2月1日,2018工業網際網路峰會在北京舉行,這是工業網際網路領域最高規格的會議,在整個峰會期間,安全被提到了前所未有的高度,與網絡、平臺並列成為工業網際網路的三大功能體系,從副總理、部長一直到參會的工業企業、研究機構、安全企業,「三大體系」成了大家關注和討論工業網際網路的基礎。
工業網際網路是中國工業超越的機會
以網際網路為載體的新技術融合為典型特徵的第四次工業革命正在以空前的速度、深度和廣度席捲全球,無論是德國的「工業4.0」,美國的「再工業化」,還是「中國製造2025」,核心都是將工業網際網路作為戰略著力點。
工業網際網路是連接工業全系統、全產業鏈、全價值鏈,支撐工業智能化發展的關鍵基礎設施,是網際網路從消費領域向生產領域、從虛擬經濟向實體經濟拓展的核心載體。發展工業網際網路已經成為各國搶佔全球產業競爭新制高點、重塑工業體系的共同選擇。
「中國擁有世界上最為完備的工業體系,也是全球最大的工業體系,但發展質量和競爭能力與美德等發達國家存在一定差距,有著巨大的轉型升級潛能和需求。同時,我國也擁有全球最大的ICT產業體系,不少領域已具備較高的發展水平,尤其是網際網路發展迅猛,業務創新非常活躍,在消費端湧現出了大量新模式新業態。如果把二者融合,促進雙方協同創新,工業網際網路應該是一個重要的突破口。」工業網際網路產業聯盟秘書長、中國信息通信研究院總工程師餘曉輝日前這樣描述了工業網際網路對於中國的發展機會。
2017年11月27日,國務院印發《關於深化網際網路+先進位造業發展工業網際網路的指導意見》,將工業網際網路定位工業轉型升級的頂層設計,提出2018年到2020年我國將加速推進工業網際網路的建設、發展和應用。
習近平總書記在中央政治局就實施國家大數據戰略進行第二次集體學習時,專門強調要深入實施工業網際網路創新發展戰略,系統推進工業網際網路基礎設施和數據資源管理體系建設。
國務院副總理馬凱在2018工業網際網路峰會上致辭中指出,工業網際網路是新工業革命的關鍵支撐和智能製造的重要基石。工業網際網路通過實現人、機、物的全面互聯,促進位造資源泛在連接、彈性供給和高效配置,正在推動製造業創新模式、生產方式、組織形式和商業範式的深刻變革,推動全球工業生態體系的重構迭代和全面升級。
馬凱強調,要把握新工業革命戰略機遇,充分認識加快發展我國工業網際網路的重要意義。
工業和信息化部總經濟師王新哲在2018工業網際網路峰會上透露,要發揮好製造大國和網絡大國的雙重優勢,努力開創工業網際網路發展的新局面,為促進實體經濟高質量發展,推動現代經濟體系建設提供有力的支撐。為此,工信部將在2018年實施工業網際網路三年行動計劃,並啟動首期工程。
安全是工業網際網路最重要的三大任務之一
伊朗核設施遭遇震網病毒攻擊、烏克蘭電廠因黑客攻擊導致大面積停電、永恆之藍勒索病毒致使全球多家汽車等生產企業停產等一系列事件說明,安全已經成為工業網際網路發展中首要考慮的問題。
工業網際網路推動當前以「人與人」連接為核心的網際網路走向「人-機-物」全面互聯,極大擴展了網絡空間的邊界和功能,也打破了工業控制系統傳統的封閉和強調高可靠性的格局,使工控系統信息安全問題大量暴露出來,線上線下安全風險交織疊加放大,安全形勢更為複雜,極大威脅到了工業企業、民生、國民經濟、甚至國家發展的安全。
因此在國務院印發的《關於深化網際網路+先進位造業發展工業網際網路的指導意見》中,提出了構建網絡、平臺安全三大功能體系,明確了工業網際網路發展和安全的主攻方向和重大任務,強化了安全在工業網際網路發展中的地位。這個定位直接響應了習近平總書記對信息化與網絡安全的定位:網絡安全和信息化是一體之兩翼、驅動之雙輪。
