信息來源：FreeBuf

2 月 1 日，2018 工業(yè)互聯(lián)網峰會在北京舉行，這是工業(yè)互聯(lián)網領域最高規(guī)格的會議，在整個峰會期間，安全被提到了前所未有的高度，與網絡、平臺并列成為工業(yè)互聯(lián)網的三大功能體系。從副總理、部長一直到參會的工業(yè)企業(yè)、研究機構、安全企業(yè)，“三大體系”成了大家關注和討論工業(yè)互聯(lián)網的基礎。

工業(yè)互聯(lián)網是中國工業(yè)超越的機會

以互聯(lián)網為載體的新技術融合為典型特征的第四次工業(yè)革命正在以空前的速度、深度和廣度席卷全球，無論是德國的“工業(yè)4.0”，美國的“再工業(yè)化”，還是“中國制造2025”，核心都是將工業(yè)互聯(lián)網作為戰(zhàn)略著力點。

工業(yè)互聯(lián)網是連接工業(yè)全系統(tǒng)、全產業(yè)鏈、全價值鏈，支撐工業(yè)智能化發(fā)展的關鍵基礎設施，是互聯(lián)網從消費領域向生產領域、從虛擬經濟向實體經濟拓展的核心載體。發(fā)展工業(yè)互聯(lián)網已經成為各國搶占全球產業(yè)競爭新制高點、重塑工業(yè)體系的共同選擇。

工業(yè)互聯(lián)網產業(yè)聯(lián)盟秘書長、中國信息通信研究院總工程師余曉輝日前描述了工業(yè)互聯(lián)網對于中國的發(fā)展機會：

中國擁有世界上最為完備的工業(yè)體系，也是全球最大的工業(yè)體系，但發(fā)展質量和競爭能力與美德等發(fā)達國家存在一定差距，有著巨大的轉型升級潛能和需求。同時，我國也擁有全球最大的ICT產業(yè)體系，不少領域已具備較高的發(fā)展水平，尤其是互聯(lián)網發(fā)展迅猛，業(yè)務創(chuàng)新非?；钴S，在消費端涌現(xiàn)出了大量新模式新業(yè)態(tài)。如果把二者融合，促進雙方協(xié)同創(chuàng)新，工業(yè)互聯(lián)網應該是一個重要的突破口。

2017年11月27日，國務院印發(fā)《關于深化互聯(lián)網+先進制造業(yè)發(fā)展工業(yè)互聯(lián)網的指導意見》，將工業(yè)互聯(lián)網定位工業(yè)轉型升級的頂層設計，提出2018年到2020年我國將加速推進工業(yè)互聯(lián)網的建設、發(fā)展和應用。

習近平總書記在中央政治局就實施國家大數(shù)據(jù)戰(zhàn)略進行第二次集體學習時，專門強調要深入實施工業(yè)互聯(lián)網創(chuàng)新發(fā)展戰(zhàn)略，系統(tǒng)推進工業(yè)互聯(lián)網基礎設施和數(shù)據(jù)資源管理體系建設。

國務院副總理馬凱在2018工業(yè)互聯(lián)網峰會上致辭中指出，工業(yè)互聯(lián)網是新工業(yè)革命的關鍵支撐和智能制造的重要基石。工業(yè)互聯(lián)網通過實現(xiàn)人、機、物的全面互聯(lián)，促進制造資源泛在連接、彈性供給和高效配置，正在推動制造業(yè)創(chuàng)新模式、生產方式、組織形式和商業(yè)范式的深刻變革，推動全球工業(yè)生態(tài)體系的重構迭代和全面升級。

馬凱強調，要把握新工業(yè)革命戰(zhàn)略機遇，充分認識加快發(fā)展我國工業(yè)互聯(lián)網的重要意義。

工業(yè)和信息化部總經濟師王新哲在2018工業(yè)互聯(lián)網峰會上透露，要發(fā)揮好制造大國和網絡大國的雙重優(yōu)勢，努力開創(chuàng)工業(yè)互聯(lián)網發(fā)展的新局面，為促進實體經濟高質量發(fā)展，推動現(xiàn)代經濟體系建設提供有力的支撐。為此，工信部將在2018年實施工業(yè)互聯(lián)網三年行動計劃，并啟動首期工程。

