今日頭條
官方微信
官方抖音
資訊頻道當前,互聯網技術逐漸同實業領域進行融合,并以其獨特的理念影響著實體經濟的發展,工業互聯網作為互聯網技術應用在工業場景融合發展的產物,是國家實體經濟的能夠蓬勃發展的新催化劑。近日工業和信息化部更是發布了《關于推動工業互聯網加快發展的通知》,更是體現了國家要加快工業互聯網發展的需求。為深入推進“供給側”結構調整,近年來工業互聯網產業迅速發展,在黨中央的領導下,各相關部門協同推進,工業互聯網相關標準體系逐步建立健全,產業生態環境逐步完善,國內傳統工業企業更是孵化出了一批優秀的工業互聯網平臺企業,為我國經濟穩定高效的發展提供了強有力的支持。
工業互聯網在工業領域內絕大多數行業中發揮著至關重要的作用是國家關鍵信息基礎設施的重要組成部分,在保證其業務穩定、持續運行的情況下,其安全工作也需要嚴格落實“三同步”原則。近兩年來,在工業和信息化部的指導下,國家工業信息安全發展研究中心(以下簡稱“我中心”)積極參與工業互聯網發展建設的相關工作,在工業互聯網安全的標準文件研究制定、監測預警、應急處置和檢測評估方面發揮了積極的作用。通過工業互聯網安全檢測評估等工作,發現企業存在一系列共性問題。
一、工業互聯網相關企業存在的主要安全問題
通過對35個工業互聯網平臺安全評估分析發現:現階段我國工業互聯網相關企業安全防護工作基本到位,安全管理制度相對完善,技術防護手段較為完備,但仍存在安全痛點問題亟待解決,主要問題如下:
(一)企業安全管理保障體系亟需健全。多數企業網絡安全管理保障體系存在以下三個方面的問題:首先是針對性管理制度缺失,大多數企業未建立結合生產應用場景的工業互聯網安全管理制度,安全應急預案不完善;部分企業缺少數據管控制度,敏感數據缺乏安全管理辦法。半數以上企業缺少有針對性的監督考核機制,無法起到有效的督促、激勵、促進的作用;其次是針對性應急演練不到位,員工安全意識薄弱,企業雖然開展了應急演練工作,但是未針對工業互聯網安全制定相關應急預案,開展應急演練工作,企業員工對工業互聯網安全問題不敏感,一旦發生突發安全事件,員工的處置能力無法滿足處置要求;再次是專業設備與人才的經費投入不足,多數企業對于安全防護設備和安全專業人才投入的經費較少,企業存在缺乏專業安全防護設備與技術支持的現象,安全防護手段的缺失會導致企業安全防護存在隱患。
(二)工業數據缺乏有效的管控防護措施。多數平臺企業對數據安全的保護措施較欠缺,未對重要數據進行加密存儲和傳輸、定期備份等;多數企業忽視對如弱口令、跨站腳本、命令注入、遠程代碼執行等常見漏洞的及時跟蹤處理,導致存在漏洞的設備易被攻擊者利用并獲取權限,進而竊取重要工業數據。超過70%的平臺企業缺乏對云服務外包的安全管控,缺乏對外包中涉及業務數據的相應防護舉措;部分企業存在辦公網和生產網互聯互通現象,存在辦公網病毒傳播至生產網絡,進而竊取工業數據影響工藝流程的風險。
(三)工業APP產品檢測評估缺失。評估過程中,檢測人員發現工業互聯網企業普遍采取APP客戶端直連工業控制系統模式,未部署網絡邊界防護設備,同時企業普遍缺少工業APP安全測試,無法及時發現信息交互過程中的數據明文傳輸和訪問控制不受限等風險,導致大量生產控制指令、參數傳輸暴露于互聯網,存在泄露重要工藝參數和工藝流程的風險。絕大多數工業APP產品還存在反編譯和硬編碼等安全漏洞,易被攻擊者利用,進而獲取功能調用權限尤其是對生產系統的控制功能調用,攻擊者可通過篡改控制指令引發重大生產事故和財產損失。
二、工業互聯網安全政策標準要求
為進一步提升工業互聯網相關企業的安全保障能力,落實安全責任制,指導企業開展好網絡安全工作,國務院、工業和信息化部連續印發了一系列文件標準,指導和規范工業互聯網安全工作。
一是《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》。指導意見確定了構建起與我國經濟社會發展相適應的工業互聯網生態體系,提出從提升安全防護能力、建立數據安全保護體系、推動安全技術手段建設三個方面提升工業互聯網安全保障能力。