《意見》也明確提出提升工業網際網路安全防護能力、建立數據安全保護體系、推動安全技術手段建設等安全保障要求,工業網際網路的安全防護要充分考慮新的工業屬性需求,同步推進產業發展和安全防護,將安全體系建設作為工業網際網路發展的重要組成部分。
安全是工業網際網路發展的基本保障,馬凱副總理在2018工業網際網路峰會上再次強調要著力構建網絡、平臺、安全三大功能體系。
工信部部長苗圩表示,2018年將深入實施工業網際網路創新發展戰略,開展工業網際網路發展的323行動。其中,第一個「3」,是打造網絡、平臺、安全三大體系。
為推動工業網際網路安全,2017年12月12日,工信部繼《工業控制系統信息安全防護指南》、《工業控制系統信息安全事件應急管理工作指南》、《工業控制系統信息安全防護能力評估工作管理辦法》等指導文件後,再次發布《工業控制系統信息安全行動計劃(2018-2020)》。
該文件明確了工信部在工業控制系統信息安全方面未來3年的工作重點和方向,特別明確了建立多級聯防聯動的工控安全工作機制,具體細化為一網一庫三平臺的技術保障體系和監管機制。一網一庫三平臺,即全國工控安全在線監測網絡,全國工控安全應急資源庫,仿真測評平臺、信息共享平臺、信息通報平臺。
工業網際網路面臨的安全挑戰
工業和信息化部網絡安全管理局陸建文副局長在2018工業網際網路峰會的工業網際網路安全與產業應用論壇上分析了工業網際網路的安全威脅,他認為工業網際網路具有開放、互聯、跨域、融合等特點,這是工業網際網路的獨特優勢,也是工業網際網路發展的一個重要前提和基礎。同時也帶來了安全的難題,因為它打破了以往相對清晰的安全邊界。
特別是與網際網路相連後,既面臨來自網際網路的外部威脅,又與工業生產等內部安全問題相互交織,屬於融合發展網絡安全新威脅,一旦出現安全問題起碼有三個層次;第一個層次就是會造成工業企業內部社會或服務中斷,信息洩露等影響,造成安全生產事故,安全生產事故是個大問題;第二個層次如果發生在航空航天、石油化工、能源軍工等重要領域,會嚴重影響國家關鍵信息基礎設施的運行安全。第三個層次嚴重的還會及國家安全、國計民生和公共利益。
工業控制系統安全國家地方聯合工程實驗室和360威脅情報中心聯合發布的《工業信息安全態勢報告》分析了IT/OT一體化融合帶來的安全挑戰。
隨著IT/OT(信息技術和操作技術)一體化的逐步推進,工業控制系統越來越多地與企業網和網際網路相連接,形成了一個開放式的網絡環境。工控系統網絡化發展導致了系統安全風險和入侵威脅不斷增加,面臨的網絡安全問題也更加突出。由於工控網絡系統環境的特殊性,傳統的IT信息安全技術不能直接應用於工業控制網絡的安全防護。然而,工業控制系統又應用於國家的電力、交通、石油、取暖、製藥等多種大型製造行業,一旦遭受攻擊會帶來巨大的損失,因此需要有效的方法確保工控系統的網絡安全。
安全漏洞,是工業控制系統面臨的首要安全問題。根據美國工業控制系統網絡緊急響應小組(ICS-CERT)最新統計報告,2015年漏洞總數為486個,2016年美國關鍵基礎設施存在492個安全漏洞。根據公開的ICS漏洞數的年度變化趨勢來看,工控安全漏洞逐年增加。
自2000年1月截止到2017年12月,根據我國國家信息安全漏洞共享平臺(CNVD)統計,所有的信息安全漏洞總數為101734個,其中工業控制系統漏洞總數為1437個。2017年CNVD統計的新增信息安全漏洞4798個,工控系統新增漏洞數351個,均比去年同期有顯著增長;其中,高危漏洞佔比最高,達到53.6%。中危漏洞佔比42.4%,其餘4.0%為低危漏洞。
