一、工业互联网安全概览
工业互联网涉及网络、传感、软件、平台等六大重点领域,安全保障成为其重要一环。面临严峻挑战,一方面是工业信息基础设施屡受关注与攻击,防护压力日益加大;工业互联网安全呈现新特点,使得安全防护难度进一步提高。在此背景下,我国亟需构建一套系统的安全体系,包括安全规划、防护、运营、测评及应急保障等方面,针对性地提出安全解决方案,并通过技术试点探索其可行性。旨在提高我国工业互联网安全技术水平,切实保障工业信息安全。
二、工业互联网安全进展评述
近年来,从法规、战略规划、标准等多个维度对工业互联网安全进行全面部署。如《网络空间安全战略》提出要保护关键信息基础设施不受攻击;《制造2025》强调加强智能制造工业控制系统网络安全保障能力建设。自2017年起,网络安全法对工控系统等关键信息基础设施实施重点保护。《关于深化“互联网+先进制造业”发展工业互联网的指导意见》明确了建立安全保障体系的目标,并制定时间表和路线图。工信部也相继发布相关文件,明确工控安全防护、应急及能力评估等工作要求,构建了工控安全管理体系。
三、工业互联网典型安全问题分析
我国工业互联网安全面临多重问题:
(1)老旧工控系统漏洞频发
由于工控设备操作系统老旧且更新周期长,众多工控系统存在漏洞,易被恶意病毒或代码感染。据信息安全漏洞共享平台统计,工控系统新增漏洞数量呈上升趋势。
(2)设备数字化带来的安全隐患
随着工业互联网的发展,传统生产设备进行数字化改造,但安全防护建设速度滞后于数字化速度。这导致大量设备在互联网中,一旦被攻击者发现并利用,可能成为远程操控或DDoS攻击的“肉鸡”武器。
(3)企业内网防护不严
企业内网边界防护不严和普遍存在的安全漏洞成为渗透工业系统的跳板。Positive Technologies公司的报告指出,不少工业企业办公网络存在安全漏洞,容易被利用。
(4)数据安全问题凸显
由于数据接口和格式标准不一,增加了数据采集难度。工业互联网数据量大、种类多、结构复杂,通信缺乏加密认证,存在数据存储、传输及分析共享过程中的安全风险。
......