二是《工業控制系統信息安全防護指南》。防護指南指出工業控制系統應用企業應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任等11個方面做好工控安全防護工作。
三是《工業控制系統信息安全應急工作管理指南》。管理指南旨在加強工控安全事件應急管理,提高工控安全事件應急處置能力,預防和減少工控安全事件造成的損失和危害,保障工業生產正常運行。該指南對工控安全風險監測、信息報送與通報、應急處置、敏感時期應急管理等工作提出了一系列管理要求,明確了責任分工、工作流程和保障措施。
四是《工業控制系統信息安全防護能力評估工作管理辦法》。管理辦法旨在規范工控安全防護能力評估工作,切實提升工控安全防護水平。該辦法以規范針對工業企業開展的工控安全防護能力評估活動為重點,加強工控安全防護能力評估機構、人員和工具管理,明確工控安全防護能力評估工作程序。
五是《工業控制系統信息安全行動計劃(2018-2020年)》。行動計劃突出落實企業主體責任,從提升工業企業工控安全防護能力,促進工業信息安全產業發展,加快工控安全保障體系建設出發,進一步明確了部門、地方和企業做什么和怎么做,部署了五大能力提升行動,為下一步開展工控安全工作提供了依據和指導。
六是《關于加強工業互聯網安全工作的指導意見》。指導意見提出在2020年底初步建立工業互聯網安全保障體系的目標,明確了7大任務,明確了企業安全保護的主體責任,提出了建立分類分級管理機制,明確提出了平臺與工業應用程序(APP)保護要求、工業數據保護要求等。
七是《工業互聯網企業網絡安全分類分級指南(試行)》。指南給出了工業互聯網企業網絡安全分級評定參考規則,針對不同級別企業,在組織管理、安全防護、風險評估、應急管理等方面提出了更為細化、具體的要求。
八是《工業數據分類分級指南(試行)》。指南發布目的在于通過分類梳理工業企業海量數據資產,明確基礎數據類型,通過分級確定各類工業數據的敏感程度,明確數據的范圍邊界和使用方式,為加強數據安全管理,推動數據開放共享和最大化挖掘利用提供支撐。
九是《推動工業互聯網加快發展的通知》。通知明確提出加快新型基礎設施建設、加快拓展融合創新應用、加快健全安全保障體系、加快壯大創新發展動能、加快完善產業生態布局、加大政策支持力度等6個方面20項具體舉措推動工業互聯網加快發展。
三、企業下一步應加強的幾個方面
為進一步促進工業互聯網高質量發展,提高工業互聯網企業網絡安全防范能力和水平,建議企業可以從以下幾個方面進行整改加強:
(一)落實政策法規,建立健全工業互聯網安全管理制度。企業可依據《網絡安全法》、《關于印發加強工業互聯網安全工作的指導意見的通知》、《工業控制系統信息安全防護指南》、《工業互聯網企業網絡安全分類分級指南》、《工業數據分類分級指南》、等保2.0等國家指導性文件建立健全安全管理體系,按照組織管理逐層落實企業網絡安全責任,有效施行企業網絡安全監督考核機制,積極開展應急預案與演練、工業數據分類分級等工作,通過組織培訓等措施增強員工安全意識和突發事件處理能力。
(二)持續開展檢查評估,逐步提升工業互聯網網絡安全保障能力。企業可邀請專業機構的檢測評估隊伍進行評估和經驗交流,開展針對工業互聯網相關平臺、應用、設施的評估工作,檢驗企業在安全保障措施、安全管理制度、安全應急預案、安全設備配置、外包服務等方面工作是否有效落實,及時發現存在的風險隱患,在專業機構的指導下對存在問題查漏補缺,提升企業自身的網絡安全保障能力。
(三)加強安全檢測,全面提高關鍵核心技術應用的數據安全性。企業在運營中可加強與網絡安全廠商、外包服務商等的協同聯動,部署有效安全技術防護手段,積極對工業互聯網設備、網絡、平臺、工業APP等工業數據的載體進行安全檢測,對存在的安全風險及時進行整改修復,建立從設備安全配置到邊界安全防護再到網絡安全態勢感知的閉環管控,防止工業數據被竊取。積極引入專業人才對數據載體進行管理和安全加固,做到專人專崗,專事專做。
來源:工業菜園
北京市公安局海淀分局備案號:11010802023656號