论文部分内容阅读
摘要:实体经济是我国经济的命脉所在,实现“十四五”发展目标乃至2035年的远景目标,必须向夯实实体经济发力。制造业是振兴实体经济的主战场,工业互联网作为制造业转型升级的关键支撑,2017年,国家提出要深入实施工业互联网创新发展战略。2020年,党的十九届五中全会再次强调“坚持把发展经济着力点放在实体经济上,坚定不移建设制造强国、质量强国、网络强国、数字中国”,为推进工业互联网发展提供了基本遵循,指明了前进方向。安全是工业互联网三大体系之一,本文通过总结三年来安全建设成效,归纳梳理存在的问题及发展现状,探讨“十四五”期间工业互联网安全建设思路,为制造强国、网络强国建设提供更加坚实的安全基石。
1工业互联网安全发展成效
1.1国家层面安全顶层设计逐步完善
2017年11月,国务院出台《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,明确提出构建网络、平台、安全三大体系。2018年5月,工业和信息化部会同国家发展改革委、科技部等相关部门印发了《工业互联网发展行动计划(2018-2020年)》,明确了三年起步阶段工业互联网重点建设目标任务。2019年7月,工业和信息化部联合应急管理部、国资委、国家能源局等十部门印发了《加强工业互联网安全工作的指导意见》,凝聚各方共识,构建协同推进、企业主责、政府监管的安全工作体系。2019年12月,工业和信息化部起草《工业互联网企业网络安全分类分级管理指南(试行)》(征求意见稿),对企业实施网络安全分类分级管理制度,集中力量指导重要行业、重点企业加强网络安全能力建设,夯实企业网络安全主体责任。2020年3月,工业和信息化部发布《关于推动工业互联网加快发展的通知》,进一步明确网络、标识、平台、安全等发展重点。2021年1月,工业和信息化部印发《工业互联网创新发展行动计划(2021-2023年)》,提出11项重点任务,部署四项安全重点工作,进一步强化安全保障能力。
1.2国家工业互联网安全监测服务体系基本建立
国家层面系统布局建设了国家、省、企业三级协同联动的工业互联网安全技术监测服务平台。目前,已初步实现全国31省份对接,累计覆盖机械、电子信息、汽车、钢铁等14个重点行业领域,11.2万余家联网工业企业,服务工业互联网相关平台150余个,发现联网设备近900万台套,初步具备工业互联网安全态势感知能力。同时,各地充分发挥区域政策、技术资源优势,不断提升省级监测平台覆盖范围和监测能力。如,江西省制定出台了《江西省地市级和行业级工业互联网安全监测与态势感知平台建设指南》,并利用专项资金支持,启动建设地市级安全平台以及电力、有色等行业级安全态势感知平台,进一步加强了工业互联网安全态势感知体系的监测基础和行业服务能力。为进一步强化工业互联网领域信息共享及网络安全事件协同应对能力,目前,基于国家、省、企业三级协同的工业互联网安全技术监测体系,行业主管部门、第三方专业机构、行业企业及安全厂商等政企各方正联合建设贯通网络安全风险监测、信息研判、事件通报、应急处置等能力的闭环工作机制,今年以来,累计研判工业企业及疫情相关企业威胁信息900多例,在疫情防控和复工复产方面发挥了积极作用。
2工业互联网安全现实问题与产业发展现状
2.1工业互联网平台和数据安全成为焦点
工业互联网平台作为工业全要素链接的枢纽与工业资源配置的核心,连接大量工业系统、现场设备和网络基础设施,承载系统业务、海量数据以及大量工业App,提供多种API接口,扩大了网络攻击面。目前,基于Android系统和工业微服务架构的工业App在工业互联网中已经得到了广泛的应用,但原生操作系统开发不规范、安全开发能力缺乏、安全开发意识不高,導致工业App安全漏洞和安全问题频发。同时,工业App在设计开发时往往更多关注功能性,而忽略了安全性。据统计,目前国内近60%的工业企业在使用明文密码,平均每个工业应用站点存在5个高危漏洞,平均每个工业App有4个以上安全问题。随着工业领域网络化、智能化的推进,工业App的推广应用范围将会进一步拓展,目前,我国工业App数量高达35万个,预计到2025年工业App将达到百万规模,工业App带来的安全隐患值得各方重视[1]。
