随着工业数字化、网络化与智能化的推进,工业信息安全风险持续攀升,工业信息安全事件层出不穷,工业信息安全形势也日趋严峻。工业信息安全是工业领域信息安全的总称。工业信息安全防护的目标是工业企业生产所需的通信网络和互联网服务不中断,工业生产设备、控制系统、信息系统可靠正常运行,贯穿其中的数据不因偶然的或者恶意的原因遭受破坏、更改、泄露,工业生产和业务的连续性得到保障。工业信息安全涉及工业领域各个环节,包括工业控制系统安全、工业互联网安全、工业大数据安全、工业云安全、工业电子商务安全、关键信息基础设施安全等内容。与传统网络安全相比,工业信息安全有很大的不同。工业系统的目标价值更高,在保障目标对象、安全需求等方面也具有其特殊性,更侧重于维护生产运行过程的可靠稳定。
发生安全事件造成后果更为严重,不仅能造成设备故障、系统瘫痪、生产停滞,甚至还能引发安全事故。
① 工业信息安全相关标准缺失
工业互联网的网络安全、数据安全、平台安全等标准仍在制定中;工业大数据相关安全标准仍有待完善。
② 信息安全重视程度不够
工业企业普遍重发展、轻安全,对工业信息安全重视度不够,不仅缺乏有效的信息安全管理机制与应对措施,资金与人员投入也不足。
③ IT与OT安全管理难以协同
很多工业企业中,IT与OT设备及系统通常分属于不同的部门来管理,彼此独立,各自为政,在工业信息安全防护上也难以实现有效协同。
④ 安全人才缺乏
OT设备须保证全天候不间断,往往不允许频繁调试,加之OT设备普遍存在安全漏洞,由于安全人才严重匮乏,增加了工业信息安全防护上的困难。
⑤ 安全防护与监管责任难划分
工业互联网、工业大数据、工业云等涉及的安全责任主体众多,监管职能分散于多个行业主管部门,缺乏责权清晰的监管体系。
