當前，互聯(lián)網(wǎng)技術(shù)逐漸同實(shí)業(yè)領(lǐng)域進(jìn)行融合，并以其獨特的理念影響著(zhù)實(shí)體經(jīng)濟的發(fā)展，工業(yè)互聯(lián)網(wǎng)作為互聯(lián)網(wǎng)技術(shù)應用在工業(yè)場(chǎng)景融合發(fā)展的產(chǎn)物，是國家實(shí)體經(jīng)濟的能夠蓬勃發(fā)展的新催化劑。近日工業(yè)和信息化部更是發(fā)布了《關(guān)于推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》，更是體現了國家要加快工業(yè)互聯(lián)網(wǎng)發(fā)展的需求。為深入推進(jìn)“供給側”結構調整，近年來(lái)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)迅速發(fā)展，在黨中央的領(lǐng)導下，各相關(guān)部門(mén)協(xié)同推進(jìn)，工業(yè)互聯(lián)網(wǎng)相關(guān)標準體系逐步建立健全，產(chǎn)業(yè)生態(tài)環(huán)境逐步完善，國內傳統工業(yè)企業(yè)更是孵化出了一批優(yōu)秀的工業(yè)互聯(lián)網(wǎng)平臺企業(yè)，為我國經(jīng)濟穩定高效的發(fā)展提供了強有力的支持。

工業(yè)互聯(lián)網(wǎng)在工業(yè)領(lǐng)域內絕大多數行業(yè)中發(fā)揮著(zhù)至關(guān)重要的作用是國家關(guān)鍵信息基礎設施的重要組成部分，在保證其業(yè)務(wù)穩定、持續運行的情況下，其安全工作也需要嚴格落實(shí)“三同步”原則。近兩年來(lái)，在工業(yè)和信息化部的指導下，國家工業(yè)信息安全發(fā)展研究中心（以下簡(jiǎn)稱(chēng)“我中心”）積極參與工業(yè)互聯(lián)網(wǎng)發(fā)展建設的相關(guān)工作，在工業(yè)互聯(lián)網(wǎng)安全的標準文件研究制定、監測預警、應急處置和檢測評估方面發(fā)揮了積極的作用。通過(guò)工業(yè)互聯(lián)網(wǎng)安全檢測評估等工作，發(fā)現企業(yè)存在一系列共性問(wèn)題。

一、工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)存在的主要安全問(wèn)題

通過(guò)對35個(gè)工業(yè)互聯(lián)網(wǎng)平臺安全評估分析發(fā)現：現階段我國工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)安全防護工作基本到位，安全管理制度相對完善，技術(shù)防護手段較為完備，但仍存在安全痛點(diǎn)問(wèn)題亟待解決，主要問(wèn)題如下：

（一）企業(yè)安全管理保障體系亟需健全。多數企業(yè)網(wǎng)絡(luò )安全管理保障體系存在以下三個(gè)方面的問(wèn)題：首先是針對性管理制度缺失，大多數企業(yè)未建立結合生產(chǎn)應用場(chǎng)景的工業(yè)互聯(lián)網(wǎng)安全管理制度，安全應急預案不完善；部分企業(yè)缺少數據管控制度，敏感數據缺乏安全管理辦法。半數以上企業(yè)缺少有針對性的監督考核機制，無(wú)法起到有效的督促、激勵、促進(jìn)的作用；其次是針對性應急演練不到位，員工安全意識薄弱，企業(yè)雖然開(kāi)展了應急演練工作，但是未針對工業(yè)互聯(lián)網(wǎng)安全制定相關(guān)應急預案，開(kāi)展應急演練工作，企業(yè)員工對工業(yè)互聯(lián)網(wǎng)安全問(wèn)題不敏感，一旦發(fā)生突發(fā)安全事件，員工的處置能力無(wú)法滿(mǎn)足處置要求；再次是專(zhuān)業(yè)設備與人才的經(jīng)費投入不足，多數企業(yè)對于安全防護設備和安全專(zhuān)業(yè)人才投入的經(jīng)費較少，企業(yè)存在缺乏專(zhuān)業(yè)安全防護設備與技術(shù)支持的現象，安全防護手段的缺失會(huì )導致企業(yè)安全防護存在隱患。

