6月21日至6月22日,2019年中國(guó)工業(yè)信息安全大會(huì)在京召開(kāi)。工業(yè)和信息化部網(wǎng)絡(luò)安全管理局副局長(zhǎng)楊宇燕出席主論壇并作主旨發(fā)言。
近年來(lái)工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)日益突出
楊宇燕說(shuō),近年來(lái)工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)日益突出:一方面,外部風(fēng)險(xiǎn)加劇,互聯(lián)網(wǎng)和工業(yè)的深度融合,打破了傳統(tǒng)工業(yè)領(lǐng)域相對(duì)封閉可信的環(huán)境,互聯(lián)網(wǎng)的安全威脅滲透延伸至工業(yè)領(lǐng)域,網(wǎng)絡(luò)攻擊可直達(dá)生產(chǎn)一線 ,例如去年8月發(fā)生的臺(tái)積停電事件,造成三大廠區(qū)停電,經(jīng)濟(jì)損失巨大。工業(yè)互聯(lián)網(wǎng)一旦遭受網(wǎng)絡(luò)攻擊不僅會(huì)造成系統(tǒng)或服務(wù)中斷、數(shù)據(jù)泄露等傳統(tǒng)互聯(lián)網(wǎng)安全問(wèn)題,甚至?xí)l(fā)生產(chǎn)安全問(wèn)題,導(dǎo)致污染性物質(zhì)泄露、爆炸性破壞、大面積斷水?dāng)嚯姷劝踩录@缃衲?月份委內(nèi)瑞拉發(fā)生停電事件,持續(xù)了五天的時(shí)間,影響了全國(guó)23個(gè)州中的21個(gè)州。另一方面,網(wǎng)絡(luò)風(fēng)險(xiǎn)加大,傳統(tǒng)的大部分工業(yè)控制系統(tǒng)與設(shè)備受其內(nèi)存、處理能力等限制,防護(hù)能力較弱,這些系統(tǒng)接入互聯(lián)網(wǎng)后,將更多使用公開(kāi)協(xié)議以及標(biāo)準(zhǔn)化技術(shù)架構(gòu),進(jìn)一步降低了攻擊門(mén)檻;5G、IPv6等新技術(shù)在工業(yè)互聯(lián)網(wǎng)的普及應(yīng)用將帶來(lái)更大的網(wǎng)絡(luò)安全挑戰(zhàn)。此外,平臺(tái)和數(shù)據(jù)安全成為工業(yè)互聯(lián)網(wǎng)安全新焦點(diǎn),平臺(tái)連接海量工業(yè)控制系統(tǒng)、業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施,同時(shí)承載大量數(shù)據(jù)和工業(yè)APP,成為網(wǎng)絡(luò)攻擊的重點(diǎn)對(duì)象;工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)種類(lèi)繁多、流動(dòng)路徑復(fù)雜、使用場(chǎng)景多樣,數(shù)據(jù)篡改、泄露、濫用以及數(shù)據(jù)跨境流動(dòng)等安全問(wèn)題更為突出。
當(dāng)前我國(guó)在工業(yè)互聯(lián)網(wǎng)安全方面也存在幾方面問(wèn)題
楊宇燕指出,當(dāng)前我國(guó)在工業(yè)互聯(lián)網(wǎng)安全方面存在幾方面問(wèn)題:一是,安全監(jiān)管和制度體系不健全。在監(jiān)管層面,工業(yè)互聯(lián)網(wǎng)涉及制造業(yè)、電力等眾多行業(yè),包括設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、平臺(tái)安全、數(shù)據(jù)安全等,在這種融合狀態(tài)下,安全管理、協(xié)調(diào)等諸多層面的監(jiān)管職能分散于多個(gè)行業(yè)主管部門(mén),缺乏責(zé)權(quán)清晰的監(jiān)管體系。