击工业控制网络的一种主要途径。通过这些漏洞攻击可以完成获取系统权限、修改工程数据和控制流程、非法关闭现场设备等操作，造成重大的生产事故和经济损失。

比较常见的是来自外部网络的渗透：工业互联网会有较多的开放服务，攻击者可以通过扫描发现开放服务，并利用开放服务中的漏洞和缺陷登录到网络服务器获取企业关键资料，同进还可以利用办公网络作为跳板，逐步渗透到控制网络中。通过对于办公网络和控制网络一系列的渗透和攻击，最终获取企业重要的生产资料、关键配方，更严重的是随意更改控制仪表的开关状态，恶意修改其控制量，造成重大的生产事故。

如何小龙所说，我国典型工业互联网平台在边缘层、工业IaaS（基础设施即服务）层、PaaS（平台即服务）层、SaaS（软件即服务）层和平台数据安全层皆面临一些问题。在边缘层，现有的安全能力侧重点在于设备接入认证、网络安全审计、通信加密策略安全防护等，而亟须加强边缘设备可信验证、工业协议深度解析、对接不同厂商端侧设备等方面的安全能力；在工业SaaS层方面，现在平台侧重点在身份认证、权限控制、安全审计等方面把控，亟须加强工业应用安全加固、统一安全运维、应用日志分析等能力。

工业互联网实现了设备、工厂、人、产品的全方位连接，因此工业互联网安全建设必须从综合安全防护体系的视角对其进行统筹规划。

构建安全闭环

业内人士分析认为，从工业互联网的整体架构来看，应该在各个层面实施相应的安全防护措施，并通过入侵检测、边界防护、协议分析、行为分析、安全审计、容灾备份、态势感知等各种安全技术与安全管理相结合的方式实现工业互联网的安全防护，形成对工业互联网安全的“监测、报警、处置、溯源、恢复、检查”工作闭环。

工业互联网平台应在云基础设施、平台基础能力、基础应用能力的安全可信方面制定五个基本计划活动——

1.识别：识别管理系统、资产、数据和功能的安全风险；2.防护：对平台实施安全保障措施，确保工业互联网平台能够提供服务；3.检测：对平台使用、维护、管理过程实施适当的持续性监视和检测活动，以识别安全事件的发生；4.响应：对平台使用、维护、管理过程制定和实施适当的应对计划，对检测到的安全事件采取行动；5.恢复：对平台使用、维护、管理过程制定和实施适当的活动及维护恢复计划，以恢复由于安全事件而受损的任何能力或服务。

当前需要完成对安全思维的根本性切换，即应该充分意识到安全防护是一个持续的处理过程，即从“应急响应”到“持续响应”。

天融信科技集团CEO李雪莹博士认为，工业企业接入网络之后需尽量减少与生产相关的资产在互联网上的暴露，单点登录、应用代理在一定的防护基础上可以暴露于网上，应用于业务间的协同，其自身的资产、设备应该在企业的内网侧。在企业侧最大限度减少非必要资产在互联网上的暴露面，达到安全的要求。在产业层面，把工业业务分为可见区域和不可见区域，生产过程是不可见的，而企业间的业务协同是可见的。

“中国的工业产品占世界工业产品的近一半，我国是一个名副其实的工业大国。在两化融合的过程中，工业企业都已逐渐普及信息化，如何利用信息化的优势和技术提高产能是工业发展的重要方向，工业互联网是实现上述效果的重要途径，而在这其中，安全是重中之重，是一切工业企业信息化发展的基石。”李雪莹说。

政策助力

我国高度重视工业互联网安全，国务院于2017年11月发布《关于深化“互联网+先进制造业”发展工业互联网的指导意见》（以下简称《指导意见》）提出，要加快发展工业互联网建设，构建网络、平台、安全三大体系，强化工业互联网的安全保障。《指导意见》突出了我国工业互联网安全的基础性和战略性的地位，也为今后工业互联网的安全制定了时间表和路线图。

何小龙说，为了贯彻落实國家相关政策和文件要求，有效应对工业互联网安全风险，特别是互联网向工业领域的连接、IT和OT的连接，国家工业信息安全发展研究中心更加聚焦工业领域信息安全。据介绍，国家工业信息安全发展研究中心积极响应工业互联网发展的战略部署，在工业和信息化部的指导下，针对政策标准制定、技术保障能力构建、产业发展和人才队伍培养等方面做了多项工作。

2020年，工信部发布《工业互联网标识管理办法》（征求意见稿）指导我国工业互联网标识解析建设，促进工业互联网标识健康有序发展和应用，规范工业互联网标识服务，保护用户合法权益，保障工业互联网标识系统安全、可靠运行。

近日，工业和信息化部、应急管理部也联合发布了《“工业互联网+安全生产”行动计划（2021-2023年）》，围绕建设新型基础设施、打造新型能力、深化融合应用、构建支撑体系四个方面提出了重点任务，其中建设新型基础设施是基础，建设新型能力是核心，深化融合应用是重点，构建支撑体系是保障。

政策助力、市场需求，使得工业互联网安全也成为一个正在快速增长的新市场。国家工业信息安全发展研究中心工程师贾若伦分析：“在产业未来的发展趋势上，大致有四个方面的预测：一是工业信息安全产业政策红利进一步释放，随着各项国家政策规划的稳步推进，工业信息安全产业的环境将持续优化，产业聚集效应逐渐形成；二是我国工业信息安全产业规模将持续保持高速增长；三是新一代信息技术促进新兴业态安全技术研发；四是工业信息安全产业链上下游企业加速协同互动，工业信息安全厂商与工业控制系统厂商、IT系统厂商将开展多层次、多维度的合作。”

对工业互联网平台的安全领域而言，挑战和机遇并存，个中企业唯有真刀真枪的实网攻防，在此过程中不断增强自身的防御能力，才能有效地保护平台健康发展。