信息化觀察網(wǎng)

今年7月26日中國(guó)工信部等十部門聯(lián)合印發(fā)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》，標(biāo)志著關(guān)于工業(yè)互聯(lián)網(wǎng)發(fā)展的頂層設(shè)計(jì)和框架基本完成。中國(guó)工業(yè)互聯(lián)網(wǎng)的頂層架構(gòu)分為三大體系——網(wǎng)絡(luò)體系、平臺(tái)體系和安全體系。

★網(wǎng)絡(luò)體系是基礎(chǔ)，涉及人、物品、機(jī)器、車間等全要素，涵蓋設(shè)計(jì)、研發(fā)、生產(chǎn)、管理等各環(huán)節(jié)，是工業(yè)全系統(tǒng)、全產(chǎn)業(yè)鏈、全價(jià)值鏈的泛在深度互聯(lián)；

★平臺(tái)體系是核心，平臺(tái)作為各種要素的樞紐，將數(shù)據(jù)匯集在一起，不僅連接數(shù)據(jù)，還能查詢機(jī)器狀態(tài)，在此基礎(chǔ)上實(shí)現(xiàn)資源的優(yōu)化配置、智能分析等；

★安全體系是保障，通過(guò)安全體系可以識(shí)別和抵御安全威脅、化解各種安全風(fēng)險(xiǎn)。

指導(dǎo)意見(jiàn)的發(fā)布旨在全面提升工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展安全保障能力和服務(wù)水平，《安全指導(dǎo)意見(jiàn)》在安全體系中提出了7個(gè)方面重點(diǎn)任務(wù)：推動(dòng)安全責(zé)任落實(shí)、構(gòu)建安全管理體系、提升企業(yè)安全防護(hù)水平、強(qiáng)化工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)能力、建設(shè)國(guó)家工業(yè)互聯(lián)網(wǎng)安全技術(shù)手段、加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力、推動(dòng)科技創(chuàng)新與產(chǎn)業(yè)發(fā)展。

指導(dǎo)意見(jiàn)明確了工業(yè)互聯(lián)網(wǎng)下安全體系的任務(wù)和目標(biāo)。如何界定工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)和智能制造新形態(tài)下的安全體系，厘清網(wǎng)絡(luò)安全面臨的挑戰(zhàn)，確定任務(wù)的具體內(nèi)涵，包含這些任務(wù)所涉及的廣度、深度、長(zhǎng)度和難度，并針對(duì)性地提出對(duì)策，提供可實(shí)施的解決方案和可踐行的實(shí)際案例，實(shí)現(xiàn)短期和中長(zhǎng)期的網(wǎng)絡(luò)安全目標(biāo)，都需要一份執(zhí)行層面的研究成果。

恰逢其時(shí)，基于“智能制造環(huán)境下物聯(lián)網(wǎng)安全的良好實(shí)踐”的研究成果，歐盟網(wǎng)絡(luò)和信息安全（ENISA）發(fā)布最新報(bào)告《工業(yè)4.0網(wǎng)絡(luò)安全: 挑戰(zhàn)與建議》。ENISA是歐盟成員國(guó)、私營(yíng)部門和歐盟公民的網(wǎng)絡(luò)和信息安全專業(yè)知識(shí)中心。雖然工業(yè)4.0成熟度參差不齊，企業(yè)處于數(shù)字化制造不同的水平和階段，網(wǎng)絡(luò)體系和平臺(tái)體系建設(shè)存在差異，但是網(wǎng)絡(luò)安全體系所面臨的挑戰(zhàn)和任務(wù)是相同的。因此 “挑戰(zhàn)與建議”對(duì)于其他各工業(yè)國(guó)都具有借鑒甚至具體實(shí)施的實(shí)際意義。各主要工業(yè)國(guó)可以共享該領(lǐng)域的研究成果，共同面對(duì)和解決網(wǎng)絡(luò)安全挑戰(zhàn)。

