近年來(lái)，我國(guó)工業(yè)互聯(lián)網(wǎng)的應(yīng)用場(chǎng)景越來(lái)越豐富，模式創(chuàng)新也越來(lái)越活躍，高度智聯(lián)所暴露出來(lái)的信息安全問(wèn)題更加多樣復(fù)雜。

在近日舉行的“2020中國(guó)工業(yè)信息安全大會(huì)暨全國(guó)工控安全深度行（京津冀站）”上，與會(huì)的企業(yè)代表都表達(dá)了共同的呼聲，隨著工業(yè)信息化發(fā)展，安全的地位和重要性正不斷前移，在新基建帶動(dòng)的工業(yè)互聯(lián)網(wǎng)建設(shè)浪潮下，如果不能解決信息安全威脅問(wèn)題，那么工業(yè)互聯(lián)網(wǎng)的大規(guī)模普及也就無(wú)從談起，因此工業(yè)信息安全短板需加速補(bǔ)齊。

工業(yè)企業(yè)信息安全不容忽視

在新基建的推動(dòng)下，我國(guó)工業(yè)行業(yè)數(shù)字化升級(jí)正在快速發(fā)展，但與此同時(shí)信息安全風(fēng)險(xiǎn)也隨之提升。在今年上半年媒體評(píng)出的十大信息安全事件中，超過(guò)半數(shù)都與生產(chǎn)企業(yè)直接相關(guān)。

“工業(yè)企業(yè)信息安全頻發(fā)的原因主要在于：一方面工業(yè)企業(yè)以往與互聯(lián)網(wǎng)相對(duì)較隔離，因此對(duì)網(wǎng)絡(luò)安全重視程度不足；另一方面，工業(yè)企業(yè)的工業(yè)主機(jī)以及部分舊操作系統(tǒng)升級(jí)較為困難，普遍存在安全漏洞，一旦與互聯(lián)網(wǎng)相連，系統(tǒng)就會(huì)立即成為攻擊者的目標(biāo)。”綠盟科技集團(tuán)副總裁李晨表示。

據(jù)了解，自2010年開(kāi)始，綠盟科技就一直深耕工業(yè)信息安全領(lǐng)域并將其作為公司重要的戰(zhàn)略發(fā)展方向，多年來(lái)綠盟科技依托自身的專業(yè)技術(shù)優(yōu)勢(shì)，對(duì)工業(yè)控制系統(tǒng)及工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域進(jìn)行了深入研究，并建立了完整的工業(yè)控制系統(tǒng)安全產(chǎn)品線。

“工業(yè)控制系統(tǒng)多被應(yīng)用于電力、交通、石油化工等國(guó)家重要支撐產(chǎn)業(yè)，一旦出現(xiàn)安全問(wèn)題將會(huì)直接威脅國(guó)家的安全和人民的生產(chǎn)生活，并造成不可估量的經(jīng)濟(jì)損失，其安全問(wèn)題的解決刻不容緩。”李晨說(shuō)。

六方云董事長(zhǎng)任增強(qiáng)對(duì)此也提出，以往的20多年里，我們更多關(guān)注的是已知的安全風(fēng)險(xiǎn)，但隨著新一代基礎(chǔ)設(shè)施的大范圍建設(shè)以及工業(yè)互聯(lián)網(wǎng)在傳統(tǒng)工業(yè)領(lǐng)域的不斷普及，一些未知風(fēng)險(xiǎn)開(kāi)始顯現(xiàn)，這必須引起工業(yè)企業(yè)以及安全服務(wù)企業(yè)等的普遍關(guān)注，并將防范重點(diǎn)有所側(cè)重。