根據態勢報告的分析,對於傳統IT網絡安全,保密性優先級最高,其次是完整性、可用性。工業網絡則有明顯的不同,工業網絡更為關注的是系統設備的可用性、實時性。由於IT系統和OT系統之間存在的眾多差異,當工業網際網路的IT/OT進行融合時會帶來很多安全挑戰,包括暴露在外的攻擊面越來越大,作業系統安全漏洞難以修補,軟體漏洞容易被黑客利用,惡意代碼不敢殺、不能殺,DDOS攻擊隨時可能中斷生產,高級持續性威脅時刻環伺等。
此外,一些安全挑戰還來源於工業系統自身安全建設的不足,諸如工業設備資產的可視性嚴重不足,很多工控設備缺乏安全設計,設備聯網機制缺乏安全保障,IT和OT系統安全管理相互獨立操作困難,生產數據面臨丟失、洩漏、篡改等安全威脅。
誰來保護工業網際網路的安全
作為工業網際網路三大體系之一,安全是工業網際網路健康發展的前提和保障。國務院下發的《關於深化網際網路+先進位造業發展工業網際網路的指導意見》中,明確提出了工業網際網路安全工作內容,從制度建立、標準研製、安全防護、數據保護、手段建設、安全產業發展、人員培養等七個方面,建立涵概設備安全、控制安全、網絡安全、平臺安全、數據安全的工業網際網路多層次安全保障體系。
2018工業網際網路峰會的工業網際網路安全與產業應用論壇上,來自工信部、信通院、海爾、上汽集團、富士康、樹根互聯、航天雲網、360等工業網際網路平臺企業、製造企業、設備提供商、安全企業都從不同的角度提出了工業網際網路安全的實踐應用和解決方案。
信通院安全所田慧蓉博士介紹了即將發布的《工業網際網路安全框架白皮書》,提出從明確對象進行分類部署安全措施、建立動態安全模型、技術手段+管理手段相結合的安全模型入手,設計工業網際網路安全框架,分設備安全、控制安全、應用安全、網絡安全、數據安全、監測感知、處置恢復7個步驟來實施對工業網際網路整體的安全防護。
海爾集團首席信息官、首席數據官殷皓分享了海爾的COSMAPlat平臺的安全保護實踐,以及基於海爾的工業網際網路安全監測與防護平臺海安盾建立安全體系的經驗,這套體系的核心是建立安全運營中心,將所有安全防護設備和措施形成體系實現整體防護,海安盾和公安、政府有關部門實時連接,還有生態合作夥伴360威脅情報的實時輸入。
工業控制系統安全國家聯合實驗室主任、360企業安全集團工業安全事業部總經理陶耀東分享了建立數據驅動的工業網際網路自適應安全體系的方法論,提出了安全體系建設中要遵循架構安全、被動防禦、積極防禦、威脅情報和進攻反制五個階段疊加演進的方式推進,逐步構建積極防禦能力;地區、行業和企業分級建立工業安全運營中心(IISOC)從安全運營,通過安全運營實現安全能力落地,實現安全防護能力的提升。陶耀東表示,360將發揮產業引領作用,積極與政府、工業企業、安全行業、高校和研究機構合作,共同打造工業網際網路安全生態,提升我們國家工業網際網路的安全防護的整體能力和水平。
富士康集團信息安全部主管王國瑋介紹,在富士康分實體安全、工業網際網路的DMZ、工業網際網路邊界三個層面對數據和系統進行安全防護,在數據安全層面強調對于勒索病毒的防治或是未知威脅的防治,數據防洩露、訪問控制、自動化備份;系統安全層級是動態配置管理,統一部署管理,快速還原。在這個過程中,富士康和360等網絡安全廠商緊密合作,建立完整的工業網際網路安全防護體系。
工業網際網路安全要保護的範圍很關,涉及領域也很寬,做好工業網際網路的安全防護,需要政府、工業企業、網絡安全企業、科研機構、高校協同合作,建立完整的安全產業生態。
工業和信息化部網絡安全管理局陸建文副局長認為,產業協同是工業網際網路安全的重要生態保障,我們會推動營造有利於工業網際網路安全產業發展的生態環境,吸引企業、人才等力量,投入到工業網際網路安全事業中,增強工業網際網路安全產業上遊技術研發與下遊推廣應用的有效銜接,共同打造政、產、學、研、用、投資一體化的工業網際網路安全產業鏈,推動工業網際網路產業高端化、體系化發展。