摘要：日前，十三屆全國人大四次會議在京開幕，國務院總理李克強向大會作了政府工作報告。政府工作報告中指出，要發(fā)展工業(yè)互聯(lián)網(wǎng)，搭建更多共性技術(shù)研發(fā)平臺，統(tǒng)籌新興產(chǎn)業(yè)布局，加強質(zhì)量基礎設施建設，以精工細作提升中國制造品質(zhì)。事實上，工業(yè)互聯(lián)網(wǎng)的發(fā)展，離不開工業(yè)化和信息化的融合，“十三五”期間，我國工業(yè)化和信息化融合步伐已經(jīng)迅速推進。本文將從新時期5G、人工智能等新一代信息技術(shù)應用背景出發(fā)，剖析作為信息化與工業(yè)化主體的工業(yè)企業(yè)如何在新時期防范網(wǎng)絡安全風險，護航工業(yè)生產(chǎn)兩化融合進程。

01 兩化融合進程中凸顯的網(wǎng)絡安全風險

新一代信息技術(shù)與工業(yè)生產(chǎn)的持續(xù)融合，強化了物理世界與信息世界的聯(lián)系，我們在享受信息化技術(shù)帶來的工業(yè)高速發(fā)展紅利之時，也面臨著嚴峻的網(wǎng)絡安全挑戰(zhàn)。

首先，兩化融合不可避免地打破了工業(yè)控制系統(tǒng)原本封閉的網(wǎng)絡邊界，攻擊者能夠從管理端、生產(chǎn)端、消費端等多個層面發(fā)起攻擊，增大了網(wǎng)絡攻擊的可能性，將信息世界的網(wǎng)絡安全威脅引入到物理世界，加劇了工業(yè)企業(yè)遭受網(wǎng)絡攻擊造成的后果，輕則導致工業(yè)生產(chǎn)線宕機停擺帶來經(jīng)濟損失，重則導致生產(chǎn)安全事故帶來人員傷亡，甚至危害國家安全。

其次，大量工業(yè)智能設備接入控制網(wǎng)絡，降低了針對工業(yè)控制系統(tǒng)的網(wǎng)絡攻擊門檻。工業(yè)智能設備基于開放化與標準化的技術(shù)架構(gòu)不可避免地會產(chǎn)生安全漏洞，通信與計算資源不足限制了自身的網(wǎng)絡安全功能。同時，工業(yè)智能設備通常分布廣泛且多數(shù)無人值守，遭受攻擊后無法及時被發(fā)現(xiàn)。

再次，工業(yè)信息的跨網(wǎng)融合與流動，使得工業(yè)企業(yè)的核心數(shù)據(jù)資產(chǎn)面臨遭受竊取、濫用或破壞的風險。工業(yè)生產(chǎn)數(shù)據(jù)涉及企業(yè)的知識產(chǎn)權(quán)、商業(yè)秘密，甚至有關(guān)國家經(jīng)濟安全等，具有高度的敏感性，發(fā)生數(shù)據(jù)安全事件會直接或間接造成重大經(jīng)濟損失。

全球范圍內(nèi)工業(yè)網(wǎng)絡安全事件層出不窮。烏克蘭和委內(nèi)瑞拉電力工業(yè)控制系統(tǒng)故障導致的大面積停電事件，導致數(shù)以百萬計的居民家中斷電。可以看出，在工業(yè)生產(chǎn)中的網(wǎng)絡安全事件雖然形式不同，但所帶來的危害都不再僅僅停留在信息世界的“軟攻擊”，而是對物理世界的“硬摧毀”，即對人民生活安定、經(jīng)濟發(fā)展、社會穩(wěn)定等帶來嚴重損害。因此，工業(yè)企業(yè)在推進兩化融合進程時面對的網(wǎng)絡空間更加復雜，網(wǎng)絡安全問題異常嚴峻。

02 網(wǎng)絡安全保障體系建設

網(wǎng)絡邊界可控性

工業(yè)控制網(wǎng)絡邊界的延伸與擴展增加了參與工業(yè)生產(chǎn)的對象種類與數(shù)量，但得益于工業(yè)生產(chǎn)環(huán)節(jié)相對的穩(wěn)定性與可預見性，我們能夠根據(jù)信息系統(tǒng)和工業(yè)控制系統(tǒng)參與生產(chǎn)作業(yè)的流程與范圍，按照生產(chǎn)制造邊界、價值傳遞邊界進行劃分，以便能夠在發(fā)生網(wǎng)絡安全威脅告警時進行有針對性的安全防控，避免威脅范圍擴大。

同時，基于數(shù)字證書、身份標識、生物特征、動態(tài)口令等多種手段，在區(qū)域邊界設置滿足相應安全要求的技術(shù)隔離與細粒度的訪問控制措施，可有效識別工業(yè)生產(chǎn)各個環(huán)節(jié)每一位參與者“是誰”、“能干什么”，并形成動態(tài)化威脅識別能力，實現(xiàn)對網(wǎng)絡邊界行為識別、確權(quán)、報警以及安全阻斷。