2.2安全产业生态供给有待加强
目前,我国工业互联网安全龙头企业尚未形成,缺乏面向工业互联网的体系化、针对性的安全防护产品和解决方案。有关机构相关研究表明,工业互联网安全产业在工业互联网核心产业中的占比仅为0.5%,明显低于国外网络安全产业发展水平,主要存在两方面的问题:一是现有网络安全产品和解决方案同质化严重,针对流程工业、离散工业的差异化特点,以及“5G+工业互联网”等融合创新领域典型场景应用,缺乏针对性的安全产品和解决方案。二是工业互联网安全人才培养、公共服务、评估评测等服务体系还有待进一步健全完善。此外,我国工业互联网应用深度已从基础的实时状态监测扩展到系统性的智能化分析,工业互联网交叉领域高精尖专家人才、创新型技术人才、应用型技能人才等严重短缺。
3工业互联网安全隐患问题的防范措施
3.1健全和完善工业互联网安全问题的法律法规
首先要通过完善安全问题的法律法规,为工业互联网行业提供切实的法律依据和保障。由于,目前工业互联网行业存在很多的不确定性,这就更需要从业人员提高自身的道德水平和职业素养,齐心协力创造良性的市场环境。同时政府有关部门应通过建立严格的审查机制和市场准入制度,加大对一些国内厂商的网络系统的支持力度。在发现涉及到国家利益的网络信息时,要及时高效的汇报给有关部门并且保持跟进。通过不断健全工业互联网的法律法规,来保证工业行业的持久稳定的发展[2]。
3.2加强工业计算机系统的安全管理
在目前不法分子越来越猖獗的情况下,要加强网络安全的管理力度,避免造成经济损失。采用多种机制去应对可能面临的网络系统安全问题,如通过建立相关的备份数据库和防火墙来提高工业计算机网络系统的防护措施,同时采用一些针对性的措施来提升系统安全性,从更高层次上确保行业的安全。最好加大对工业计算机网络的投入,建立更为科学的计算机网络安全监控机制,统一工业行业的安全标准,增强政府和工业行业的威信。同时利用好媒体加强人民群众的信息安全知识的普及,建立工业信息安全举报平台,联合运营商屏蔽非法链接,共同维护工业市场的良好发展。 3.3开展工业计算机网络安全专题培训
通过开展工业计算机网络的专题培训,可以让员工更深刻的意识到计算机网络安全的重要性,同时学习一些网络安全防范的基础措施,有助于提升安全的网络运行环境。在培训时,培训人员通过一些理论知识结合实际案例,向现场的工作人员展示网络攻击的一些基本手段,及后续带来的后果,以此提高大家的网络安全意识[3]。
3.4建立统一的安全接口标准
继工信部印发《工业互联网创新发展行动计划 (2021—2023 年 )》,基于 11 项重点任务对今后3年工业互联网的重点工作内容作出部署后,今年 3 月国家发改委副主任宁吉喆表示,在新型基础设施方面,今年将出台“十四五”新型基础设施建设规划,大力发展数字经济,拓展5G应用,加快工业互联网、数据中心的建设。全国各地紧追“风口”,积极促进工业互联网行业发展,推动工业互联网在重点行业推广应用,建设工业互联网发展示范区,推动骨干网、城市网、园区网、企业网全面升级,打造一批工业互联网产业园区。随着人工智能、5G 等新一代信息技术与工业互联网的融合应用,设备联网、企业上云加速风险领域的扩展,网络攻击面不断扩大,推动工业互联网安全防护工作逐步向动态协同转变,风险挑战进一步升级。