（二）工業(yè)數據缺乏有效的管控防護措施。多數平臺企業(yè)對數據安全的保護措施較欠缺，未對重要數據進(jìn)行加密存儲和傳輸、定期備份等；多數企業(yè)忽視對如弱口令、跨站腳本、命令注入、遠程代碼執行等常見(jiàn)漏洞的及時(shí)跟蹤處理，導致存在漏洞的設備易被攻擊者利用并獲取權限，進(jìn)而竊取重要工業(yè)數據。超過(guò)70%的平臺企業(yè)缺乏對云服務(wù)外包的安全管控，缺乏對外包中涉及業(yè)務(wù)數據的相應防護舉措；部分企業(yè)存在辦公網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)互通現象，存在辦公網(wǎng)病毒傳播至生產(chǎn)網(wǎng)絡(luò )，進(jìn)而竊取工業(yè)數據影響工藝流程的風(fēng)險。

（三）工業(yè)APP產(chǎn)品檢測評估缺失。評估過(guò)程中，檢測人員發(fā)現工業(yè)互聯(lián)網(wǎng)企業(yè)普遍采取APP客戶(hù)端直連工業(yè)控制系統模式，未部署網(wǎng)絡(luò )邊界防護設備，同時(shí)企業(yè)普遍缺少工業(yè)APP安全測試，無(wú)法及時(shí)發(fā)現信息交互過(guò)程中的數據明文傳輸和訪(fǎng)問(wèn)控制不受限等風(fēng)險，導致大量生產(chǎn)控制指令、參數傳輸暴露于互聯(lián)網(wǎng)，存在泄露重要工藝參數和工藝流程的風(fēng)險。絕大多數工業(yè)APP產(chǎn)品還存在反編譯和硬編碼等安全漏洞，易被攻擊者利用，進(jìn)而獲取功能調用權限尤其是對生產(chǎn)系統的控制功能調用，攻擊者可通過(guò)篡改控制指令引發(fā)重大生產(chǎn)事故和財產(chǎn)損失。

二、工業(yè)互聯(lián)網(wǎng)安全政策標準要求

為進(jìn)一步提升工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)的安全保障能力，落實(shí)安全責任制，指導企業(yè)開(kāi)展好網(wǎng)絡(luò )安全工作，國務(wù)院、工業(yè)和信息化部連續印發(fā)了一系列文件標準，指導和規范工業(yè)互聯(lián)網(wǎng)安全工作。

一是《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見(jiàn)》。指導意見(jiàn)確定了構建起與我國經(jīng)濟社會(huì )發(fā)展相適應的工業(yè)互聯(lián)網(wǎng)生態(tài)體系，提出從提升安全防護能力、建立數據安全保護體系、推動(dòng)安全技術(shù)手段建設三個(gè)方面提升工業(yè)互聯(lián)網(wǎng)安全保障能力。

二是《工業(yè)控制系統信息安全防護指南》。防護指南指出工業(yè)控制系統應用企業(yè)應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪(fǎng)問(wèn)安全、安全監測和應急預案演練、資產(chǎn)安全、數據安全、供應鏈管理、落實(shí)責任等11個(gè)方面做好工控安全防護工作。

三是《工業(yè)控制系統信息安全應急工作管理指南》。管理指南旨在加強工控安全事件應急管理，提高工控安全事件應急處置能力，預防和減少工控安全事件造成的損失和危害，保障工業(yè)生產(chǎn)正常運行。該指南對工控安全風(fēng)險監測、信息報送與通報、應急處置、敏感時(shí)期應急管理等工作提出了一系列管理要求，明確了責任分工、工作流程和保障措施。

四是《工業(yè)控制系統信息安全防護能力評估工作管理辦法》。管理辦法旨在規范工控安全防護能力評估工作，切實(shí)提升工控安全防護水平。該辦法以規范針對工業(yè)企業(yè)開(kāi)展的工控安全防護能力評估活動(dòng)為重點(diǎn)，加強工控安全防護能力評估機構、人員和工具管理，明確工控安全防護能力評估工作程序。

五是《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020年）》。行動(dòng)計劃突出落實(shí)企業(yè)主體責任，從提升工業(yè)企業(yè)工控安全防護能力，促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展，加快工控安全保障體系建設出發(fā)，進(jìn)一步明確了部門(mén)、地方和企業(yè)做什么和怎么做，部署了五大能力提升行動(dòng)，為下一步開(kāi)展工控安全工作提供了依據和指導。

六是《關(guān)于加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見(jiàn)》。指導意見(jiàn)提出在2020年底初步建立工業(yè)互聯(lián)網(wǎng)安全保障體系的目標，明確了7大任務(wù)，明確了企業(yè)安全保護的主體責任，提出了建立分類(lèi)分級管理機制，明確提出了平臺與工業(yè)應用程序（APP）保護要求、工業(yè)數據保護要求等。

七是《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò )安全分類(lèi)分級指南（試行）》。指南給出了工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò )安全分級評定參考規則，針對不同級別企業(yè)，在組織管理、安全防護、風(fēng)險評估、應急管理等方面提出了更為細化、具體的要求。

八是《工業(yè)數據分類(lèi)分級指南（試行）》。指南發(fā)布目的在于通過(guò)分類(lèi)梳理工業(yè)企業(yè)海量數據資產(chǎn)，明確基礎數據類(lèi)型，通過(guò)分級確定各類(lèi)工業(yè)數據的敏感程度，明確數據的范圍邊界和使用方式，為加強數據安全管理，推動(dòng)數據開(kāi)放共享和最大化挖掘利用提供支撐。

九是《推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》。通知明確提出加快新型基礎設施建設、加快拓展融合創(chuàng )新應用、加快健全安全保障體系、加快壯大創(chuàng )新發(fā)展動(dòng)能、加快完善產(chǎn)業(yè)生態(tài)布局、加大政策支持力度等6個(gè)方面20項具體舉措推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展。

三、企業(yè)下一步應加強的幾個(gè)方面

為進(jìn)一步促進(jìn)工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展，提高工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò )安全防范能力和水平，建議企業(yè)可以從以下幾個(gè)方面進(jìn)行整改加強：

（一）落實(shí)政策法規，建立健全工業(yè)互聯(lián)網(wǎng)安全管理制度。企業(yè)可依據《網(wǎng)絡(luò )安全法》、《關(guān)于印發(fā)加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見(jiàn)的通知》、《工業(yè)控制系統信息安全防護指南》、《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò )安全分類(lèi)分級指南》、《工業(yè)數據分類(lèi)分級指南》、等保2.0等國家指導性文件建立健全安全管理體系，按照組織管理逐層落實(shí)企業(yè)網(wǎng)絡(luò )安全責任，有效施行企業(yè)網(wǎng)絡(luò )安全監督考核機制，積極開(kāi)展應急預案與演練、工業(yè)數據分類(lèi)分級等工作，通過(guò)組織培訓等措施增強員工安全意識和突發(fā)事件處理能力。

（二）持續開(kāi)展檢查評估，逐步提升工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò )安全保障能力。企業(yè)可邀請專(zhuān)業(yè)機構的檢測評估隊伍進(jìn)行評估和經(jīng)驗交流，開(kāi)展針對工業(yè)互聯(lián)網(wǎng)相關(guān)平臺、應用、設施的評估工作，檢驗企業(yè)在安全保障措施、安全管理制度、安全應急預案、安全設備配置、外包服務(wù)等方面工作是否有效落實(shí)，及時(shí)發(fā)現存在的風(fēng)險隱患，在專(zhuān)業(yè)機構的指導下對存在問(wèn)題查漏補缺，提升企業(yè)自身的網(wǎng)絡(luò )安全保障能力。

（三）加強安全檢測，全面提高關(guān)鍵核心技術(shù)應用的數據安全性。企業(yè)在運營(yíng)中可加強與網(wǎng)絡(luò )安全廠(chǎng)商、外包服務(wù)商等的協(xié)同聯(lián)動(dòng)，部署有效安全技術(shù)防護手段，積極對工業(yè)互聯(lián)網(wǎng)設備、網(wǎng)絡(luò )、平臺、工業(yè)APP等工業(yè)數據的載體進(jìn)行安全檢測，對存在的安全風(fēng)險及時(shí)進(jìn)行整改修復，建立從設備安全配置到邊界安全防護再到網(wǎng)絡(luò )安全態(tài)勢感知的閉環(huán)管控，防止工業(yè)數據被竊取。積極引入專(zhuān)業(yè)人才對數據載體進(jìn)行管理和安全加固，做到專(zhuān)人專(zhuān)崗，專(zhuān)事專(zhuān)做。

來(lái)源：工業(yè)菜園