基于工业互联网完善工业企业安全管理体系

2021-11-27杨泽滔

中国科技纵横 2021年9期

杨泽滔

（巨轮智能装备股份有限公司，广东揭阳 522000）

0.引言

互联网的发展极大改变了消费市场，如今正在向工业信息安全领域延伸，升级概念和内涵丰富工业互联网的功能性。所发生的变化体现在有更丰富的制造资源方式，生产范围也有所扩大，传统的生产控制网络是封闭的，而工业互联网平台则是相对开放的，优化生产配置的同时，也能优化资源主体。

1.工业企业安全建设思考

对于工业企业来说，进行安全建设活动要考虑到多方面的因素。这其中包含的3大主要内容有管理部门的期望、生产部门的实际需求、企业治理环境。在全面了解了上述情况后，需要对企业此时所处的安全阶段进行评估，在必要的情况下，需要分析同行差距，之后才能着手规划相应的安全问题。面向工业企业建设互联网安全管理体系会经历4个阶段。

第一阶段是“救火”，就是要先解决业务痛点，在此基础上还需要做一些基础的保命工作，使得安全事件发生的可能性能够有所降低。要能够快速发现外网入侵的不良情况，并有效修复这样的安全隐患。可采取的手段包括无线安全；利用VPN实现远程访问；通过弱口令进行安全保护；能顺利连接的服务器。这一阶段通常面临着重重困难，缺乏人力资源和资金支持，要想转换防御方法就要购买机器设备，而这往往需要一定的时间，所以只能靠渗透经验来转换防御方法的目标，此时就应该按照2/8法则来完成工作。另外，要能够快速组织团队，这是安全项目计划能够顺利完成的重要基础。

第二阶段是实现体系化建设的目标，当过了救火期之后，就能稍微放松一些，在建设安全体系时能更加有序。堡垒机、双因素、VPN是安全建设的3大要素，第二阶段还不能使用互联网，主要是由于受到开发能力的限制作用，此时的安全设备仍然以商业为主，外加少量自研的安全工具，此时安全运维的工作效率就会有所提高。

第三阶段商用系统可能无法较好满足安全需求，此时就需要使用大量自研工具，比如将安全大数据和APT技术加入其中。

第四阶段建设的安全管理体系具有较高的智能化水平，工业安全发展的方向是能实现智能化的检测，进而有效阻断安全隐患。

2.工业互联网企业安全管理体系的本质

最近几年学术界对工业互联网的研究一直不曾停歇，并且研究活动是从不同的角度开展。在最近两年的网络安全领域著名会议中，与工业互联网安全相关的话题就有物联网安全LOT、安全影响物理世界、信息安全物理系统。与此同时工业界也越来越关注工业互联网安全问题。在建设工业互联网企业安全体系的工作中，要对工业互联网和工控安全有深刻的理解，同时也要明确工业互联网与消费互联网安全之间的区别。就工业信息安全而言，概念和内涵都在不断发生变化和升级，这主要有3方面的表现，第一，资源的接入方式和范围都在不断发生变化，开始时的生产控制网络是封闭的，而工业互联网平台则是相对开放的[1]。第二，工业生产数据的流向有一定的改变，传统模式下，这些数据是流向工业企业本地，或者是流向一些孤立的业务系统，而有了工业互联网安全体系之后，这些数据会流向外部的云端平台。第三，优化主体也有所改变，不仅工业企业自身得到优化，工业互联网平台的配置也得到了优化。就工控系统的安全而言，主要属性仍然是传统的制造业，而工业互联网则有多重属性，这其中就有制造业属性和互联网属性。工业互联网不同于传统的消费互联网，传统的消费互联网只有比较少的网络层级，而工业互联网则有比较完善的基于TCP/工P通信协议的安全机制，而且有能力容忍一定的网络时延。工业互联网的运行系统对保密性和完整性有较高的要求，能有效抵御网络攻击，减少经济损失。

3.基于工业互联网完善工业企业安全管理体系的办法

3.1 将安全责任赋予具体的人

传统工业企业采用的控制方法表现出的明显特征是科层化和集中式。人是一种非常关键的生产要素，具有一定的决定性作用。可以说工业企业管理就是人与人之间的对话，也是人与机器之间的对话。五大管理要素包括计划、组织、协调、控制、激励，每一项管理要素都围绕人展开。从管理流程的角度进行分析，企业所执行的管理活动以产品的生命周期为中心，具体的管理工作涉及到产品研发、产品设计、产品制造和产品的质量检验。这些管理工作每一项都离不开人的参与，安全生产管理也同样如此，可以说抓住了人就抓住了管理的关键。对工业企业的安全管理体系加以完善，应推行负责人为核心的安全生产责任制，做好安全生产属地、部门的管理工作，将安全责任落实到具体的人身上。

3.2 管控工业生产全过程的安全风险

工业生产有了互联网的支持，发生了质的改变。在传统的工业生产活动中，人需要与机器对话，而在工业互联网时代，主要是机器与机器的对话，甚至机器还能实现自我管理。生产设备不仅能实现独立运行，而且还能实现相互控制，生产设备包括的内容有设施设备、原料、零配件。也就是说有了工业互联网的支持，传统的工业生产方式彻底发生了变化。另外工业领域的智能化水平在不断提高，工业机器人所发挥的作用更为重要，越来越多的人工会被机器人所代替。工业生产的核心也会发生变化，此时的生产核心将变为机器相互之间的通信、机器的自我组织以及机器的自动化生产。当工业生产方式发生变化，安全工作也将彻底转变，对人的依赖将会明显减少。此时的安全责任也将发生变化，不再是传统的“人化”，而是转向“物化”。对机器和设备采取的安全管理措施会借助工业互联网的各种衍生技术，有效管控工业生产全过程的安全风险。

3.3 明确不同的责任主体

2020年12月，工业和信息化部针对工业互联网企业网络安全发布了分级指南，明确划分了工业互联网企业的类别，共有3种，分别是对工业互联网有使用需求的工业企业、提供工业互联网平台的企业、运用工业互联网基础设施的企业。提出这3大类型企业的目的是梳理工业互联网安全要素，这3种不同类型的企业代表了3种不同的责任主体。这有助于划分工业互联网所涉及到的安全问题，共有6大类，分别是控制操作、设备本身、网络环境、标识解析、运营平台、数据信息。工业互联网的数据主要来源于设备的运行和设备的控制，同时这也是工业互联网保障的主要内容[2]。标识解析涉及到基础设施与平台的连接；与平台提供企业的连接；与工业企业的连接。安全平台的建设位置是工业互联网的云端，与大量的工业设备相连接，同时也存储着大量的工业数据，对保证工业互联网的安全起到关键作用。三大类型的工业互联网企业能共享所产生的数据，能有效管控的安全问题有对数据的采集、传递、存储以及使用。