安全是工業(yè)互聯(lián)網最重要的三大任務之一

伊朗核設施遭遇震網病毒攻擊、烏克蘭電廠因黑客攻擊導致大面積停電、永恒之藍勒索病毒致使全球多家汽車等生產企業(yè)停產等一系列事件說明，安全已經成為工業(yè)互聯(lián)網發(fā)展中首要考慮的問題。

 工業(yè)互聯(lián)網推動當前以“人與人”連接為核心的互聯(lián)網走向“人-機-物”全面互聯(lián)，極大擴展了網絡空間的邊界和功能， 也打破了工業(yè)控制系統(tǒng)傳統(tǒng)的封閉和強調高可靠性的格局，使工控系統(tǒng)信息安全問題大量暴露出來，線上線下安全風險交織疊加放大，安全形勢更為復雜，極大威脅到了工業(yè)企業(yè)、民生、國民經濟、甚至國家發(fā)展的安全。

因此在國務院印發(fā)的《關于深化互聯(lián)網+先進制造業(yè)發(fā)展工業(yè)互聯(lián)網的指導意見》中，提出了構建網絡、平臺安全三大功能體系，明確了工業(yè)互聯(lián)網發(fā)展和安全的主攻方向和重大任務，強化了安全在工業(yè)互聯(lián)網發(fā)展中的地位。這個定位直接響應了習近平總書記對信息化與網絡安全的定位：網絡安全和信息化是一體之兩翼、驅動之雙輪。

《意見》也明確提出提升工業(yè)互聯(lián)網安全防護能力、建立數(shù)據(jù)安全保護體系、推動安全技術手段建設等安全保障要求，工業(yè)互聯(lián)網的安全防護要充分考慮新的工業(yè)屬性需求，同步推進產業(yè)發(fā)展和安全防護，將安全體系建設作為工業(yè)互聯(lián)網發(fā)展的重要組成部分。

安全是工業(yè)互聯(lián)網發(fā)展的基本保障，馬凱副總理在2018工業(yè)互聯(lián)網峰會上再次強調要著力構建網絡、平臺、安全三大功能體系。

工信部部長苗圩表示，2018年將深入實施工業(yè)互聯(lián)網創(chuàng)新發(fā)展戰(zhàn)略，開展工業(yè)互聯(lián)網發(fā)展的323行動。其中，第一個“3”，是打造網絡、平臺、安全三大體系。

 為推動工業(yè)互聯(lián)網安全，2017年12月12日，工信部繼《工業(yè)控制系統(tǒng)信息安全防護指南》、《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》、《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》等指導文件后，再次發(fā)布《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020）》。

該文件明確了工信部在工業(yè)控制系統(tǒng)信息安全方面未來3年的工作重點和方向，特別明確了建立多級聯(lián)防聯(lián)動的工控安全工作機制，具體細化為一網一庫三平臺的技術保障體系和監(jiān)管機制。一網一庫三平臺，即全國工控安全在線監(jiān)測網絡，全國工控安全應急資源庫，仿真測評平臺、信息共享平臺、信息通報平臺。

工業(yè)互聯(lián)網面臨的安全挑戰(zhàn)

工業(yè)和信息化部網絡安全管理局陸建文副局長在2018工業(yè)互聯(lián)網峰會的工業(yè)互聯(lián)網安全與產業(yè)應用論壇上分析了工業(yè)互聯(lián)網的安全威脅，他認為工業(yè)互聯(lián)網具有開放、互聯(lián)、跨域、融合等特點，這是工業(yè)互聯(lián)網的獨特優(yōu)勢，也是工業(yè)互聯(lián)網發(fā)展的一個重要前提和基礎。同時也帶來了安全的難題，因為它打破了以往相對清晰的安全邊界。

特別是與互聯(lián)網相連后，既面臨來自互聯(lián)網的外部威脅，又與工業(yè)生產等內部安全問題相互交織，屬于融合發(fā)展網絡安全新威脅，一旦出現(xiàn)安全問題起碼有三個層次；第一個層次就是會造成工業(yè)企業(yè)內部社會或服務中斷，信息泄露等影響，造成安全生產事故，安全生產事故是個大問題；第二個層次如果發(fā)生在航空航天、石油化工、能源軍工等重要領域，會嚴重影響國家關鍵信息基礎設施的運行安全。第三個層次嚴重的還會及國家安全、國計民生和公共利益。

工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室和360威脅情報中心聯(lián)合發(fā)布的《工業(yè)信息安全態(tài)勢報告》分析了IT/OT一體化融合帶來的安全挑戰(zhàn)。

隨著IT/OT（信息技術和操作技術）一體化的逐步推進，工業(yè)控制系統(tǒng)越來越多地與企業(yè)網和互聯(lián)網相連接，形成了一個開放式的網絡環(huán)境。工控系統(tǒng)網絡化發(fā)展導致了系統(tǒng)安全風險和入侵威脅不斷增加，面臨的網絡安全問題也更加突出。由于工控網絡系統(tǒng)環(huán)境的特殊性，傳統(tǒng)的IT信息安全技術不能直接應用于工業(yè)控制網絡的安全防護。然而，工業(yè)控制系統(tǒng)又應用于國家的電力、交通、石油、取暖、制藥等多種大型制造行業(yè)，一旦遭受攻擊會帶來巨大的損失，因此需要有效的方法確保工控系統(tǒng)的網絡安全。

安全漏洞，是工業(yè)控制系統(tǒng)面臨的首要安全問題。根據(jù)美國工業(yè)控制系統(tǒng)網絡緊急響應小組（ICS-CERT）最新統(tǒng)計報告，2015年漏洞總數(shù)為486個，2016年美國關鍵基礎設施存在492個安全漏洞。根據(jù)公開的ICS漏洞數(shù)的年度變化趨勢來看，工控安全漏洞逐年增加。

自2000年1月截止到2017年12月，根據(jù)我國國家信息安全漏洞共享平臺（CNVD）統(tǒng)計，所有的信息安全漏洞總數(shù)為101734個，其中工業(yè)控制系統(tǒng)漏洞總數(shù)為1437個。2017年CNVD統(tǒng)計的新增信息安全漏洞4798個，工控系統(tǒng)新增漏洞數(shù)351個，均比去年同期有顯著增長；其中，高危漏洞占比最高，達到53.6%。中危漏洞占比42.4%，其余4.0%為低危漏洞。

根據(jù)態(tài)勢報告的分析，對于傳統(tǒng)IT網絡安全，保密性優(yōu)先級最高，其次是完整性、可用性。工業(yè)網絡則有明顯的不同，工業(yè)網絡更為關注的是系統(tǒng)設備的可用性、實時性。由于IT系統(tǒng)和OT系統(tǒng)之間存在的眾多差異，當工業(yè)互聯(lián)網的IT/OT進行融合時會帶來很多安全挑戰(zhàn)，包括暴露在外的攻擊面越來越大，操作系統(tǒng)安全漏洞難以修補，軟件漏洞容易被黑客利用，惡意代碼不敢殺、不能殺，DDOS攻擊隨時可能中斷生產，高級持續(xù)性威脅時刻環(huán)伺等。

此外，一些安全挑戰(zhàn)還來源于工業(yè)系統(tǒng)自身安全建設的不足，諸如工業(yè)設備資產的可視性嚴重不足，很多工控設備缺乏安全設計，設備聯(lián)網機制缺乏安全保障，IT和OT系統(tǒng)安全管理相互獨立操作困難，生產數(shù)據(jù)面臨丟失、泄漏、篡改等安全威脅。

誰來保護工業(yè)互聯(lián)網的安全

作為工業(yè)互聯(lián)網三大體系之一，安全是工業(yè)互聯(lián)網健康發(fā)展的前提和保障。國務院下發(fā)的《關于深化互聯(lián)網+先進制造業(yè)發(fā)展工業(yè)互聯(lián)網的指導意見》中，明確提出了工業(yè)互聯(lián)網安全工作內容，從制度建立、標準研制、安全防護、數(shù)據(jù)保護、手段建設、安全產業(yè)發(fā)展、人員培養(yǎng)等七個方面，建立涵概設備安全、控制安全、網絡安全、平臺安全、數(shù)據(jù)安全的工業(yè)互聯(lián)網多層次安全保障體系。