新工業(yè)時(shí)代的共同主題

工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)和智能制造是人類共同面臨的新工業(yè)時(shí)代主題。它將完全改變?cè)泄I(yè)形態(tài)下信息孤島、數(shù)據(jù)斷層、網(wǎng)絡(luò)分割、管理各自為政的局面，開(kāi)啟機(jī)器、人、物品的萬(wàn)物互聯(lián)新生態(tài)模式，在這樣的新型工業(yè)生態(tài)模式下，人機(jī)物將貫穿設(shè)計(jì)和互聯(lián)的整個(gè)生命周期，網(wǎng)絡(luò)安全保障和防護(hù)都是第一位的。共同主題所涉及的網(wǎng)絡(luò)廣度指全球泛在鏈接；深度指人機(jī)物內(nèi)部狀態(tài)和外部狀態(tài)實(shí)時(shí)同步地傳輸數(shù)據(jù)，信息交往無(wú)時(shí)無(wú)處不在動(dòng)態(tài)變化中；長(zhǎng)度指貫穿人機(jī)物的全生命周期；難度指OT和IT系統(tǒng)尚未打通，安全體系以及對(duì)安全體系的認(rèn)知沒(méi)有統(tǒng)一，技術(shù)和標(biāo)準(zhǔn)碎片化，跨學(xué)科、跨行業(yè)、跨領(lǐng)域的人才匱乏，沒(méi)有建立統(tǒng)一的認(rèn)知標(biāo)準(zhǔn)和體系，供應(yīng)鏈復(fù)雜，尚未明晰所涉及的供應(yīng)商、運(yùn)營(yíng)商、制造商、監(jiān)管機(jī)構(gòu)，以及學(xué)術(shù)研究科研機(jī)構(gòu)等各個(gè)利益群體和全流程的責(zé)任界定與劃分，有待在各個(gè)階段和層級(jí)研究、開(kāi)發(fā)和利用創(chuàng)新技術(shù)。難度就是挑戰(zhàn)，應(yīng)對(duì)挑戰(zhàn)，需要高屋建瓴的規(guī)范指導(dǎo)，更需要可執(zhí)行、可操作的具體實(shí)施方案。

ENISA在報(bào)告中列出針對(duì)不同利益相關(guān)群體的高級(jí)別建議，以促進(jìn)工業(yè)4.0網(wǎng)絡(luò)安全，并以安全的方式促進(jìn)更廣泛的相關(guān)創(chuàng)新發(fā)展。不同利益相關(guān)群體包含與工業(yè)網(wǎng)絡(luò)密切相關(guān)的組織機(jī)構(gòu)：工業(yè)4.0 安全專家(OT 和IT 安全)、工業(yè)4.0運(yùn)營(yíng)商（解決方案供應(yīng)商和制造商）、監(jiān)管機(jī)構(gòu)、標(biāo)準(zhǔn)化社區(qū)、學(xué)術(shù)界和研發(fā)機(jī)構(gòu)。從人員、流程和技術(shù)三個(gè)領(lǐng)域分別闡述工業(yè)4.0網(wǎng)絡(luò)安全面臨的挑戰(zhàn)，針對(duì)這些挑戰(zhàn)提出能解決問(wèn)題、操作性強(qiáng)、可具體實(shí)施的指導(dǎo)建議。整體報(bào)告偏重于戰(zhàn)術(shù)層面的指導(dǎo)規(guī)范，以應(yīng)用研究開(kāi)發(fā)和技術(shù)創(chuàng)新為主導(dǎo)，旨在解決當(dāng)前可以預(yù)見(jiàn)的在挑戰(zhàn)和人才、流程和技術(shù)方面所面臨的難題。