安全保障的根本目的是风险管控,即通过最优的手段(或者手段的组合)将风险控制在低水平。盘和林提到,实现工业互联网安全要在法律法规上着重完善,制定一套可覆盖工业安全风险和网络安全风险的统一的风险接受原则和评价标准,做好顶层设计和系统谋划,结合各地实际,突出重点,分步协同推进,加快构建工业互联网安全保障体系,确保安全工作落实到位。打击不正当窃取和篡改数据竞争的行为,同时对违法行为要加大处罚力度,完善赔偿制度。“统一标准有好处,比如接口更加通用,技术推进更快。但企业可能有两方面顾虑:一方面,企业担心自己独有的技术开拓被同化,从而失去技术上的差异性领先优势;另一方面企业怕标准化的数据接口会被竞争对手利用,增加了数据风险。但统一工业互联网安全接口标准是大势所趋。”盘和林认为,工业互联网属于跨学科领域,要做到安全风险可接受准则和评价标准的科学,技术上可行,虽然需要时间,但应用上可操作,可以由数据安全企业、工业互联网云服务企业主导推进标准的方式更为合理。“企业在技术基础上,更了解市场,所以推进标准的可行性也更强[4]。
3.5发展智慧工业互联网的建议
一是加快创新体系的建设,特别是企业为中心的“政产学研金用”结合的技术创新体系的建设;二是加快各类人才培养,特别是加快培育产教融合、复合型工业互联网领域人才培育;三是加快国家/地方基础建设,特别是重视适时、安全、服务化的泛在网络(如5G、天地一体化互联网络)建设;四是加快国家/地方政策的完善与落实,特别是加快推动数据产业立法,完善与落实数据开放共享机制及工业数据安全的政策;完善与落实对中小微企业数字化支持政策;五是加快攻克短板,实现我国自主“技术、应用、产业”的协调发展,特别是大力开发异构工业互联网平台融通及制造工具软件的技术与产品;充分培育发展以数字孪生为重要载体的新一代工业APP专件技术与产品;重视研发支持工业2.0/3.0/4.0同步发展的跨领域、跨行业、跨区域工业互联网系统等。六是加快国内外开放合作,特别是我国自主产业链间的开放与合作[5]。
3.6加強产业协同和价值牵引
当前,“5G+工业互联网”已成为工业互联网创新最为活跃的领域之一,二者融合产生的倍增效应和巨大应用潜力正加速释放。沈德明表示,企业应当尽早并且积极地进行探索和部署。但他也指出,目前 5G的各项标准、技术产业生态尚未完全成形,企业在利用 5G改造工业互联网内网时需找准应用领域,在适用的领域中加强技术和应用的创新。“十四五”规划明确提出,规划期间“5G+工业互联网”的最大目标就是“实效”。两者如何从各领域分别进展转化到整体产业效果,沈德明认为,产业协同和价值牵引是关键。 这就要求“5G+工业互联网”需要在构建“5G+”安全生态、提升工业互联网防护水平的基础上,在基础网络能力、行业终端和行业应用这几个关键领域持续创新,夯实“5G+工业互联网”发展的基础。
与此同时,“5G+工业互联网”不能“闭门造车”,沈德明表示,这不仅需要网络、运营支撑系统、行业合作伙伴的共同协作和深度融合,还需要 5G网络与行业具体业务场景、行业生态深度融合和协作,才可以使能 5G创造价值。
结束语
对于企业,一次安全事件带来的损失就可能超过安全的整体投入,与此同时随着企业自动化、智能化的发展,安全迎来巨大挑战。将“零信任”应用到安全体系的构建中,贯彻到员工的安全认知中;通过实现态势感知、隔离、防御、移除、备份等技术的智能联动,可实现安全闭环,构建可信网络,助力业务稳定运行[6]。
参考文献
[1] 张静;;互联网安全存在的问题及对策——以“棱镜门”事件为视角[J];江西警察学院学报;2014(04)
[2]明丽宏;我国互联网安全问题及解决措施[J];职业技术;2005(02)
[3]康翠翠;;浅析互联网技术在社会发展中的作用[J];农业科技与信息;2018(11)
