隨著工業(yè)數(shù)字化�����、網(wǎng)絡化與智能化的推進,以5G����、工業(yè)互聯(lián)網(wǎng)、人工智能與大數(shù)據(jù)����、云計算與邊緣計算等為代表的新興技術(shù)加快向工業(yè)生產(chǎn)領(lǐng)域滲透融合,在帶來工業(yè)生產(chǎn)體系與運營模式等的變革��,為工業(yè)生產(chǎn)發(fā)展注入強勁動力的同時����,也對工業(yè)信息安全等帶來新的挑戰(zhàn),使得工業(yè)信息安全風險持續(xù)攀升���,工業(yè)信息安全事件層出不窮����,工業(yè)信息安全形勢也日趨嚴峻�����。
工業(yè)信息安全是工業(yè)領(lǐng)域信息安全的總稱。國家工業(yè)信息安全發(fā)展研究中心主任尹麗波在《深刻把握新時期工業(yè)信息安全的內(nèi)涵��、特點和重點》一文中指出�����,“工業(yè)信息安全的本質(zhì)是確保完成工業(yè)生產(chǎn)任務的流程不被篡改或破壞���,實現(xiàn)正常的生產(chǎn)過程��、完成既定的生產(chǎn)目標���,且生產(chǎn)執(zhí)行過程的要素流動不被監(jiān)控或盜取;工業(yè)信息安全防護的目標是工業(yè)企業(yè)生產(chǎn)所需的通信網(wǎng)絡和互聯(lián)網(wǎng)服務不中斷�����,工業(yè)生產(chǎn)設備�、控制系統(tǒng)、信息系統(tǒng)可靠正常運行�����,貫穿其中的數(shù)據(jù)不因偶然的或者惡意的原因遭受破壞�、更改、泄露��,工業(yè)生產(chǎn)和業(yè)務的連續(xù)性得到保障���?��!?/span>工業(yè)信息安全涉及工業(yè)領(lǐng)域各個環(huán)節(jié),一般而言����,包括工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全�����、工業(yè)大數(shù)據(jù)安全����、工業(yè)云安全、工業(yè)電子商務安全�、關(guān)鍵信息基礎(chǔ)設施安全等內(nèi)容。與傳統(tǒng)網(wǎng)絡安全相比����,工業(yè)信息安全有很大的不同���。工業(yè)系統(tǒng)的目標價值更高,其安全系統(tǒng)的復雜程度也遠遠高于傳統(tǒng)的IT網(wǎng)絡系統(tǒng)�,在保障目標對象、安全需求等方面也具有其特殊性�,其保護需求往往融合考慮了信息安全、功能安全和生產(chǎn)安全等多種安全需求��,更側(cè)重于維護生產(chǎn)運行過程的可靠穩(wěn)定����。
此外,其風險來源更多��,發(fā)生安全事件造成的后果也更為嚴重����,不僅能造成設備故障、系統(tǒng)癱瘓��、生產(chǎn)停滯�����,甚至還能引發(fā)安全事故,造成環(huán)境污染���,導致人員傷亡。當前����,隨著工業(yè)數(shù)字化、網(wǎng)絡化�����、智能化與服務化的加速發(fā)展��,工業(yè)信息安全整體面臨的形勢與挑戰(zhàn)也日趨嚴峻��。
① 工業(yè)信息安全相關(guān)標準仍有缺失
工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡安全�、數(shù)據(jù)安全、平臺安全等標準仍在制定中��;工業(yè)大數(shù)據(jù)相關(guān)安全標準仍有待完善����;而且也尚未有正式發(fā)布的工業(yè)信息安全體系框架類標準,難以有效指導工業(yè)信息安全建設����。
② 信息安全重視程度不夠
工業(yè)企業(yè)普遍重發(fā)展�、輕安全��,對工業(yè)信息安全重視度不夠�,不僅缺乏有效的信息安全管理機制與應對措施,資金與人員投入也不足�����,造成工業(yè)信息安全防護能力滯后于工業(yè)發(fā)展能力����。
③ IT與OT安全管理難以有效協(xié)同
很多工業(yè)企業(yè)中,IT與OT設備及系統(tǒng)通常分屬于不同的部門來管理�,彼此獨立,各自為政��,造成IT與OT技術(shù)人員的安全技能與動機存在顯著的差異����,在工業(yè)信息安全防護上也難以實現(xiàn)有效協(xié)同。
④ 安全人才缺乏�����,安全技能有限
OT設備須保證全天候不間斷的高可用性,往往不允許頻繁調(diào)試��,加之OT設備普遍存在安全漏洞���,然而由于安全人才嚴重匱乏��,安全防護技能有限,也增加了工業(yè)信息安全防護上的困難�。
⑤ 安全防護與監(jiān)管責任難劃分
工業(yè)互聯(lián)網(wǎng)、工業(yè)大數(shù)據(jù)����、工業(yè)云等涉及的安全責任主體眾多,一旦發(fā)生信息安全事件�,各方的安全責任難以界定;而且監(jiān)管職能分散于多個行業(yè)主管部門�,缺乏責權(quán)清晰的監(jiān)管體系。
⑥ 工業(yè)領(lǐng)域成為網(wǎng)絡攻擊重災區(qū)
近年來����,大規(guī)模、高強度的工業(yè)信息安全事件頻發(fā)����,工業(yè)領(lǐng)域成為網(wǎng)絡攻擊重災區(qū)。隨著工業(yè)企業(yè)價值密度增大、網(wǎng)絡依賴性提升�,將愈發(fā)成為勒索者等的“理想目標”。面對日益嚴峻的工業(yè)信息安全形勢�����,一方面國家應加緊制定工業(yè)互聯(lián)網(wǎng)�、工業(yè)大數(shù)據(jù)、工業(yè)云等相關(guān)工業(yè)信息安全政策與標準�����,構(gòu)建責任清晰��、制度健全的監(jiān)管體系����;另一方面工業(yè)控制設備與系統(tǒng)廠商,工業(yè)云平臺�����、工業(yè)大數(shù)據(jù)平臺��、工業(yè)互聯(lián)網(wǎng)等產(chǎn)品與平臺提供商應提升產(chǎn)品與平臺服務的安全性及安全保障能力��;同時,工業(yè)企業(yè)也應提升信息安全防護意識及能力�,變被動防御為主動防御,建立起有效的安全管理及應對機制��。必要時也可與專業(yè)的工業(yè)信息安全服務商合作�����,共同筑牢工業(yè)信息安全防線���。目前,針對工業(yè)信息安全的威脅與風險�����,其防護策略主要包括:
