工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物,已經(jīng)成為工業(yè)現(xiàn)代化、實體經(jīng)濟發(fā)展的關(guān)鍵支撐。工業(yè)互聯(lián)網(wǎng)安全對國家經(jīng)濟社會發(fā)展至關(guān)重要。
第一,工業(yè)互聯(lián)網(wǎng)安全對國家安全的影響不斷加深。近年來,工業(yè)互聯(lián)網(wǎng)的發(fā)展使得現(xiàn)實世界和網(wǎng)絡(luò)世界深度聯(lián)通,導(dǎo)致網(wǎng)絡(luò)空間的攻擊穿透虛擬空間直接影響工業(yè)運行安全,并擴散、滲透到城市安全、人身安全、基礎(chǔ)設(shè)施安全,乃至國家安全等方面,造成的后果日益嚴重。這也就是我們常說的,網(wǎng)絡(luò)安全從“信息安全”時代進入了“大安全”時代。
第二,工業(yè)互聯(lián)網(wǎng)已成為國家之間網(wǎng)絡(luò)戰(zhàn)的攻擊目標(biāo)。工業(yè)互聯(lián)網(wǎng)的重要性使它成為網(wǎng)絡(luò)攻擊的首要目標(biāo)。比如,近年來烏克蘭連續(xù)遭遇黑客攻擊,導(dǎo)致大面積斷電。美國2017年舉行的“網(wǎng)絡(luò)衛(wèi)士”年度例行網(wǎng)絡(luò)安全演習(xí)和2018年“網(wǎng)絡(luò)風(fēng)暴”演習(xí)的重點都是工業(yè)基礎(chǔ)設(shè)施。2017年發(fā)生的“永恒之藍”勒索病毒事件正是利用了美國泄漏的網(wǎng)絡(luò)武器,是網(wǎng)絡(luò)戰(zhàn)的一次預(yù)演,使我國眾多工業(yè)企業(yè)受到攻擊,給經(jīng)濟社會發(fā)展帶來嚴重影響。
第三,工業(yè)互聯(lián)網(wǎng)是一個新興融合領(lǐng)域,面臨新的安全問題。首先,工業(yè)企業(yè)對網(wǎng)絡(luò)安全不夠重視,安全能力缺乏。比如,工業(yè)互聯(lián)網(wǎng)的工業(yè)控制器在設(shè)計時往往重視它的功能是否好用,而忽略了它的安全性。隨著工業(yè)領(lǐng)域網(wǎng)絡(luò)化、智能化的推進,工業(yè)控制系統(tǒng)的安全隱患越來越突出。其次,網(wǎng)絡(luò)安全企業(yè)的產(chǎn)品和服務(wù)適配度不高,難以滿足工業(yè)實際需要。工業(yè)有39個大類,525個小類,每個行業(yè)都有特殊的網(wǎng)絡(luò)安全需求,而網(wǎng)絡(luò)安全專家通常不具備工業(yè)細分領(lǐng)域的專業(yè)知識,難以形成通用的網(wǎng)絡(luò)安全解決方案。同時,工業(yè)網(wǎng)絡(luò)安全還存在許多限制條件,對實時性、可靠性等要求很高。比如,為了保證工業(yè)系統(tǒng)平穩(wěn)運行,有的安全補丁就不能及時打上。最后,工業(yè)企業(yè)和網(wǎng)絡(luò)安全企業(yè)單打獨斗較多,深度合作較少。從國外情況來看,工業(yè)企業(yè)通常會與網(wǎng)絡(luò)安全企業(yè)合作,共同研發(fā)網(wǎng)絡(luò)安全方案。這種合作模式目前在我國國內(nèi)基本上還沒有開始。一方面,我國目前還沒有對工業(yè)網(wǎng)絡(luò)必須采用安全方案的強制要求,工業(yè)企業(yè)對網(wǎng)絡(luò)安全的重視程度也并不足,難以產(chǎn)生合作需求;另一方面,一些工業(yè)集成企業(yè)希望自己做網(wǎng)絡(luò)安全,與網(wǎng)絡(luò)安全企業(yè)合作存在行業(yè)壁壘。
360集團是我國最大的網(wǎng)絡(luò)安全企業(yè),也一直是國家網(wǎng)絡(luò)安全的核心保障單位,曾圓滿完成了黨的十九大、“九三閱兵”、G20杭州峰會等重大活動的安保任務(wù)。在2018年兩會的網(wǎng)絡(luò)安保工作中,360集團也是牽頭支撐單位。從360集團十多年的網(wǎng)絡(luò)安全實戰(zhàn)經(jīng)驗來看,工業(yè)互聯(lián)網(wǎng)安全面臨嚴峻挑戰(zhàn),亟需加大力度推進,為國家實體經(jīng)濟保駕護航。
一是制定讓工業(yè)企業(yè)安裝網(wǎng)絡(luò)安全系統(tǒng)的強制性政策。一些工業(yè)企業(yè)出于成本、當(dāng)下運行穩(wěn)定等考慮,對網(wǎng)絡(luò)安全系統(tǒng)重視不夠。360集團在實際工作中發(fā)現(xiàn),很多工業(yè)控制系統(tǒng)使用已超過10年,為保證控制系統(tǒng)的穩(wěn)定性,工業(yè)控制系統(tǒng)沒有安裝任何補丁,也沒有安裝殺毒軟件,存在極大的安全隱患,一旦被網(wǎng)絡(luò)攻擊,造成的影響不可估量。因此,應(yīng)制定工業(yè)企業(yè)安裝網(wǎng)絡(luò)安全系統(tǒng)的強制性政策,使工業(yè)運行系統(tǒng)與網(wǎng)絡(luò)安保系統(tǒng)融為一體,確保工業(yè)發(fā)展長治久安。
二是鼓勵工業(yè)控制系統(tǒng)制造企業(yè)、工業(yè)企業(yè)和網(wǎng)絡(luò)安全企業(yè)深度合作。“+”出來的新情況,還需要“+”起來解決。工業(yè)互聯(lián)網(wǎng)安全覆蓋面廣、業(yè)務(wù)差異大、敏感度高。因此,應(yīng)制定加快促進工業(yè)企業(yè)與網(wǎng)絡(luò)安全企業(yè)合作的鼓勵政策,成立國家級企業(yè),選擇汽車、航空航天、能源等重點產(chǎn)業(yè)進行集中攻關(guān),合作研發(fā)高精尖安全產(chǎn)品和解決方案,共同打造高效、安全的工業(yè)互聯(lián)網(wǎng)。
三是產(chǎn)業(yè)政策要對工業(yè)互聯(lián)網(wǎng)安全傾斜。雖然當(dāng)前我們已經(jīng)逐漸意識到網(wǎng)絡(luò)安全的重要性,但是安全不創(chuàng)造價值的觀念依然存在,相關(guān)投入依然不足。舉例而言,美國的網(wǎng)絡(luò)安全投入占IT投入10%,而我國只有2%。因此,國家應(yīng)加大該方面投入,以網(wǎng)絡(luò)安全保護產(chǎn)業(yè)價值。
責(zé)編/孫渴 美編/李祥峰