工信部将编制建设指南——
为工业互联网撑起安全保护伞
在5月24日举行的首届中国工业信息安全大会上,工业和信息化部总工程师陈因表示,加强工业信息安全建设,要以提升工业互联网安全保障能力为重点,加快建设全国在线监测网络应急资源库和仿真测试、信息共享、信息通报平台,大力推进能力建设,为制造强国和网络强国建设提供有力保障。
陈因透露,工信部将编制工业信息安全标准体系建设指南,同时加快构建创新体系,打造工业互联网安全产业生态链。聚焦工业互联网设备、控制、网络、平台和数据的安全需求,提升安全态势感知测试验证,通报预警和应急处置等技术能力建设,构建形成上下联动,多级协同的工业互联网安全综合保障网络体系。
大会发布的《中国工业信息安全产业发展白皮书》显示,2017年,全球工业信息安全市场规模约为138.1亿美元,预计到2023年增长至227.9亿美元,年复合增长率达8.6%。2017年,我国工业信息安全市场规模为5.57亿元,较2016年市场增长率达53.6%,工业信息安全产业发展进入“快车道”。
国家工业信息安全发展研究中心主任尹丽波认为,工业信息安全是一个全新安全领域,具备高度的前沿性和复杂性。随着制造业向数字化、网络化、智能化、服务化方向加速发展,工业信息安全整体形势日趋严峻,当前工业信息安全的态势特征可以概括为“三增一新一短板”。
其中,“三增”是指“三大传统威胁”呈现增势。一是大规模、高强度工业信息安全事件频发,工业领域成为网络攻击“重灾区”。公开数据显示,2017年工业信息安全事件席卷了全球150多个国家1万多个组织机构;二是工控安全漏洞层出不穷,高危漏洞占比近六成,且大量集中于装备制造、交通、能源、智能楼宇等重要领域,严重威胁国家信息基础设施安全;三是工控系统及设备大量暴露于互联网,已经成为世界各国工业信息安全的软肋。据国家工业信息安全发展研究中心监测,截至2017年12月份,全球超过10万个工控系统及设备暴露于互联网,比2016年增加了42.9%,其中我国位居第五,并且超过全球增幅,使得黑客发现攻击目标的难度大大降低。
“一新一短板”则是指工业互联网发展带来安全新挑战,但我国产业发展存在明显短板。“工业互联网平台安全问题、工业互联网设备与控制安全问题、工业大数据安全问题、工业互联网网络安全问题等将成为行业面临的新挑战。目前,我国工业信息安全产业仍存在产业生态不健全、核心技术积累不足、安全服务能力亟待提升等短板。”尹丽波说。
在大会上,360企业安全集团总裁吴云坤表示,工业互联网既包括新技术设施的引入,也包括旧系统接入互联网。必须按照滑动标尺窗口模型建立安全防护体系,不能仅仅“查缺补漏”,需要从“系统规划”开始做起。在新技术环境下应采用数据技术解决工业互联网的安全问题,基于数据驱动按照低中高三层模型构建能力模型。由于在工业互联网环境中,低位存在计算能力较低、设备老旧的问题,所以中高位的能力非常重要,尤其是中高位的安全运营。
“工业互联网安全中需要关注人的价值”,吴云坤称,保护工业互联网安全需要大量的安全人才,尤其是应急场景下既懂工业又懂安全的复合型人才培养,特别是基础运维人员和分析人员的培养。