以測促用，從工控本質看工業互聯網安全

近日，工信部等十部門聯合印發《加強工業互聯網安全工作的指導意見》，明確了構建工業互聯網安全保障體系的主要任務。提出了具體目標，到2020年底，初步建成國家工業互聯網安全技術保障平臺、基礎資源庫和安全測試驗證環境。

國務院印發的《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》指出，工業互聯網通過系統構建網絡、平臺、安全三大功能體系，打造人、機、物全面互聯的新型網絡基礎設施，形成智能化發展的新興業態和應用模式，是推進制造強國和網絡強國建設的重要基礎，是全面建成小康社會和建設社會主義現代化強國的有力支撐。

近年來，兩化深度融合催生互聯網在工業控制系統中的應用，打破了傳統工業控制系統相對封閉可信的環境，將互聯網上的傳統安全威脅滲透進了工業領域，使得網絡型攻擊可以直達生產現場，造成生產中斷甚至危及人員生命。針對工業控制系統的各種安全事件日益增多。例如，烏克蘭氯氣站被攻擊、委內瑞拉全國性斷電等安全事件，目前通過網絡攻擊，“勒索病毒”可以直接利用被控制的控制器進行勒索，在工廠側，被“鎖屏勒索”的安全事件也屢見不鮮。

近日，工業和信息化部等十部委共同印發的《加強工業互聯網安全工作的指導意見》為工業互聯網安全能力建設提出了有效的發展思路，遵循其任務內容和指導思想，結合自身測評服務實踐，不斷強化能力建設，為我國工業互聯網安全進行保障。

一、從工控本質看工業互聯網安全挑戰

工業控制系統的本質目標是控制，互聯網的核心目標是交換。相較于傳統互聯網采用平等關系的點對點傳輸模式，工業互聯網多采用基于主從關系的非對等網絡。工業互聯網面臨的安全挑戰需從工業控制系統的安全防護能力的視角來看。從工業控制系統設計思路上看，工業控制系統的傳統設計都是使用專用的相對封閉可信的通信線路。但隨著工業控制系統向互聯網的轉移，與企業其他業務應用程序的整合，也越來越容易遭遇來自互聯網的攻擊，暴露了許多先天缺陷。比如基于離線系統技術要求的設計思路，沒有考慮規劃設計安全防護機制;比如由于控制器的弱計算力，只設計了對于弱計算力的防護機制。從工業控制系統運維來看，很多企業出于工業控制系統是封閉的考慮，開放了遠程調試功能，同時沒有考慮遠程調試的訪問控制，很多攻擊是利用了遠程調試的訪問控制漏洞實現滲透。從工業控制系統通信協議看，絕大多數的工業控制系統通信協議，設計之初都未考慮機密性問題，基本采用明文傳輸，且國內尚未建立自有的、安全的工業互聯網通信協議、數據交換協議。

當前，面臨嚴峻的工業互聯網安全挑戰，很多工業控制系統查漏補缺存在難度，是長久戰。明確責任，建立規范安全規程、操作準則和安全管理體系，加強意識宣貫和人才培育，逐步完善工業互聯網安全體系，顯得尤為重要。

二、從工業互聯網安全指導意見看能力提升舉措

為深入貫徹習近平新時代中國特色社會主義思想和黨的十九大精神，全面落實《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》(以下簡稱《指導意見》)部署要求，加快構建工業互聯網安全保障體系，提升工業互聯網安全保障能力，促進工業互聯網高質量發展，推動現代化經濟體系建設，護航制造強國和網絡強國戰略實施，工業和信息化部會同有關部門起草發布了《關于加強工業互聯網安全工作的指導意見》。

《指導意見》指出了企業、監管部門和專業機構的能力建設方向。在企業側，針對工業設備、工業網絡、工業互聯網平臺和工業APP四方面指導工業企業強化防護能力。強化工業設備的安全接入和防護，提升設備和控制系統的本質安全;強化工業互聯網安全，提升企業內外網的安全防護能力;強化平臺安全，針對邊緣層、IaaS層、工業PaaS層、工業SaaS層分層部署安全防護措施;強化工業APP安全，建立健全工業APP應用前安全檢測機制，強化應用過程中用戶信息和數據安全保護。在監管部門側，建設國家、省、企業三級協同的工業互聯網安全技術保障平臺，強化地方、企業與國家平臺之間的系統對接、數據共享、業務協作，打造整體態勢感知、信息共享和應急協同能力。在專業機構側，指導第三方專業機構建設工業互聯網企業持續開展安全能力評測評估服務能力。鼓勵建設檢測評估、安全監測、攻防測試、應急響應等公共服務能力，面向機械制造、電子信息、汽車、石油化工等行業領域提供安全診斷評估、安全咨詢、數據保護、代碼檢查、系統加固、云端防護等服務。

《指導意見》提出了明確責任，完善安全管理體系。落實企業主體責任，企業明確工業互聯網安全責任部門和責任人，建立安全事件報告和問責機制，保障工業互聯網安全穩定運行。構建工業互聯網安全管理體系。企業應圍繞工業互聯網安全監督檢查、風險評估、數據保護、信息共享和通報、應急處置等方面建立健全安全管理制度和工作機制，強化對企業的安全監管。明確政府監督管理責任，工業和信息化部組織開展工業互聯網安全相關政策制定、標準研制等綜合性工作，并開展行業指導、監管。地方工業和信息化主管部門指導本行政區域內應用工業互聯網的工業企業的安全工作，同步推進安全產業發展;地方通信管理局監管本行政區域內標識解析系統、公共工業互聯網平臺等的安全工作，并在公共互聯網上對聯網設備、系統等進行安全監測。生態環境、衛生健康、能源、國防科工等部門根據各自安全管理職責，開展本行業領域工業互聯網推廣應用的安全指導、監管工作。

《指導意見》提出了加快安全人才培養。深入推進產教融合、校企合作，建立安全人才聯合培養機制，培養復合型、創新型高技能人才。開展工業互聯網安全宣傳教育，提升企業和相關從業人員安全意識。

三、以測促評助力工業互聯網安全能力建設

在《指導意見》的主要任務中，提出了加強工業互聯網安全公共服務能力，開展工業互聯網安全評估認證，鼓勵和支持專業機構、安全企業等建設檢測評估、安全監測、攻防測試、應急響應等公共服務平臺，面向多個行業領域提供安全診斷評估、安全咨詢、數據保護、代碼檢查、系統加固、云端防護等服務。中國電子信息產業發展研究院依托工業控制系統安全測評共性技術工信部重點實驗室，通過已建設的國家工業控制系統安全公共技術服務、可編程邏輯控制器(PLC)安全仿真測試、工控系統通信總線安全仿真測試、主動式工控設備安全檢測及態勢感知平臺等國家級平臺，開展了石油石化、軌道交通、電力電網、鋼鐵、汽車、水處理、有色等行業領域的質量驗收、安全測評、滲透測試、標準編制、方案及設計咨詢、專項培訓、應急演練等服務，支撐部委開展工業控制系統安全檢查和安全防護能力驗證，承擔國家重大活動安全保衛工作。

通過開展工業互聯網和工業控制系統安全測評工作，以測促用、以測促改，全面推進指導意見的實施，提升我國工業互聯網的安全能力。

原文來源：工業安全產業聯盟