近日,工業和資訊化部聯合教育部、人力資源社會保障部、生態環境部、衛生健康委員會、應急管理部、國有資産監督管理委員會、國家市場監管總局、國家能源局、國防科技工業局等十部委共同印發了《加強工業網際網路安全工作的指導意見》(以下簡稱《安全指導意見》),體系化推進工業網際網路工作。《安全指導意見》清晰地界定了工業網際網路安全保障體系初步建立的近期目標和遠期目標,為工業網際網路建立依法共建共治共用的安全體系打下基礎。
《安全指導意見》從工業網際網路安全的幾個方面的入手,分別提出了切實可行的目標。並且提出了以下關鍵任務:推動工業網際網路安全責任落實,構建工業網際網路安全管理體系,提升企業工業網際網路安全防護水準,強化工業網際網路數據安全保護能力,建設國家工業網際網路安全技術手段,加強工業網際網路安全公共服務能力,推動工業網際網路安全科技創新與産業發展。
針對《安全指導意見》中的主要任務,有以下幾方面需要我們強化和完善:
目前,我國的工業企業已經提高了自身對安全的重視程度,關注工業網際網路安全建設,也願意在安全方面進行投入,這對工業網際網路安全責任落實有著極大的好處。但是,目前企業對自身安全狀況缺乏了解,無法得到一個適合自身的解決方案,在安全方面的投入主要集中在購買防護類産品,並沒有根據自身情況量身定制的相關防護。當然,這些也有賴於相關工業網際網路安全産業企業的發展,才能促進工業企業的安全建設。
構建工業網際網路安全管理體系需要自上而下逐層推進,通過構建涵蓋工業全系統的安全防護體系,打造滿足工業需求的安全技術體系和相應管理機制,識別和抵禦來自內外部的安全威脅,化解各種安全風險,是工業網際網路可靠運作,實現工業智慧化的安全可信保障。
提升企業工業網際網路安全防護水準,從防護對象、防護措施及防護管理三個維度構建工業網際網路安全,針對不同的防護對象部署相應的安全防護措施,根據實時監測結果發現網路中存在的或即將發生的安全問題並及時做出響應,並通過加強防護管理,明確基於安全目標的可持續改進的管理方針,從而保障工業網際網路的安全。其中,IPv6的部署,5G網的建設,IaaS、PaaS、SaaS平臺的使用,都是需要關注的重點。在安全防護過程中,需要跨行業的聯合,各相關企業的配合,除了保障自身安全之外,還需要對各方相關介面處進行安全評估,以保障整體運作的安全性。
工業網際網路數據安全保護能力的提升,需明確數據收集、存儲、處理、轉移、刪除等環節安全保護要求,在加快推動數據資源開放共用和開發應用的同時,必須建立工業網際網路數據安全保障體系,構築適應工業網際網路數據發展的法規制度,健全工業網際網路數據時代資訊安全新秩序。
在建設國家工業網際網路安全技術手段方面,目前工業網際網路安全攻防演練相關工作需要進一步加強,從事相關工作的企業對其理解不夠,攻防對抗技術研發還不深入。工業網際網路安全技術研發是我國工業網際網路産業自主發展的關鍵驅動,同時也是工業網際網路安全標準的制定和落地實施的重要支撐。建議加強工業網際網路安全技術研究,包括入侵檢測、安全態勢感知、網路攻擊取證、威脅情報分析等,特別要重視主動防禦關鍵技術的研究。
開展工業網際網路安全評估認證,需要摸索一個合適的安全評價體系。針對當前缺乏工業網際網路安全檢測評估標準的問題,需要通過對工業網際網路安全現狀、安全需求和攻防技術的深入調研,全面分析工業網際網路可能存在的安全隱患,確定工業網際網路安全審查和檢測評估的方向和重點,梳理和細化安全審查和檢測評估內容,編制可量化、可操作的工業網際網路安全審查和檢測評估技術要求和測試評價方法相關標準。
我國工業網際網路安全領域的安全技術和産品主要依賴於國外廠商,尚未形成完整的安全服務産業生態體系。推動工業網際網路安全科技創新與産業發展,需要産學研相結合,而目前工業企業——廠商——科研機構的鏈條不暢,缺乏促進合作的相關項目。應注重開放創新,加強工業網際網路各類行業客戶、專業服務企業之間的協同合作,發揮其在所屬領域的知識經驗和資源優勢,形成一系列重量級工業應用。
《安全指導意見》指出了我們加強工業網際網路安全指導思想、基本原則和總體目標,並給出了主要任務,從政策法規方面對工業網際網路安全建設給出了支援,進一步完善了工業網際網路安全管理的體制機制。加強工業網際網路安全是一項必要性、系統性、前瞻性的工作,相信《安全指導意見》將進一步凝聚包括企業界、學術界等在內的社會各界共識,形成共同參與、協同推進的良好局面。(作者姚羽博士係東北大學教授、博士生導師,複雜網路系統安全保障技術教育部工程研究中心主任,中國工業網際網路研究院特邀專家)