2018工業(yè)互聯(lián)網峰會的工業(yè)互聯(lián)網安全與產業(yè)應用論壇上，來自工信部、信通院、海爾、上汽集團、富士康、樹根互聯(lián)、航天云網、360等工業(yè)互聯(lián)網平臺企業(yè)、制造企業(yè)、設備提供商、安全企業(yè)都從不同的角度提出了工業(yè)互聯(lián)網安全的實踐應用和解決方案。

信通院安全所田慧蓉博士介紹了即將發(fā)布的《工業(yè)互聯(lián)網安全框架白皮書》，提出從明確對象進行分類部署安全措施、建立動態(tài)安全模型、技術手段+管理手段相結合的安全模型入手，設計工業(yè)互聯(lián)網安全框架，分設備安全、控制安全、應用安全、網絡安全、數(shù)據(jù)安全、監(jiān)測感知、處置恢復7個步驟來實施對工業(yè)互聯(lián)網整體的安全防護。

海爾集團首席信息官、首席數(shù)據(jù)官殷皓分享了海爾的COSMAPlat平臺的安全保護實踐，以及基于海爾的工業(yè)互聯(lián)網安全監(jiān)測與防護平臺海安盾建立安全體系的經驗，這套體系的核心是建立安全運營中心，將所有安全防護設備和措施形成體系實現(xiàn)整體防護，海安盾和公安、政府有關部門實時連接，還有生態(tài)合作伙伴360威脅情報的實時輸入。

工業(yè)控制系統(tǒng)安全國家聯(lián)合實驗室主任、360企業(yè)安全集團工業(yè)安全事業(yè)部總經理陶耀東分享了建立數(shù)據(jù)驅動的工業(yè)互聯(lián)網自適應安全體系的方法論，提出了安全體系建設中要遵循架構安全、被動防御、積極防御、威脅情報和進攻反制五個階段疊加演進的方式推進，逐步構建積極防御能力；地區(qū)、行業(yè)和企業(yè)分級建立工業(yè)安全運營中心（IISOC）從安全運營，通過安全運營實現(xiàn)安全能力落地，實現(xiàn)安全防護能力的提升。陶耀東表示，360將發(fā)揮產業(yè)引領作用，積極與政府、工業(yè)企業(yè)、安全行業(yè)、高校和研究機構合作，共同打造工業(yè)互聯(lián)網安全生態(tài)，提升我們國家工業(yè)互聯(lián)網的安全防護的整體能力和水平。

富士康集團信息安全部主管王國瑋介紹，在富士康分實體安全、工業(yè)互聯(lián)網的DMZ、工業(yè)互聯(lián)網邊界三個層面對數(shù)據(jù)和系統(tǒng)進行安全防護，在數(shù)據(jù)安全層面強調對于勒索病毒的防治或是未知威脅的防治，數(shù)據(jù)防泄露、訪問控制、自動化備份；系統(tǒng)安全層級是動態(tài)配置管理，統(tǒng)一部署管理，快速還原。在這個過程中，富士康和360等網絡安全廠商緊密合作，建立完整的工業(yè)互聯(lián)網安全防護體系。

工業(yè)互聯(lián)網安全要保護的范圍很關，涉及領域也很寬，做好工業(yè)互聯(lián)網的安全防護，需要政府、工業(yè)企業(yè)、網絡安全企業(yè)、科研機構、高校協(xié)同合作，建立完整的安全產業(yè)生態(tài)。

工業(yè)和信息化部網絡安全管理局陸建文副局長認為，產業(yè)協(xié)同是工業(yè)互聯(lián)網安全的重要生態(tài)保障，我們會推動營造有利于工業(yè)互聯(lián)網安全產業(yè)發(fā)展的生態(tài)環(huán)境，吸引企業(yè)、人才等力量，投入到工業(yè)互聯(lián)網安全事業(yè)中，增強工業(yè)互聯(lián)網安全產業(yè)上游技術研發(fā)與下游推廣應用的有效銜接，共同打造政、產、學、研、用、投資一體化的工業(yè)互聯(lián)網安全產業(yè)鏈，推動工業(yè)互聯(lián)網產業(yè)高端化、體系化發(fā)展。