随着工业数字化、网络化与智能化的推进,以5G、工业互联网、人工智能与大数据、云计算与边缘计算等为代表的新兴技术加快向工业生产领域渗透融合,在带来工业生产体系与运营模式等的变革,为工业生产发展注入强劲动力的同时,也对工业信息安全等带来新的挑战,使得工业信息安全风险持续攀升,工业信息安全事件层出不穷,工业信息安全形势也日趋严峻。
工业信息安全是工业领域信息安全的总称。国家工业信息安全发展研究中心主任尹丽波在《深刻把握新时期工业信息安全的内涵、特点和重点》一文中指出,“工业信息安全的本质是确保完成工业生产任务的流程不被篡改或破坏,实现正常的生产过程、完成既定的生产目标,且生产执行过程的要素流动不被监控或盗取;工业信息安全防护的目标是工业企业生产所需的通信网络和互联网服务不中断,工业生产设备、控制系统、信息系统可靠正常运行,贯穿其中的数据不因偶然的或者恶意的原因遭受破坏、更改、泄露,工业生产和业务的连续性得到保障。”工业信息安全涉及工业领域各个环节,一般而言,包括工业控制系统安全、工业互联网安全、工业大数据安全、工业云安全、工业电子商务安全、关键信息基础设施安全等内容。与传统网络安全相比,工业信息安全有很大的不同。工业系统的目标价值更高,其安全系统的复杂程度也远远高于传统的IT网络系统,在保障目标对象、安全需求等方面也具有其特殊性,其保护需求往往融合考虑了信息安全、功能安全和生产安全等多种安全需求,更侧重于维护生产运行过程的可靠稳定。
此外,其风险来源更多,发生安全事件造成的后果也更为严重,不仅能造成设备故障、系统瘫痪、生产停滞,甚至还能引发安全事故,造成环境污染,导致人员伤亡。当前,随着工业数字化、网络化、智能化与服务化的加速发展,工业信息安全整体面临的形势与挑战也日趋严峻。
① 工业信息安全相关标准仍有缺失
工业互联网的网络安全、数据安全、平台安全等标准仍在制定中;工业大数据相关安全标准仍有待完善;而且也尚未有正式发布的工业信息安全体系框架类标准,难以有效指导工业信息安全建设。
② 信息安全重视程度不够
工业企业普遍重发展、轻安全,对工业信息安全重视度不够,不仅缺乏有效的信息安全管理机制与应对措施,资金与人员投入也不足,造成工业信息安全防护能力滞后于工业发展能力。
③ IT与OT安全管理难以有效协同
很多工业企业中,IT与OT设备及系统通常分属于不同的部门来管理,彼此独立,各自为政,造成IT与OT技术人员的安全技能与动机存在显著的差异,在工业信息安全防护上也难以实现有效协同。
④ 安全人才缺乏,安全技能有限
OT设备须保证全天候不间断的高可用性,往往不允许频繁调试,加之OT设备普遍存在安全漏洞,然而由于安全人才严重匮乏,安全防护技能有限,也增加了工业信息安全防护上的困难。
⑤ 安全防护与监管责任难划分
工业互联网、工业大数据、工业云等涉及的安全责任主体众多,一旦发生信息安全事件,各方的安全责任难以界定;而且监管职能分散于多个行业主管部门,缺乏责权清晰的监管体系。
⑥ 工业领域成为网络攻击重灾区
近年来,大规模、高强度的工业信息安全事件频发,工业领域成为网络攻击重灾区。随着工业企业价值密度增大、网络依赖性提升,将愈发成为勒索者等的“理想目标”。面对日益严峻的工业信息安全形势,一方面国家应加紧制定工业互联网、工业大数据、工业云等相关工业信息安全政策与标准,构建责任清晰、制度健全的监管体系;另一方面工业控制设备与系统厂商,工业云平台、工业大数据平台、工业互联网等产品与平台提供商应提升产品与平台服务的安全性及安全保障能力;同时,工业企业也应提升信息安全防护意识及能力,变被动防御为主动防御,建立起有效的安全管理及应对机制。必要时也可与专业的工业信息安全服务商合作,共同筑牢工业信息安全防线。目前,针对工业信息安全的威胁与风险,其防护策略主要包括: