今日頭條
官方微信
官方抖音
資訊頻道當(dāng)前,互聯(lián)網(wǎng)技術(shù)逐漸同實(shí)業(yè)領(lǐng)域進(jìn)行融合,并以其獨(dú)特的理念影響著實(shí)體經(jīng)濟(jì)的發(fā)展,工業(yè)互聯(lián)網(wǎng)作為互聯(lián)網(wǎng)技術(shù)應(yīng)用在工業(yè)場(chǎng)景融合發(fā)展的產(chǎn)物,是國(guó)家實(shí)體經(jīng)濟(jì)的能夠蓬勃發(fā)展的新催化劑。近日工業(yè)和信息化部更是發(fā)布了《關(guān)于推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》,更是體現(xiàn)了國(guó)家要加快工業(yè)互聯(lián)網(wǎng)發(fā)展的需求。為深入推進(jìn)“供給側(cè)”結(jié)構(gòu)調(diào)整,近年來工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)迅速發(fā)展,在黨中央的領(lǐng)導(dǎo)下,各相關(guān)部門協(xié)同推進(jìn),工業(yè)互聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)體系逐步建立健全,產(chǎn)業(yè)生態(tài)環(huán)境逐步完善,國(guó)內(nèi)傳統(tǒng)工業(yè)企業(yè)更是孵化出了一批優(yōu)秀的工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè),為我國(guó)經(jīng)濟(jì)穩(wěn)定高效的發(fā)展提供了強(qiáng)有力的支持。
工業(yè)互聯(lián)網(wǎng)在工業(yè)領(lǐng)域內(nèi)絕大多數(shù)行業(yè)中發(fā)揮著至關(guān)重要的作用是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分,在保證其業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的情況下,其安全工作也需要嚴(yán)格落實(shí)“三同步”原則。近兩年來,在工業(yè)和信息化部的指導(dǎo)下,國(guó)家工業(yè)信息安全發(fā)展研究中心(以下簡(jiǎn)稱“我中心”)積極參與工業(yè)互聯(lián)網(wǎng)發(fā)展建設(shè)的相關(guān)工作,在工業(yè)互聯(lián)網(wǎng)安全的標(biāo)準(zhǔn)文件研究制定、監(jiān)測(cè)預(yù)警、應(yīng)急處置和檢測(cè)評(píng)估方面發(fā)揮了積極的作用。通過工業(yè)互聯(lián)網(wǎng)安全檢測(cè)評(píng)估等工作,發(fā)現(xiàn)企業(yè)存在一系列共性問題。
一、工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)存在的主要安全問題
通過對(duì)35個(gè)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全評(píng)估分析發(fā)現(xiàn):現(xiàn)階段我國(guó)工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)安全防護(hù)工作基本到位,安全管理制度相對(duì)完善,技術(shù)防護(hù)手段較為完備,但仍存在安全痛點(diǎn)問題亟待解決,主要問題如下:
(一)企業(yè)安全管理保障體系亟需健全。多數(shù)企業(yè)網(wǎng)絡(luò)安全管理保障體系存在以下三個(gè)方面的問題:首先是針對(duì)性管理制度缺失,大多數(shù)企業(yè)未建立結(jié)合生產(chǎn)應(yīng)用場(chǎng)景的工業(yè)互聯(lián)網(wǎng)安全管理制度,安全應(yīng)急預(yù)案不完善;部分企業(yè)缺少數(shù)據(jù)管控制度,敏感數(shù)據(jù)缺乏安全管理辦法。半數(shù)以上企業(yè)缺少有針對(duì)性的監(jiān)督考核機(jī)制,無法起到有效的督促、激勵(lì)、促進(jìn)的作用;其次是針對(duì)性應(yīng)急演練不到位,員工安全意識(shí)薄弱,企業(yè)雖然開展了應(yīng)急演練工作,但是未針對(duì)工業(yè)互聯(lián)網(wǎng)安全制定相關(guān)應(yīng)急預(yù)案,開展應(yīng)急演練工作,企業(yè)員工對(duì)工業(yè)互聯(lián)網(wǎng)安全問題不敏感,一旦發(fā)生突發(fā)安全事件,員工的處置能力無法滿足處置要求;再次是專業(yè)設(shè)備與人才的經(jīng)費(fèi)投入不足,多數(shù)企業(yè)對(duì)于安全防護(hù)設(shè)備和安全專業(yè)人才投入的經(jīng)費(fèi)較少,企業(yè)存在缺乏專業(yè)安全防護(hù)設(shè)備與技術(shù)支持的現(xiàn)象,安全防護(hù)手段的缺失會(huì)導(dǎo)致企業(yè)安全防護(hù)存在隱患。
