《加强工业互联网安全工作的指导意见》系列解读
2019-12-22中国电子信息产业发展研究院副院长黄子河
中国电子信息产业发展研究院副院长 黄子河
近日,工信部等十部门联合印发《加强工业互联网安全工作的指导意见》,明确了构建工业互联网安全保障体系的主要任务。提出了具体目标,到2020 年底,初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境。
国务院印发的《关于深化“互联网+先进制造业”发展工业互联网的指导意见》指出,工业互联网通过系统构建网络、平台、安全三大功能体系,打造人、机、物全面互联的新型网络基础设施,形成智能化发展的新兴业态和应用模式,是推进制造强国和网络强国建设的重要基础,是全面建成小康社会和建设社会主义现代化强国的有力支撑。
近年来,两化深度融合催生互联网在工业控制系统中的应用,打破了传统工业控制系统相对封闭可信的环境,将互联网上的传统安全威胁渗透进了工业领域,使得网络型攻击可以直达生产现场,造成生产中断甚至危及人员生命。
针对工业控制系统的各种安全事件日益增多。例如,乌克兰氯气站被攻击、委内瑞拉全国性断电等安全事件,目前通过网络攻击,“勒索病毒”可以直接利用被控制的控制器进行勒索,在工厂侧,被“锁屏勒索”的安全事件也屡见不鲜。
近日,工业和信息化部等十部委共同印发的《加强工业互联网安全工作的指导意见》为工业互联网安全能力建设提出了有效的发展思路,遵循其任务内容和指导思想,结合自身测评服务实践,不断强化能力建设,为我国工业互联网安全进行保障。
从工控本质看工业互联网安全挑战
工业控制系统的本质目标是控制,互联网的核心目标是交换。
相较于传统互联网采用平等关系的点对点传输模式,工业互联网多采用基于主从关系的非对等网络。
工业互联网面临的安全挑战需从工业控制系统的安全防护能力的视角来看。
从工业控制系统设计思路上看
从工业控制系统设计思路上看,工业控制系统的传统设计都是使用专用的相对封闭可信的通信线路。
但随着工业控制系统向互联网的转移,与企业其他业务应用程序的整合,也越来越容易遭遇来自互联网的攻击,暴露了许多先天缺陷。
比如基于离线系统技术要求的设计思路,没有考虑规划设计安全防护机制;比如由于控制器的弱计算力,只设计了对于弱计算力的防护机制。
从工业控制系统运维来看
从工业控制系统运维来看,很多企业出于工业控制系统是封闭的考虑,开放了远程调试功能,同时没有考虑远程调试的访问控制,很多攻击是利用了远程调试的访问控制漏洞实现渗透。
从工业控制系统通信协议看
从工业控制系统通信协议看,绝大多数的工业控制系统通信协议,设计之初都未考虑机密性问题,基本采用明文传输,且国内尚未建立自有的、安全的工业互联网通信协议、数据交换协议。
当前,面临严峻的工业互联网安全挑战,很多工业控制系统查漏补缺存在难度,是长久战。
明确责任,建立规范安全规程、操作准则和安全管理体系,加强意识宣贯和人才培育,逐步完善工业互联网安全体系,显得尤为重要。
从工业互联网安全指导意见看能力提升举措
为深入贯彻习近平新时代中国特色社会主义思想和党的十九大精神,全面落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》部署要求,加快构建工业互联网安全保障体系,提升工业互联网安全保障能力,促进工业互联网高质量发展,推动现代化经济体系建设,护航制造强国和网络强国战略实施,工业和信息化部会同有关部门起草发布了《加强工业互联网安全工作的指导意见》(以下简称《指导意见》)。
《指导意见》指出了企业、监管部门和专业机构的能力建设方向。
在企业侧
在企业侧,针对工业设备、工业网络、工业互联网平台和工业APP 四方面指导工业企业强化防护能力。
强化工业设备的安全接入和防护,提升设备和控制系统的本质安全;强化工业互联网安全,提升企业内外网的安全防护能力;强化平台安全,针对边缘层、IaaS 层、工业PaaS 层、工业SaaS 层分层部署安全防护措施;强化工业APP 安全,建立健全工业APP 应用前安全检测机制,强化应用过程中用户信息和数据安全保护。
在监管部门侧
在监管部门侧,建设国家、省、企业三级协同的工业互联网安全技术保障平台,强化地方、企业与国家平台之间的系统对接、数据共享、业务协作,打造整体态势感知、信息共享和应急协同能力。
在专业机构侧
在专业机构侧,指导第三方专业机构建设工业互联网企业持续开展安全能力评测评估服务能力。
鼓励建设检测评估、安全监测、攻防测试、应急响应等公共服务能力,面向机械制造、电子信息、汽车、石油化工等行业领域提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。
《指导意见》提出了明确责任,完善安全管理体系。
落实企业主体责任,企业明确工业互联网安全责任部门和责任人,建立安全事件报告和问责机制,保障工业互联网安全稳定运行。
构建工业互联网安全管理体系。企业应围绕工业互联网安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制,强化对企业的安全监管。
明确政府监督管理责任,工业和信息化部组织开展工业互联网安全相关政策制定、标准研制等综合性工作,并开展行业指导、监管。
地方工业和信息化主管部门指导本行政区域内应用工业互联网的工业企业的安全工作,同步推进安全产业发展;地方通信管理局监管本行政区域内标识解析系统、公共工业互联网平台等的安全工作,并在公共互联网上对联网设备、系统等进行安全监测。
生态环境、卫生健康、能源、国防科工等部门根据各自安全管理职责,开展本行业领域工业互联网推广应用的安全指导、监管工作。
《指导意见》提出了加快安全人才培养。
深入推进产教融合、校企合作,建立安全人才联合培养机制,培养复合型、创新型高技能人才。
开展工业互联网安全宣传教育,提升企业和相关从业人员安全意识。
以测促用助力工业互联网安全能力建设
在《指导意见》的主要任务中,提出了加强工业互联网安全公共服务能力,开展工业互联网安全评估认证,鼓励和支持专业机构、安全企业等建设检测评估、安全监测、攻防测试、应急响应等公共服务平台,面向多个行业领域提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。
中国电子信息产业发展研究院依托工业控制系统安全测评共性技术工信部重点实验室,通过已建设的国家工业控制系统安全公共技术服务、可编程逻辑控制器(PLC)安全仿真测试、工控系统通信总线安全仿真测试、主动式工控设备安全检测及态势感知平台等国家级平台,开展了石油石化、轨道交通、电力电网、钢铁、汽车、水处理、有色等行业领域的质量验收、安全测评、渗透测试、标准编制、方案及设计咨询、专项培训、应急演练等服务,支撑部委开展工业控制系统安全检查和安全防护能力验证,承担国家重大活动安全保卫工作。
通过开展工业互联网和工业控制系统安全测评工作,以测促用、以测促改,全面推进指导意见的实施,提升我国工业互联网的安全能力。