聯(lián)網(wǎng)工業(yè)智能設備可控性

( 1 ) 設備安全

聯(lián)網(wǎng)工業(yè)智能設備通過采用安全可信、自主可控的處理器、存儲、內(nèi)存、操作系統(tǒng)，應用密碼技術(shù)、安全算法、安全協(xié)議等措施保障自身的本質(zhì)安全。當條件受限時可以采用安全補償措施，通過應用層安全加固使工業(yè)智能設備具有一定的網(wǎng)絡安全防護能力。

( 2 ) 接入安全

工業(yè)智能設備在進行網(wǎng)絡連接時要采取準入機制，只有經(jīng)過安全驗證的設備才允許接入工業(yè)控制網(wǎng)絡，同時能夠主動識別未知接入設備所使用的端口、協(xié)議、服務等，研判安全風險并采取報警、隔離與阻斷措施，避免未經(jīng)檢驗授權(quán)的設備將惡意代碼引入工業(yè)控制網(wǎng)絡。

數(shù)據(jù)流轉(zhuǎn)可控性

工業(yè)生產(chǎn)企業(yè)的信息系統(tǒng)和工業(yè)控制系統(tǒng)歸屬于不同部門建設與使用管理，大量的工業(yè)數(shù)據(jù)分散各處，無形中產(chǎn)生了數(shù)據(jù)順暢流動的斷點，影響了工作效率和知識數(shù)據(jù)的真實性。為保障數(shù)據(jù)流動“自由化”過程中的安全性，發(fā)揮數(shù)據(jù)的最大價值，針對工業(yè)生產(chǎn)數(shù)據(jù)應采取標記用途、數(shù)據(jù)加密、訪問控制、數(shù)據(jù)脫敏等多種防護措施，覆蓋包括數(shù)據(jù)采集、傳輸、存儲、處理等全生命周期的各個環(huán)節(jié)，實現(xiàn)數(shù)據(jù)拿不到、看不懂、改不了、賴不掉。

( 1 ) 采集安全

依據(jù)工業(yè)數(shù)據(jù)的屬性，按照工藝流程數(shù)據(jù)、設備數(shù)據(jù)、業(yè)務數(shù)據(jù)、用戶個人數(shù)據(jù)的分類，依照一般數(shù)據(jù)、重要數(shù)據(jù)和敏感數(shù)據(jù)三種等級將分散在工業(yè)生產(chǎn)環(huán)節(jié)中零碎數(shù)據(jù)進行分類分級采集。

( 2 ) 傳輸安全

在數(shù)據(jù)傳輸過程中，采用相關(guān)技術(shù)手段來保證通信過程中數(shù)據(jù)的機密性、完整性和有效性，防止數(shù)據(jù)被竊取或篡改。

( 3 ) 存儲安全

依據(jù)數(shù)據(jù)的類別與安全等級，通過數(shù)據(jù)加密存儲、數(shù)據(jù)完整性保護、數(shù)據(jù)防泄漏、訪問控制等安全措施保障數(shù)據(jù)存儲安全。

( 4 ) 處理安全

數(shù)據(jù)處理和應用是工業(yè)數(shù)據(jù)價值再創(chuàng)造的核心環(huán)節(jié)，通過對工藝流程不斷迭代進而優(yōu)化尋找最短、最經(jīng)濟的生產(chǎn)路徑，將工業(yè)生產(chǎn)的關(guān)鍵技術(shù)、流程、知識、工藝積累沉淀，為工業(yè)高質(zhì)量發(fā)展提供最核心的支撐。在高價值工業(yè)數(shù)據(jù)流轉(zhuǎn)過程中采取數(shù)據(jù)防泄漏、訪問控制、完整性保護等措施，保證合法用戶對信息和資源的有效使用。

網(wǎng)絡安全狀態(tài)可控性

保障工業(yè)控制系統(tǒng)的網(wǎng)絡安全，是推進兩化融合進程的基礎。通過檢測工業(yè)網(wǎng)絡流量獲取通信行為信息，借助深度包過濾、終端安全檢測、日志審計等掌握工業(yè)控制網(wǎng)絡安全狀態(tài)，并通過聚合、關(guān)聯(lián)分析可形成全局安全態(tài)勢與威脅預警。

03 結(jié)語

兩化融合帶給工業(yè)企業(yè)的是邊界的融合、數(shù)據(jù)的融合，信息化能夠幫助工業(yè)企業(yè)快速應對市場需求。在借助新興技術(shù)提升效率的同時，有效保障工業(yè)網(wǎng)絡安全，是自動化和信息化的共同期待。今年的政府工作報告指出，將繼續(xù)推進“兩新一重”建設，實施一批交通、能源、水利等重大工程項目，建設信息網(wǎng)絡等新型基礎設施，發(fā)展現(xiàn)代物流體系。因此，工業(yè)企業(yè)做好網(wǎng)絡安全的工作顯得更加重要，兩化融合走實向深，數(shù)據(jù)價值的驅(qū)動方能蓬勃有力。

原文來源：綠盟科技