在生產(chǎn)層面,工業(yè)互聯(lián)網(wǎng)涉及研發(fā)設(shè)計(jì)、生產(chǎn)制造、產(chǎn)品流通及售后服務(wù)等全產(chǎn)業(yè)鏈多個(gè)環(huán)節(jié),運(yùn)營(yíng)單位、工業(yè)互聯(lián)網(wǎng)平臺(tái)提供商等多方主體,各企業(yè)主體在工業(yè)互聯(lián)網(wǎng)安全方面的法律責(zé)任和義務(wù)劃分尚不清晰,難以有效督促企業(yè)落實(shí)工業(yè)互聯(lián)網(wǎng)安全保護(hù)要求。二是企業(yè)安全意識(shí)相對(duì)薄弱,工業(yè)企業(yè)普遍存在重發(fā)展輕安全的情況,對(duì)工業(yè)互聯(lián)網(wǎng)安全缺乏足夠認(rèn)識(shí),安全防護(hù)投入較低,企業(yè)在部署安全措施時(shí)缺乏統(tǒng)一的標(biāo)準(zhǔn)和引導(dǎo)。三是市場(chǎng)驅(qū)動(dòng)乏力,企業(yè)在安全投入上的意愿比較薄弱,整個(gè)工業(yè)互聯(lián)網(wǎng)安全市場(chǎng)的規(guī)模不大。因?yàn)槭袌?chǎng)規(guī)模不大,導(dǎo)致目前能夠提供的工業(yè)互聯(lián)網(wǎng)安全的產(chǎn)品和方案都相對(duì)匱乏。在工業(yè)安全領(lǐng)域缺乏行業(yè)認(rèn)可的第三方機(jī)構(gòu)開(kāi)展安全審查及評(píng)估認(rèn)證,難以保證產(chǎn)品和服務(wù)的安全性。四是安全技術(shù)能力不足。我國(guó)整體工業(yè)互聯(lián)網(wǎng)安全才剛開(kāi)始起步建設(shè),在傳統(tǒng)工業(yè)領(lǐng)域應(yīng)對(duì)新型攻擊的安全能力不足,尚未形成國(guó)家級(jí)、有組織的工業(yè)互聯(lián)網(wǎng)安全事件監(jiān)測(cè)發(fā)現(xiàn)、精準(zhǔn)預(yù)警、快速處置和有效溯源的全網(wǎng)態(tài)勢(shì)感知技術(shù)手段。五是復(fù)合型人才短缺。工業(yè)互聯(lián)網(wǎng)需要大量基礎(chǔ)面寬、一專多能、多專多能的人才,此類(lèi)安全人才不僅要掌握網(wǎng)絡(luò)安全專業(yè)知識(shí),又要熟悉工廠壞境的應(yīng)用場(chǎng)景,當(dāng)前,現(xiàn)有網(wǎng)絡(luò)安全人才水平還不能更好的滿足工業(yè)互聯(lián)網(wǎng)發(fā)展的需求。
我國(guó)將從四個(gè)方面構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系
楊宇燕介紹,工信部網(wǎng)絡(luò)安全管理局從三個(gè)方面構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系,一是抓頂層,組織制定《關(guān)于加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》,目前,《意見(jiàn)》已經(jīng)完成公開(kāi)征求意見(jiàn),預(yù)計(jì)近期就會(huì)下發(fā);初步建立工作機(jī)制,開(kāi)展風(fēng)險(xiǎn)評(píng)估、威脅信息共享、監(jiān)督檢查、信息通報(bào)等,委托專業(yè)機(jī)構(gòu),選取20余家典型工業(yè)企業(yè)、平臺(tái)企業(yè)開(kāi)展安全檢查評(píng)估試點(diǎn),發(fā)現(xiàn)通報(bào)整改風(fēng)險(xiǎn)近2000個(gè);開(kāi)展工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)研制:構(gòu)建了工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系構(gòu)架,其中,安全防護(hù)總體要求、平臺(tái)安全、數(shù)據(jù)安全等重點(diǎn)標(biāo)準(zhǔn)規(guī)范已陸續(xù)發(fā)布。