[4];举行互联网安全应急演练[J];中国信息安全;2017(02)
[5] ;360互联网安全大会2016文集[J];网络与信息安全学报;2017(04)
[6]李海龙;;移动互联网安全测评关键技术的分析与研究[J];网络安全技术与应用;2017(05)
[7]陈芳;;融媒体背景下移动互联网安全研究[J];科技传播;2017(14)
1工业互联网安全发展成效
1.1国家层面安全顶层设计逐步完善
2017年11月,国务院出台《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,明确提出构建网络、平台、安全三大体系。2018年5月,工业和信息化部会同国家发展改革委、科技部等相关部门印发了《工业互联网发展行动计划(2018-2020年)》,明确了三年起步阶段工业互联网重点建设目标任务。2019年7月,工业和信息化部联合应急管理部、国资委、国家能源局等十部门印发了《加强工业互联网安全工作的指导意见》,凝聚各方共识,构建协同推进、企业主责、政府监管的安全工作体系。2019年12月,工业和信息化部起草《工业互联网企业网络安全分类分级管理指南(试行)》(征求意见稿),对企业实施网络安全分类分级管理制度,集中力量指导重要行业、重点企业加强网络安全能力建设,夯实企业网络安全主体责任。2020年3月,工业和信息化部发布《关于推动工业互联网加快发展的通知》,进一步明确网络、标识、平台、安全等发展重点。2021年1月,工业和信息化部印发《工业互联网创新发展行动计划(2021-2023年)》,提出11项重点任务,部署四项安全重点工作,进一步强化安全保障能力。
1.2国家工业互联网安全监测服务体系基本建立
国家层面系统布局建设了国家、省、企业三级协同联动的工业互联网安全技术监测服务平台。目前,已初步实现全国31省份对接,累计覆盖机械、电子信息、汽车、钢铁等14个重点行业领域,11.2万余家联网工业企业,服务工业互联网相关平台150余个,发现联网设备近900万台套,初步具备工业互联网安全态势感知能力。同时,各地充分发挥区域政策、技术资源优势,不断提升省级监测平台覆盖范围和监测能力。如,江西省制定出台了《江西省地市级和行业级工业互联网安全监测与态势感知平台建设指南》,并利用专项资金支持,启动建设地市级安全平台以及电力、有色等行业级安全态势感知平台,进一步加强了工业互联网安全态势感知体系的监测基础和行业服务能力。为进一步强化工业互联网领域信息共享及网络安全事件协同应对能力,目前,基于国家、省、企业三级协同的工业互联网安全技术监测体系,行业主管部门、第三方专业机构、行业企业及安全厂商等政企各方正联合建设贯通网络安全风险监测、信息研判、事件通报、应急处置等能力的闭环工作机制,今年以来,累计研判工业企业及疫情相关企业威胁信息900多例,在疫情防控和复工复产方面发挥了积极作用。
2工业互联网安全现实问题与产业发展现状
2.1工业互联网平台和数据安全成为焦点
工业互联网平台作为工业全要素链接的枢纽与工业资源配置的核心,连接大量工业系统、现场设备和网络基础设施,承载系统业务、海量数据以及大量工业App,提供多种API接口,扩大了网络攻击面。目前,基于Android系统和工业微服务架构的工业App在工业互联网中已经得到了广泛的应用,但原生操作系统开发不规范、安全开发能力缺乏、安全开发意识不高,導致工业App安全漏洞和安全问题频发。同时,工业App在设计开发时往往更多关注功能性,而忽略了安全性。据统计,目前国内近60%的工业企业在使用明文密码,平均每个工业应用站点存在5个高危漏洞,平均每个工业App有4个以上安全问题。随着工业领域网络化、智能化的推进,工业App的推广应用范围将会进一步拓展,目前,我国工业App数量高达35万个,预计到2025年工业App将达到百万规模,工业App带来的安全隐患值得各方重视[1]。
