工业互联网作为新一代信息技术与制造业深度融合的产物,已经成为工业现代化、实体经济发展的关键支撑。工业互联网安全对国家经济社会发展至关重要。
第一,工业互联网安全对国家安全的影响不断加深。近年来,工业互联网的发展使得现实世界和网络世界深度联通,导致网络空间的攻击穿透虚拟空间直接影响工业运行安全,并扩散、渗透到城市安全、人身安全、基础设施安全,乃至国家安全等方面,造成的后果日益严重。这也就是我们常说的,网络安全从“信息安全”时代进入了“大安全”时代。
第二,工业互联网已成为国家之间网络战的攻击目标。工业互联网的重要性使它成为网络攻击的首要目标。比如,近年来乌克兰连续遭遇黑客攻击,导致大面积断电。美国2017年举行的“网络卫士”年度例行网络安全演习和2018年“网络风暴”演习的重点都是工业基础设施。2017年发生的“永恒之蓝”勒索病毒事件正是利用了美国泄漏的网络武器,是网络战的一次预演,使我国众多工业企业受到攻击,给经济社会发展带来严重影响。
第三,工业互联网是一个新兴融合领域,面临新的安全问题。首先,工业企业对网络安全不够重视,安全能力缺乏。比如,工业互联网的工业控制器在设计时往往重视它的功能是否好用,而忽略了它的安全性。随着工业领域网络化、智能化的推进,工业控制系统的安全隐患越来越突出。其次,网络安全企业的产品和服务适配度不高,难以满足工业实际需要。工业有39个大类,525个小类,每个行业都有特殊的网络安全需求,而网络安全专家通常不具备工业细分领域的专业知识,难以形成通用的网络安全解决方案。同时,工业网络安全还存在许多限制条件,对实时性、可靠性等要求很高。比如,为了保证工业系统平稳运行,有的安全补丁就不能及时打上。最后,工业企业和网络安全企业单打独斗较多,深度合作较少。从国外情况来看,工业企业通常会与网络安全企业合作,共同研发网络安全方案。这种合作模式目前在我国国内基本上还没有开始。一方面,我国目前还没有对工业网络必须采用安全方案的强制要求,工业企业对网络安全的重视程度也并不足,难以产生合作需求;另一方面,一些工业集成企业希望自己做网络安全,与网络安全企业合作存在行业壁垒。
360集团是我国最大的网络安全企业,也一直是国家网络安全的核心保障单位,曾圆满完成了党的十九大、“九三阅兵”、G20杭州峰会等重大活动的安保任务。在2018年两会的网络安保工作中,360集团也是牵头支撑单位。从360集团十多年的网络安全实战经验来看,工业互联网安全面临严峻挑战,亟需加大力度推进,为国家实体经济保驾护航。
一是制定让工业企业安装网络安全系统的强制性政策。一些工业企业出于成本、当下运行稳定等考虑,对网络安全系统重视不够。360集团在实际工作中发现,很多工业控制系统使用已超过10年,为保证控制系统的稳定性,工业控制系统没有安装任何补丁,也没有安装杀毒软件,存在极大的安全隐患,一旦被网络攻击,造成的影响不可估量。因此,应制定工业企业安装网络安全系统的强制性政策,使工业运行系统与网络安保系统融为一体,确保工业发展长治久安。
二是鼓励工业控制系统制造企业、工业企业和网络安全企业深度合作。“+”出来的新情况,还需要“+”起来解决。工业互联网安全覆盖面广、业务差异大、敏感度高。因此,应制定加快促进工业企业与网络安全企业合作的鼓励政策,成立国家级企业,选择汽车、航空航天、能源等重点产业进行集中攻关,合作研发高精尖安全产品和解决方案,共同打造高效、安全的工业互联网。
三是产业政策要对工业互联网安全倾斜。虽然当前我们已经逐渐意识到网络安全的重要性,但是安全不创造价值的观念依然存在,相关投入依然不足。举例而言,美国的网络安全投入占IT投入10%,而我国只有2%。因此,国家应加大该方面投入,以网络安全保护产业价值。
责编/孙渴 美编/李祥峰
