近日,工业和信息化部、教育部、人力资源和社会保障部等十部门近日联合印发《加强工业互联网安全工作的指导意见》(以下简称《指导意见》),明确到2020年底,工业互联网安全保障体系初步建立。到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。
工业互联网是推动传统制造业数字化转型的关键路径,工业互联网的安全需求可以从工业和互联网两个视角分析。从工业视角看,安全的重点是保障工业控制设备、智能装备及系统的安全,实现智能化生产的连续性、可靠性;从互联网的角度看,安全主要防止重要数据泄露,保障个性化定制、网络化协同以及服务化延伸等工业互联网应用的安全运行。
工业互联网打破了传统工业相对封闭可信的制造环境,病毒、木马、高级持续性攻击等安全风险对工业生产的威胁日益加剧,一旦受到网络攻击,将会造成巨大的经济损失,并可能带来环境灾难和人员伤亡,危及公众安全和国家安全。工业互联网自身安全可控是确保其在生产领域能够实施的前提,也是产业安全和国家安全的重要基础和保障。在工业互联网这个大系统中任何一个环节出现安全问题,都有可能造成整个系统的崩溃,因此对于工业互联网的安全要求比一般的消费互联网要求严格的多。
为此国家的政策支持力度空前,出台了《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》,但还是没有取得相应的效果,目前存在一种政府积极、专家热心、但是企业冷淡的局面。究其原因,其实工业互联网在企业难以推广的核心问题还是网络安全与数据安全及可靠性难以获得企业的信任。具体体现在如下几个方面:
首先,部分企业家对工业互联网平台持观望态度。一家企业能够在市场上保持独特的竞争力,一定是在产品设计、产品工艺、生产成本管理等方面具有独特之处。企业核心数据被企业家们视为立命之本,一旦泄露必将造成不可挽回的巨大损失。因此在无法保证数据绝对安全的情况下,企业家们的内心对数据上云,特别是利用工业互联网平台来实现产品的设计、生产、销售是抗拒的。这就严重制约工业互联网在企业的推广应用。
其次,生产环境的复杂性与个性化使工业互联网的推广应用面临巨大挑战。我们的美好愿景是工业互联网将产品的设计、生产、销售链接在一起,提高企业在信息流、资金流、物资流方面的效率。然而工业企业门类众多,生产环节复杂,每个企业在产业链上所处的环节也不一样,工业互联网在企业内实施存在时间与空间上的障碍,面临通信协议、通信标准、设计漏洞、节拍等诸多挑战。例如汽车行业,由整车企业、发动机生产企业、轮胎生产企业、汽车钢材生产企业、企业座椅生产企业、汽车电子生产企业以及其他零部件生产企业等组成,产业链长而且复杂。现实中一个生产车间同时存在着日本机床、德国磨床、瑞士冲床、意大利折弯机、德国机器人及国产设备,不同功率、不同转速的电机、不同的伺服系统、不同的液压系统、不同的气动系乃至各种型号的机器人在狭小的空间中做着复杂的动作。产业链条长、生产设备复杂、通信协议和标准众多,都会造成通信数据的安全问题,影响工业互联网在生产企业的推广应用。
再次,工业互联网安全涉及面广、点多、线长,安全防护难度大。工业互联网安全包括设备安全、网络安全、控制安全、应用安全、数据安全等。设备安全是指工业智能装备和智能产品的安全如智能传感、工业机器人、智能机床、智能仪表等,包括芯片安全、嵌入式操作系统安全、相关软件安全以及功能安全等;网络安全是指工厂内有限网络、无线网络的安全以及工厂外与用户、协作企业等实现互联的公共安全;控制安全是指生产控制系统的安全主要是针对PLC、DCS、SCANDA等工业控制系统的安全,包括控制协议安全、控制平台安全、控制软件的安全等;应用安全是指支撑工业互联网业务运行的应用软件及平台的安全,包括各类移动应用等;数据安全是指工厂内部的重要生产管理数据、生产操作数据以及工厂外部数据(如用户数据)等各类数据的安全。在工业互联网这个大系统中任何一个环节出现安全问题,都有可能造成整个系统的崩溃,因此对于工业互联网的安全防护难度要比一般的消费互联网大的多。
同时,工业互联网一旦受到攻击,损失巨大。工业互联网有实时、高节拍的数据传递要求,意味着一旦出错,代价巨大。例如在电子行业的贴片机的节拍可以达到每分钟2000多次,如果出现错误造成的损失在一分钟之内都是数以万计。因此以“数字化、网络化、智能化”为特征的工业互联网在遭受攻击时,损失较一般传统的IT网络要大得多。
最后,工业化联网安全人才的缺乏也是造成工业互联网推广应用的一大阻力。根据有关资料显示,2019年网络安全风险加剧,网络安全人才缺口可能达到150万,尤其是涉及安全策略、安全教育或安全咨询的从业者更少。另外,业内对于合格或优秀网络安全从业者的技能定义还不够明确、对于真正多样化且优秀的网络安全团队也缺乏精准定义。这种状况实际上会影响全面、高效的网络安全队伍建设。
《指导意见》的出台可谓恰逢其时、应运而生。为破解以上工业互联网推广应用所面临的各种难题指明了方向:
首先,重点领域突破,带动整体升级。
《指导意见》指出,在汽车、电子信息、航空航天、能源等重点领域,形成至少20个创新实用的安全产品、解决方案的试点示范,培育若干具有核心竞争力的工业互联网安全企业,带动工业互联网安全体系的整体升级。
其次,注重分类施策,强化分级管理。
《指导意见》根据行业重要性、企业规模、安全风险程度等因素,对企业实施分类分级管理,集中力量指导、监管重要行业、重点企业,提升工业互联网安全保障能力。特别是针对生产环境的复杂化与个性化量身定制各类安全制度,解决不同行业与企业的差异性问题。
再次,明确责任落实,监管统筹协调。
安全责任落实是工业互联网安全体系建设的重要保障。《指导意见》明确了政府履行监督管理责任和企业承担安全主体责任。部、地方政府及相关部门需明确各自承担的任务与责任;企业需明确工业互联网安全责任部门和责任人,加强组织领导,强化统筹协调,一层抓一层,层层抓落实。各部门将责任落到实处,构建齐抓共管、各负其责、紧密结合、运转高效的工作机制,推动安全工作有序高效开展。
同时,确保数据安全,筑牢防护篱笆。针对企业家担心企业核心数据泄露的问题,《指导意见》提出打造国家、省、企业三级协同的安全技术保障平台,要指导企业完善数据安全防护措施,构建工业互联网全产业链数据安全管理体系。
最后,产学研用协同,聚焦人才培养。汇聚产学研用多方力量,深入推进产教融合、校企合作,与高等教育机构合作推进培训项目,建立安全人才联合培养机制,加快培养复合型、创新型高技能人才。在院校培养的专业人才数量不足的情况下,企业内部开展工业互联网安全宣传教育,提升企业和相关从业人员网络安全意识。通过项目培训、考证以及在职学习,逐渐培养胜任基础网络安全工作的从业人员。通过开展网络安全演练、安全竞赛等,培养选拔不同层次的工业互联网安全从业人员。(刘波)(作者系北京机械工业自动化研究所副所长,中国工业互联网研究院特邀专家 )
关键词: 互联网安全保障体系