2.2安全产业生态供给有待加强
目前,我国工业互联网安全龙头企业尚未形成,缺乏面向工业互联网的体系化、针对性的安全防护产品和解决方案。有关机构相关研究表明,工业互联网安全产业在工业互联网核心产业中的占比仅为0.5%,明显低于国外网络安全产业发展水平,主要存在两方面的问题:一是现有网络安全产品和解决方案同质化严重,针对流程工业、离散工业的差异化特点,以及“5G+工业互联网”等融合创新领域典型场景应用,缺乏针对性的安全产品和解决方案。二是工业互联网安全人才培养、公共服务、评估评测等服务体系还有待进一步健全完善。此外,我国工业互联网应用深度已从基础的实时状态监测扩展到系统性的智能化分析,工业互联网交叉领域高精尖专家人才、创新型技术人才、应用型技能人才等严重短缺。
3工业互联网安全隐患问题的防范措施
3.1健全和完善工业互联网安全问题的法律法规
首先要通过完善安全问题的法律法规,为工业互联网行业提供切实的法律依据和保障。由于,目前工业互联网行业存在很多的不确定性,这就更需要从业人员提高自身的道德水平和职业素养,齐心协力创造良性的市场环境。同时政府有关部门应通过建立严格的审查机制和市场准入制度,加大对一些国内厂商的网络系统的支持力度。在发现涉及到国家利益的网络信息时,要及时高效的汇报给有关部门并且保持跟进。通过不断健全工业互联网的法律法规,来保证工业行业的持久稳定的发展[2]。
3.2加强工业计算机系统的安全管理
在目前不法分子越来越猖獗的情况下,要加强网络安全的管理力度,避免造成经济损失。采用多种机制去应对可能面临的网络系统安全问题,如通过建立相关的备份数据库和防火墙来提高工业计算机网络系统的防护措施,同时采用一些针对性的措施来提升系统安全性,从更高层次上确保行业的安全。最好加大对工业计算机网络的投入,建立更为科学的计算机网络安全监控机制,统一工业行业的安全标准,增强政府和工业行业的威信。同时利用好媒体加强人民群众的信息安全知识的普及,建立工业信息安全举报平台,联合运营商屏蔽非法链接,共同维护工业市场的良好发展。 3.3开展工业计算机网络安全专题培训
通过开展工业计算机网络的专题培训,可以让员工更深刻的意识到计算机网络安全的重要性,同时学习一些网络安全防范的基础措施,有助于提升安全的网络运行环境。在培训时,培训人员通过一些理论知识结合实际案例,向现场的工作人员展示网络攻击的一些基本手段,及后续带来的后果,以此提高大家的网络安全意识[3]。
3.4建立统一的安全接口标准
继工信部印发《工业互联网创新发展行动计划 (2021—2023 年 )》,基于 11 项重点任务对今后3年工业互联网的重点工作内容作出部署后,今年 3 月国家发改委副主任宁吉喆表示,在新型基础设施方面,今年将出台“十四五”新型基础设施建设规划,大力发展数字经济,拓展5G应用,加快工业互联网、数据中心的建设。全国各地紧追“风口”,积极促进工业互联网行业发展,推动工业互联网在重点行业推广应用,建设工业互联网发展示范区,推动骨干网、城市网、园区网、企业网全面升级,打造一批工业互联网产业园区。随着人工智能、5G 等新一代信息技术与工业互联网的融合应用,设备联网、企业上云加速风险领域的扩展,网络攻击面不断扩大,推动工业互联网安全防护工作逐步向动态协同转变,风险挑战进一步升级。安全保障的根本目的是风险管控,即通过最优的手段(或者手段的组合)将风险控制在低水平。盘和林提到,实现工业互联网安全要在法律法规上着重完善,制定一套可覆盖工业安全风险和网络安全风险的统一的风险接受原则和评价标准,做好顶层设计和系统谋划,结合各地实际,突出重点,分步协同推进,加快构建工业互联网安全保障体系,确保安全工作落实到位。