杨宇燕:我国将从四个方面筑牢工业互联网安全防线

来源:军工网浏览数:16

     6月21日至6月22日,2019年中国工业信息安全大会在京召开。工业和信息化部网络安全管理局副局长杨宇燕出席主论坛并作主旨发言。

  近年来工业互联网安全风险日益突出

  杨宇燕说,近年来工业互联网安全风险日益突出:一方面,外部风险加剧,互联网和工业的深度融合,打破了传统工业领域相对封闭可信的环境,互联网的安全威胁渗透延伸至工业领域,网络攻击可直达生产一线 ,例如去年8月发生的台积停电事件,造成三大厂区停电,经济损失巨大。工业互联网一旦遭受网络攻击不仅会造成系统或服务中断、数据泄露等传统互联网安全问题,甚至会引发生产安全问题,导致污染性物质泄露、爆炸性破坏、大面积断水断电等安全事件。例如今年4月份委内瑞拉发生停电事件,持续了五天的时间,影响了全国23个州中的21个州。

  另一方面,网络风险加大,传统的大部分工业控制系统与设备受其内存、处理能力等限制,防护能力较弱,这些系统接入互联网后,将更多使用公开协议以及标准化技术架构,进一步降低了攻击门槛;5G、IPv6等新技术在工业互联网的普及应用将带来更大的网络安全挑战。此外,平台和数据安全成为工业互联网安全新焦点,平台连接海量工业控制系统、业务系统和网络基础设施,同时承载大量数据和工业APP,成为网络攻击的重点对象;工业互联网数据种类繁多、流动路径复杂、使用场景多样,数据篡改、泄露、滥用以及数据跨境流动等安全问题更为突出。

  当前我国在工业互联网安全方面也存在几方面问题

  杨宇燕指出,当前我国在工业互联网安全方面存在几方面问题:一是,安全监管和制度体系不健全。

  在监管层面,工业互联网涉及制造业、电力等众多行业,包括设备安全、控制安全、网络安全、平台安全、数据安全等,在这种融合状态下,安全管理、协调等诸多层面的监管职能分散于多个行业主管部门,缺乏责权清晰的监管体系。

  在生产层面,工业互联网涉及研发设计、生产制造、产品流通及售后服务等全产业链多个环节,运营单位、工业互联网平台提供商等多方主体,各企业主体在工业互联网安全方面的法律责任和义务划分尚不清晰,难以有效督促企业落实工业互联网安全保护要求。二是企业安全意识相对薄弱,工业企业普遍存在重发展轻安全的情况,对工业互联网安全缺乏足够认识,安全防护投入较低,企业在部署安全措施时缺乏统一的标准和引导。三是市场驱动乏力,企业在安全投入上的意愿比较薄弱,整个工业互联网安全市场的规模不大。因为市场规模不大,导致目前能够提供的工业互联网安全的产品和方案都相对匮乏。

  在工业安全领域缺乏行业认可的第三方机构开展安全审查及评估认证,难以保证产品和服务的安全性。四是安全技术能力不足。我国整体工业互联网安全才刚开始起步建设,在传统工业领域应对新型攻击的安全能力不足,尚未形成国家级、有组织的工业互联网安全事件监测发现、精准预警、快速处置和有效溯源的全网态势感知技术手段。五是复合型人才短缺。工业互联网需要大量基础面宽、一专多能、多专多能的人才,此类安全人才不仅要掌握网络安全专业知识,又要熟悉工厂坏境的应用场景,当前,现有网络安全人才水平还不能更好的满足工业互联网发展的需求。

  我国将从四个方面构建工业互联网安全保障体系

  杨宇燕介绍,工信部网络安全管理局从三个方面构建工业互联网安全保障体系,一是抓顶层,组织制定《关于加强工业互联网安全工作的指导意见》,目前,《意见》已经完成公开征求意见,预计近期就会下发;初步建立工作机制,开展风险评估、威胁信息共享、监督检查、信息通报等,委托专业机构,选取20余家典型工业企业、平台企业开展安全检查评估试点,发现通报整改风险近2000个;开展工业互联网安全标准研制:构建了工业互联网安全标准体系构架,其中,安全防护总体要求、平台安全、数据安全等重点标准规范已陆续发布。二是建手段,建设工业互联网安全基础资源库,包括工业互联网资产目录库、工业协议库、安全漏洞库、恶意代码库等;建设工业互联网安全测试验证环境,搭建功能完备的工业互联网安全攻防演练环境;构建国家、省、企业三级的工业互联网安全技术保障平台。

  目前,已经基本完成了国家级平台的建设和八个省的省级平台的建设,覆盖了电子、航空、自动化等重点行业领域3000多家的企业。三是强产业,持续开展工业互联网安全试点示范工作。通过“揭榜挂帅”的方式在全国范围内遴选优秀的工业互联网安全项目,参与今年“揭榜挂帅”的工业互联网安全相关企业达到了300余家,带动社会资金超百亿元;积极推进网络安全产业园区的建设。四是育人才,开展工业互联网安全大赛,举办“护网杯”网络安全防护赛,指导举办国内首个针对工业互联网应用的安全防护演练活动、工业互联网精英邀请赛等活动;指导相关产业联盟开展安全论坛和专题会议,搭建交流互学的平台。

  杨宇燕表示,下一步将开展以下几方面工作:一是建立安全管理体系。加快出台安全指导性文件,研制安全标准,建立安全管理制度,落实企业主体责任;二是建设安全技术手段。加快国家、省、企业三级技术监测体系建设,扩展监测范围、完善系统功能,覆盖重点平台企业、主要标识解析节点;三是构建产业发展支撑体系。

  持续开展试点示范和行业应用,推广最佳实践,推进国家网络安全产业园建设,计划再在全国范围内遴选两到三个省市来建设国家级的网络安全产业园区。四是加快网络安全人才的培养。开展教育培训、安全大赛、防护演练等,提升各类从业人员的安全意识,全面培养网络安全人才的实操能力。