二是建手段,建設(shè)工業(yè)互聯(lián)網(wǎng)安全基礎(chǔ)資源庫(kù),包括工業(yè)互聯(lián)網(wǎng)資產(chǎn)目錄庫(kù)、工業(yè)協(xié)議庫(kù)、安全漏洞庫(kù)、惡意代碼庫(kù)等;建設(shè)工業(yè)互聯(lián)網(wǎng)安全測(cè)試驗(yàn)證環(huán)境,搭建功能完備的工業(yè)互聯(lián)網(wǎng)安全攻防演練環(huán)境;構(gòu)建國(guó)家、省、企業(yè)三級(jí)的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺(tái)。目前,已經(jīng)基本完成了國(guó)家級(jí)平臺(tái)的建設(shè)和八個(gè)省的省級(jí)平臺(tái)的建設(shè),覆蓋了電子、航空、自動(dòng)化等重點(diǎn)行業(yè)領(lǐng)域3000多家的企業(yè)。三是強(qiáng)產(chǎn)業(yè),持續(xù)開(kāi)展工業(yè)互聯(lián)網(wǎng)安全試點(diǎn)示范工作。通過(guò)“揭榜掛帥”的方式在全國(guó)范圍內(nèi)遴選優(yōu)秀的工業(yè)互聯(lián)網(wǎng)安全項(xiàng)目,參與今年“揭榜掛帥”的工業(yè)互聯(lián)網(wǎng)安全相關(guān)企業(yè)達(dá)到了300余家,帶動(dòng)社會(huì)資金超百億元;積極推進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)的建設(shè)。四是育人才,開(kāi)展工業(yè)互聯(lián)網(wǎng)安全大賽,舉辦“護(hù)網(wǎng)杯”網(wǎng)絡(luò)安全防護(hù)賽,指導(dǎo)舉辦國(guó)內(nèi)首個(gè)針對(duì)工業(yè)互聯(lián)網(wǎng)應(yīng)用的安全防護(hù)演練活動(dòng)、工業(yè)互聯(lián)網(wǎng)精英邀請(qǐng)賽等活動(dòng);指導(dǎo)相關(guān)產(chǎn)業(yè)聯(lián)盟開(kāi)展安全論壇和專題會(huì)議,搭建交流互學(xué)的平臺(tái)。
楊宇燕表示,下一步將開(kāi)展以下幾方面工作:一是建立安全管理體系。加快出臺(tái)安全指導(dǎo)性文件,研制安全標(biāo)準(zhǔn),建立安全管理制度,落實(shí)企業(yè)主體責(zé)任;二是建設(shè)安全技術(shù)手段。加快國(guó)家、省、企業(yè)三級(jí)技術(shù)監(jiān)測(cè)體系建設(shè),擴(kuò)展監(jiān)測(cè)范圍、完善系統(tǒng)功能,覆蓋重點(diǎn)平臺(tái)企業(yè)、主要標(biāo)識(shí)解析節(jié)點(diǎn);三是構(gòu)建產(chǎn)業(yè)發(fā)展支撐體系。持續(xù)開(kāi)展試點(diǎn)示范和行業(yè)應(yīng)用,推廣最佳實(shí)踐,推進(jìn)國(guó)家網(wǎng)絡(luò)安全產(chǎn)業(yè)園建設(shè),計(jì)劃再在全國(guó)范圍內(nèi)遴選兩到三個(gè)省市來(lái)建設(shè)國(guó)家級(jí)的網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)。四是加快網(wǎng)絡(luò)安全人才的培養(yǎng)。開(kāi)展教育培訓(xùn)、安全大賽、防護(hù)演練等,提升各類(lèi)從業(yè)人員的安全意識(shí),全面培養(yǎng)網(wǎng)絡(luò)安全人才的實(shí)操能力。