打击不正当窃取和篡改数据竞争的行为,同时对违法行为要加大处罚力度,完善赔偿制度。“统一标准有好处,比如接口更加通用,技术推进更快。但企业可能有两方面顾虑:一方面,企业担心自己独有的技术开拓被同化,从而失去技术上的差异性领先优势;另一方面企业怕标准化的数据接口会被竞争对手利用,增加了数据风险。但统一工业互联网安全接口标准是大势所趋。”盘和林认为,工业互联网属于跨学科领域,要做到安全风险可接受准则和评价标准的科学,技术上可行,虽然需要时间,但应用上可操作,可以由数据安全企业、工业互联网云服务企业主导推进标准的方式更为合理。“企业在技术基础上,更了解市场,所以推进标准的可行性也更强[4]。
3.5发展智慧工业互联网的建议
一是加快创新体系的建设,特别是企业为中心的“政产学研金用”结合的技术创新体系的建设;二是加快各类人才培养,特别是加快培育产教融合、复合型工业互联网领域人才培育;三是加快国家/地方基础建设,特别是重视适时、安全、服务化的泛在网络(如5G、天地一体化互联网络)建设;四是加快国家/地方政策的完善与落实,特别是加快推动数据产业立法,完善与落实数据开放共享机制及工业数据安全的政策;完善与落实对中小微企业数字化支持政策;五是加快攻克短板,实现我国自主“技术、应用、产业”的协调发展,特别是大力开发异构工业互联网平台融通及制造工具软件的技术与产品;充分培育发展以数字孪生为重要载体的新一代工业APP专件技术与产品;重视研发支持工业2.0/3.0/4.0同步发展的跨领域、跨行业、跨区域工业互联网系统等。六是加快国内外开放合作,特别是我国自主产业链间的开放与合作[5]。
3.6加強产业协同和价值牵引
当前,“5G+工业互联网”已成为工业互联网创新最为活跃的领域之一,二者融合产生的倍增效应和巨大应用潜力正加速释放。沈德明表示,企业应当尽早并且积极地进行探索和部署。但他也指出,目前 5G的各项标准、技术产业生态尚未完全成形,企业在利用 5G改造工业互联网内网时需找准应用领域,在适用的领域中加强技术和应用的创新。“十四五”规划明确提出,规划期间“5G+工业互联网”的最大目标就是“实效”。两者如何从各领域分别进展转化到整体产业效果,沈德明认为,产业协同和价值牵引是关键。 这就要求“5G+工业互联网”需要在构建“5G+”安全生态、提升工业互联网防护水平的基础上,在基础网络能力、行业终端和行业应用这几个关键领域持续创新,夯实“5G+工业互联网”发展的基础。
与此同时,“5G+工业互联网”不能“闭门造车”,沈德明表示,这不仅需要网络、运营支撑系统、行业合作伙伴的共同协作和深度融合,还需要 5G网络与行业具体业务场景、行业生态深度融合和协作,才可以使能 5G创造价值。
结束语
对于企业,一次安全事件带来的损失就可能超过安全的整体投入,与此同时随着企业自动化、智能化的发展,安全迎来巨大挑战。将“零信任”应用到安全体系的构建中,贯彻到员工的安全认知中;通过实现态势感知、隔离、防御、移除、备份等技术的智能联动,可实现安全闭环,构建可信网络,助力业务稳定运行[6]。
参考文献
[1] 张静;;互联网安全存在的问题及对策——以“棱镜门”事件为视角[J];江西警察学院学报;2014(04)
[2]明丽宏;我国互联网安全问题及解决措施[J];职业技术;2005(02)
[3]康翠翠;;浅析互联网技术在社会发展中的作用[J];农业科技与信息;2018(11)
[4];举行互联网安全应急演练[J];中国信息安全;2017(02)
[5] ;360互联网安全大会2016文集[J];网络与信息安全学报;2017(04)
[6]李海龙;;移动互联网安全测评关键技术的分析与研究[J];网络安全技术与应用;2017(05)
[7]陈芳;;融媒体背景下移动互联网安全研究[J];科技传播;2017(14)