(二)工業(yè)數(shù)據(jù)缺乏有效的管控防護(hù)措施。多數(shù)平臺(tái)企業(yè)對(duì)數(shù)據(jù)安全的保護(hù)措施較欠缺,未對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸、定期備份等;多數(shù)企業(yè)忽視對(duì)如弱口令、跨站腳本、命令注入、遠(yuǎn)程代碼執(zhí)行等常見漏洞的及時(shí)跟蹤處理,導(dǎo)致存在漏洞的設(shè)備易被攻擊者利用并獲取權(quán)限,進(jìn)而竊取重要工業(yè)數(shù)據(jù)。超過70%的平臺(tái)企業(yè)缺乏對(duì)云服務(wù)外包的安全管控,缺乏對(duì)外包中涉及業(yè)務(wù)數(shù)據(jù)的相應(yīng)防護(hù)舉措;部分企業(yè)存在辦公網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)互通現(xiàn)象,存在辦公網(wǎng)病毒傳播至生產(chǎn)網(wǎng)絡(luò),進(jìn)而竊取工業(yè)數(shù)據(jù)影響工藝流程的風(fēng)險(xiǎn)。
(三)工業(yè)APP產(chǎn)品檢測(cè)評(píng)估缺失。評(píng)估過程中,檢測(cè)人員發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)企業(yè)普遍采取APP客戶端直連工業(yè)控制系統(tǒng)模式,未部署網(wǎng)絡(luò)邊界防護(hù)設(shè)備,同時(shí)企業(yè)普遍缺少工業(yè)APP安全測(cè)試,無法及時(shí)發(fā)現(xiàn)信息交互過程中的數(shù)據(jù)明文傳輸和訪問控制不受限等風(fēng)險(xiǎn),導(dǎo)致大量生產(chǎn)控制指令、參數(shù)傳輸暴露于互聯(lián)網(wǎng),存在泄露重要工藝參數(shù)和工藝流程的風(fēng)險(xiǎn)。絕大多數(shù)工業(yè)APP產(chǎn)品還存在反編譯和硬編碼等安全漏洞,易被攻擊者利用,進(jìn)而獲取功能調(diào)用權(quán)限尤其是對(duì)生產(chǎn)系統(tǒng)的控制功能調(diào)用,攻擊者可通過篡改控制指令引發(fā)重大生產(chǎn)事故和財(cái)產(chǎn)損失。
二、工業(yè)互聯(lián)網(wǎng)安全政策標(biāo)準(zhǔn)要求
為進(jìn)一步提升工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)的安全保障能力,落實(shí)安全責(zé)任制,指導(dǎo)企業(yè)開展好網(wǎng)絡(luò)安全工作,國(guó)務(wù)院、工業(yè)和信息化部連續(xù)印發(fā)了一系列文件標(biāo)準(zhǔn),指導(dǎo)和規(guī)范工業(yè)互聯(lián)網(wǎng)安全工作。
一是《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》。指導(dǎo)意見確定了構(gòu)建起與我國(guó)經(jīng)濟(jì)社會(huì)發(fā)展相適應(yīng)的工業(yè)互聯(lián)網(wǎng)生態(tài)體系,提出從提升安全防護(hù)能力、建立數(shù)據(jù)安全保護(hù)體系、推動(dòng)安全技術(shù)手段建設(shè)三個(gè)方面提升工業(yè)互聯(lián)網(wǎng)安全保障能力。
二是《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》。防護(hù)指南指出工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實(shí)責(zé)任等11個(gè)方面做好工控安全防護(hù)工作。
三是《工業(yè)控制系統(tǒng)信息安全應(yīng)急工作管理指南》。管理指南旨在加強(qiáng)工控安全事件應(yīng)急管理,提高工控安全事件應(yīng)急處置能力,預(yù)防和減少工控安全事件造成的損失和危害,保障工業(yè)生產(chǎn)正常運(yùn)行。該指南對(duì)工控安全風(fēng)險(xiǎn)監(jiān)測(cè)、信息報(bào)送與通報(bào)、應(yīng)急處置、敏感時(shí)期應(yīng)急管理等工作提出了一系列管理要求,明確了責(zé)任分工、工作流程和保障措施。
四是《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》。管理辦法旨在規(guī)范工控安全防護(hù)能力評(píng)估工作,切實(shí)提升工控安全防護(hù)水平。該辦法以規(guī)范針對(duì)工業(yè)企業(yè)開展的工控安全防護(hù)能力評(píng)估活動(dòng)為重點(diǎn),加強(qiáng)工控安全防護(hù)能力評(píng)估機(jī)構(gòu)、人員和工具管理,明確工控安全防護(hù)能力評(píng)估工作程序。
五是《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》。行動(dòng)計(jì)劃突出落實(shí)企業(yè)主體責(zé)任,從提升工業(yè)企業(yè)工控安全防護(hù)能力,促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展,加快工控安全保障體系建設(shè)出發(fā),進(jìn)一步明確了部門、地方和企業(yè)做什么和怎么做,部署了五大能力提升行動(dòng),為下一步開展工控安全工作提供了依據(jù)和指導(dǎo)。
六是《關(guān)于加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》。指導(dǎo)意見提出在2020年底初步建立工業(yè)互聯(lián)網(wǎng)安全保障體系的目標(biāo),明確了7大任務(wù),明確了企業(yè)安全保護(hù)的主體責(zé)任,提出了建立分類分級(jí)管理機(jī)制,明確提出了平臺(tái)與工業(yè)應(yīng)用程序(APP)保護(hù)要求、工業(yè)數(shù)據(jù)保護(hù)要求等。