“要補(bǔ)好工業(yè)互聯(lián)網(wǎng)發(fā)展中的信息安全短板首先就是要轉(zhuǎn)變思維，提高安全防范意識(shí)。”李晨認(rèn)為，可以從工業(yè)企業(yè)內(nèi)部入手，規(guī)劃部署安全防護(hù)措施，如針對(duì)工業(yè)主機(jī)，通過(guò)主機(jī)安全衛(wèi)士對(duì)主機(jī)進(jìn)行加固，防止惡意代碼的運(yùn)行；在網(wǎng)絡(luò)層面，部署工業(yè)隔離裝置，避免受到勒索軟件等惡意代碼的感染；此外，建議在工業(yè)企業(yè)或者工業(yè)園區(qū)，部署工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)，結(jié)合工業(yè)威脅情報(bào)系統(tǒng)，及時(shí)發(fā)現(xiàn)并處置安全威脅。

工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全也不容忽視。李晨建議，可按照數(shù)據(jù)的分類分級(jí)規(guī)范要求，保護(hù)工業(yè)環(huán)境下產(chǎn)生的各種數(shù)據(jù)，在數(shù)據(jù)存儲(chǔ)、傳輸、使用、共享等各個(gè)環(huán)節(jié)進(jìn)行安全部署，避免數(shù)據(jù)泄漏事件的發(fā)生。

供應(yīng)鏈安全漸成高風(fēng)險(xiǎn)點(diǎn)

成立于1996年的啟明星辰信息技術(shù)集團(tuán)股份有限公司，是一家擁有自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全高新技術(shù)企業(yè)，也一直深耕于工業(yè)信息安全領(lǐng)域。

全國(guó)政協(xié)委員、啟明星辰信息技術(shù)集團(tuán)股份有限公司首席執(zhí)行官嚴(yán)望佳博士表示，數(shù)字化時(shí)代的信息安全將由部署在工控網(wǎng)絡(luò)安全設(shè)備為主的單點(diǎn)防護(hù)建設(shè)，轉(zhuǎn)變?yōu)槊嫦蛟啤⒕W(wǎng)、邊、端的工業(yè)安全整體保障體系建設(shè)。但到目前為止，整體保障體系建設(shè)仍不足以應(yīng)對(duì)大量數(shù)字化場(chǎng)景帶來(lái)的安全挑戰(zhàn)，因此我們需要在傳統(tǒng)網(wǎng)絡(luò)安全模式的基礎(chǔ)上疊加場(chǎng)景化的安全思維模式，即構(gòu)建圍繞全業(yè)務(wù)流程和數(shù)據(jù)全生命周期的風(fēng)險(xiǎn)控制機(jī)制。

嚴(yán)望佳以智慧油庫(kù)安全生產(chǎn)業(yè)務(wù)場(chǎng)景為例，提出可以從網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測(cè)、預(yù)見(jiàn)性安全維護(hù)、風(fēng)險(xiǎn)通報(bào)、應(yīng)急處置、網(wǎng)絡(luò)安全KPI分析等方面，實(shí)現(xiàn)對(duì)銷售公司總部和庫(kù)區(qū)工控網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)全面監(jiān)測(cè)。

事實(shí)上，嚴(yán)望佳口中所說(shuō)的全數(shù)據(jù)流程和全生命周期安全問(wèn)題也正是與會(huì)代表關(guān)心的重要話題——供應(yīng)鏈安全。從當(dāng)下工業(yè)信息安全來(lái)看，新的安全問(wèn)題往往是企業(yè)的生產(chǎn)供應(yīng)鏈各個(gè)環(huán)節(jié)之間的安全問(wèn)題或者說(shuō)整個(gè)供應(yīng)鏈環(huán)節(jié)某個(gè)點(diǎn)的安全。以汽車生產(chǎn)為例，汽車是由主控機(jī)器加上多個(gè)電子配套期間組成，本身主控機(jī)器安全，但其他配件都有獨(dú)立的供應(yīng)商，供應(yīng)產(chǎn)品是否符合安全標(biāo)準(zhǔn)，這也決定系統(tǒng)產(chǎn)品的安全性。

因此，李晨認(rèn)為，要解決供應(yīng)鏈之間的安全問(wèn)題，首先就需要有明確的安全標(biāo)準(zhǔn)；另外，針對(duì)內(nèi)生安全，在產(chǎn)品開(kāi)發(fā)期間要引入安全開(kāi)發(fā)的理念，將安全設(shè)計(jì)前置，在需求、設(shè)計(jì)、開(kāi)發(fā)與測(cè)試階段就考慮到安全問(wèn)題，依據(jù)標(biāo)準(zhǔn)設(shè)計(jì)安全體系，保證產(chǎn)品安全性。

北京威努特技術(shù)有限公司首席技術(shù)官黃敏表示，應(yīng)注重加強(qiáng)“白名單”技術(shù)、邊緣設(shè)備可信接入技術(shù)、通信協(xié)議安全增強(qiáng)技術(shù)、人工智能算法等核心技術(shù)研發(fā)的投入力度，加快推動(dòng)網(wǎng)絡(luò)安全新技術(shù)在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的應(yīng)用建設(shè)；同時(shí)要加強(qiáng)工業(yè)互聯(lián)網(wǎng)企業(yè)與網(wǎng)絡(luò)安全企業(yè)做好產(chǎn)業(yè)聯(lián)合，建立涵蓋設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、平臺(tái)安全和數(shù)據(jù)安全的工業(yè)互聯(lián)網(wǎng)多層次安全保障體系，提升安全防護(hù)能力。

專業(yè)安全人才缺口大仍是難題

相關(guān)咨詢機(jī)構(gòu)的數(shù)據(jù)顯示，從IT投入角度來(lái)講的話，中國(guó)和北美地區(qū)在量級(jí)上差不多，但是中國(guó)的網(wǎng)絡(luò)安全行業(yè)規(guī)模只有北美的1/10，整個(gè)網(wǎng)絡(luò)安全行業(yè)市場(chǎng)的潛力巨大。

在新基建的推動(dòng)下，我國(guó)工業(yè)行業(yè)數(shù)字化升級(jí)快速發(fā)展，更是推動(dòng)信息安全產(chǎn)業(yè)快速增長(zhǎng)。從近日發(fā)布的《中國(guó)工業(yè)信息安全產(chǎn)業(yè)發(fā)展白皮書(shū)(2019—2020年)》來(lái)看，2019年我國(guó)工業(yè)信息安全產(chǎn)業(yè)規(guī)模為99.74億元。預(yù)計(jì)2020年，我國(guó)工業(yè)信息安全市場(chǎng)增長(zhǎng)率將達(dá)23.13%，市場(chǎng)整體規(guī)模將增長(zhǎng)至122.81億元。

如此大的需求與市場(chǎng)，也對(duì)工業(yè)企業(yè)自身以及信息安全服務(wù)商的安全技術(shù)和服務(wù)水平提出了更多的要求。這就要求工業(yè)企業(yè)自身以及安全服務(wù)商一方面要去滿足國(guó)家的技術(shù)要求，加大技術(shù)研究，同時(shí)也要從服務(wù)企業(yè)視角出發(fā)，理解生產(chǎn)場(chǎng)景的一些變化，去提升產(chǎn)品、技術(shù)、服務(wù)等，但這些都離不開(kāi)安全人才的培養(yǎng)和支撐。

但從目前來(lái)看，我國(guó)信息安全人才嚴(yán)重缺乏。“要加大培養(yǎng)工業(yè)互聯(lián)網(wǎng)安全復(fù)合型人才。一方面工業(yè)企業(yè)可以自主培養(yǎng)一些行業(yè)內(nèi)的安全人才，同時(shí)可以與安全服務(wù)公司合作，引入一些安全人才進(jìn)入到行業(yè)里，逐步成為復(fù)合型的安全人才，以解決企業(yè)需求與人才輸出‘兩層皮’的問(wèn)題。”威努特首席技術(shù)官黃敏表示。

李晨也認(rèn)為，新基建加速了信息化進(jìn)程，從企業(yè)自身來(lái)說(shuō)，這就要求很多企業(yè)傳統(tǒng)的OT運(yùn)營(yíng)人員不能僅限于做好設(shè)備維護(hù)，還要考慮信息系統(tǒng)，其中很重要的一個(gè)方面就是安全運(yùn)維。這就需要舉合力加強(qiáng)安全人才的培養(yǎng)，以應(yīng)對(duì)未來(lái)工業(yè)信息安全的需求。