七是《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)指南(試行)》。指南給出了工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分級(jí)評(píng)定參考規(guī)則,針對(duì)不同級(jí)別企業(yè),在組織管理、安全防護(hù)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急管理等方面提出了更為細(xì)化、具體的要求。
八是《工業(yè)數(shù)據(jù)分類分級(jí)指南(試行)》。指南發(fā)布目的在于通過分類梳理工業(yè)企業(yè)海量數(shù)據(jù)資產(chǎn),明確基礎(chǔ)數(shù)據(jù)類型,通過分級(jí)確定各類工業(yè)數(shù)據(jù)的敏感程度,明確數(shù)據(jù)的范圍邊界和使用方式,為加強(qiáng)數(shù)據(jù)安全管理,推動(dòng)數(shù)據(jù)開放共享和最大化挖掘利用提供支撐。
九是《推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》。通知明確提出加快新型基礎(chǔ)設(shè)施建設(shè)、加快拓展融合創(chuàng)新應(yīng)用、加快健全安全保障體系、加快壯大創(chuàng)新發(fā)展動(dòng)能、加快完善產(chǎn)業(yè)生態(tài)布局、加大政策支持力度等6個(gè)方面20項(xiàng)具體舉措推動(dòng)工業(yè)互聯(lián)網(wǎng)加快發(fā)展。
三、企業(yè)下一步應(yīng)加強(qiáng)的幾個(gè)方面
為進(jìn)一步促進(jìn)工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展,提高工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全防范能力和水平,建議企業(yè)可以從以下幾個(gè)方面進(jìn)行整改加強(qiáng):
(一)落實(shí)政策法規(guī),建立健全工業(yè)互聯(lián)網(wǎng)安全管理制度。企業(yè)可依據(jù)《網(wǎng)絡(luò)安全法》、《關(guān)于印發(fā)加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見的通知》、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)指南》、《工業(yè)數(shù)據(jù)分類分級(jí)指南》、等保2.0等國(guó)家指導(dǎo)性文件建立健全安全管理體系,按照組織管理逐層落實(shí)企業(yè)網(wǎng)絡(luò)安全責(zé)任,有效施行企業(yè)網(wǎng)絡(luò)安全監(jiān)督考核機(jī)制,積極開展應(yīng)急預(yù)案與演練、工業(yè)數(shù)據(jù)分類分級(jí)等工作,通過組織培訓(xùn)等措施增強(qiáng)員工安全意識(shí)和突發(fā)事件處理能力。
(二)持續(xù)開展檢查評(píng)估,逐步提升工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障能力。企業(yè)可邀請(qǐng)專業(yè)機(jī)構(gòu)的檢測(cè)評(píng)估隊(duì)伍進(jìn)行評(píng)估和經(jīng)驗(yàn)交流,開展針對(duì)工業(yè)互聯(lián)網(wǎng)相關(guān)平臺(tái)、應(yīng)用、設(shè)施的評(píng)估工作,檢驗(yàn)企業(yè)在安全保障措施、安全管理制度、安全應(yīng)急預(yù)案、安全設(shè)備配置、外包服務(wù)等方面工作是否有效落實(shí),及時(shí)發(fā)現(xiàn)存在的風(fēng)險(xiǎn)隱患,在專業(yè)機(jī)構(gòu)的指導(dǎo)下對(duì)存在問題查漏補(bǔ)缺,提升企業(yè)自身的網(wǎng)絡(luò)安全保障能力。
(三)加強(qiáng)安全檢測(cè),全面提高關(guān)鍵核心技術(shù)應(yīng)用的數(shù)據(jù)安全性。企業(yè)在運(yùn)營(yíng)中可加強(qiáng)與網(wǎng)絡(luò)安全廠商、外包服務(wù)商等的協(xié)同聯(lián)動(dòng),部署有效安全技術(shù)防護(hù)手段,積極對(duì)工業(yè)互聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)、平臺(tái)、工業(yè)APP等工業(yè)數(shù)據(jù)的載體進(jìn)行安全檢測(cè),對(duì)存在的安全風(fēng)險(xiǎn)及時(shí)進(jìn)行整改修復(fù),建立從設(shè)備安全配置到邊界安全防護(hù)再到網(wǎng)絡(luò)安全態(tài)勢(shì)感知的閉環(huán)管控,防止工業(yè)數(shù)據(jù)被竊取。積極引入專業(yè)人才對(duì)數(shù)據(jù)載體進(jìn)行管理和安全加固,做到專人專崗,專事專做。
來源:工業(yè)菜園
北京市公安局海淀分局備案號(hào):11010802023656號(hào)