加強(qiáng)網(wǎng)絡(luò)安全

德國(guó)作為歐盟主要的工業(yè)國(guó)家，在工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)、智能制造新型工業(yè)生態(tài)模式下，始終高度。除了大中小型企業(yè)、科研機(jī)構(gòu)、國(guó)家監(jiān)管機(jī)構(gòu)，即報(bào)告中所涵蓋的五大利益群體之外，還有很多大型跨學(xué)科跨行業(yè)的聯(lián)合攻關(guān)機(jī)制和機(jī)構(gòu)，都有專注于工業(yè)4.0下網(wǎng)絡(luò)安全的基礎(chǔ)研究、應(yīng)用研究、產(chǎn)品開(kāi)發(fā)和推廣、標(biāo)準(zhǔn)制定和推廣、監(jiān)管機(jī)構(gòu)協(xié)同實(shí)施，各相關(guān)利益群體聯(lián)合攻關(guān)，協(xié)同推動(dòng)網(wǎng)絡(luò)安全的發(fā)展，解決重大任務(wù)和難題。德國(guó)弗朗霍夫協(xié)會(huì)在其早期2010年的一份研究報(bào)告《網(wǎng)絡(luò)完全2020戰(zhàn)略地位白皮書：信息技術(shù)研究的挑戰(zhàn)》中針對(duì)網(wǎng)絡(luò)安全曾經(jīng)提出七條建議：

1.數(shù)字主權(quán)在關(guān)鍵核心信息技術(shù)安全方面的獨(dú)特重要性。這是工業(yè)4.0下信息交互技術(shù)的核心領(lǐng)域，提供可測(cè)試的信息安全解決方案，是可靠的基石，信息交互基礎(chǔ)實(shí)施、工業(yè)企業(yè)軟件、嵌入式系統(tǒng)，以及跨行業(yè)的未來(lái)項(xiàng)目都必須關(guān)注這一領(lǐng)域。

2. 建立、建全實(shí)際投入使用的網(wǎng)絡(luò)安全應(yīng)用實(shí)驗(yàn)室，研究與工業(yè)4.0相關(guān)的跨學(xué)科、系統(tǒng)性項(xiàng)目。針對(duì)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)入侵和攻擊，以及經(jīng)濟(jì)間諜開(kāi)展研究和成果展示，確定工業(yè)應(yīng)用導(dǎo)向的研究項(xiàng)目。

3. 安全從設(shè)計(jì)開(kāi)始，即人機(jī)物全生命周期的安全保障必須要從設(shè)計(jì)開(kāi)始。安全技術(shù)必須從產(chǎn)品、解決方案以及服務(wù)之初就同步考慮周全，通過(guò)研究方法、過(guò)程和工具，來(lái)支持有關(guān)產(chǎn)品、解決方案和服務(wù)的全生命周期的安全技術(shù)，持續(xù)獲得有力保障，同時(shí)兼顧現(xiàn)有系統(tǒng)的支持、整合和可靠測(cè)試，提高安全保障級(jí)別。

4. 通過(guò)第三方提供的可檢測(cè)性，如可實(shí)現(xiàn)的安全檢測(cè)認(rèn)證證書等，保障部件、產(chǎn)品、方案、服務(wù)，以及整個(gè)生命周期的安全可靠。

5. 私人領(lǐng)域的數(shù)據(jù)受到與經(jīng)濟(jì)、國(guó)家和公民的數(shù)據(jù)隱私同等程度的保護(hù)和安全保障。盡量減少網(wǎng)絡(luò)侵犯和間諜攻擊造成的損失，注意優(yōu)化并改善對(duì)個(gè)人隱私數(shù)據(jù)的保護(hù)。

6. 對(duì)決策者安全狀態(tài)的認(rèn)知。

7. 信息技術(shù)機(jī)制為人服務(wù)，被人掌控。應(yīng)開(kāi)發(fā)方便使用的安全技術(shù)和工具流程，即友好型信息安全技術(shù)的研究和開(kāi)發(fā)。

如今看來(lái)，這七條意見(jiàn)還有待完善和補(bǔ)充。第四次工業(yè)革命發(fā)展迅猛，創(chuàng)新發(fā)明層出不窮，新技術(shù)和新產(chǎn)品在工業(yè)4.0和智能制造領(lǐng)域快速使用迅速，技術(shù)迭代速度快、范圍廣，因此，面臨的挑戰(zhàn)和任務(wù)愈加艱巨、廣泛、深入。設(shè)計(jì)層面涉及到工業(yè)、社會(huì)，以及私人的所有領(lǐng)域，幾乎可以說(shuō)是無(wú)孔不入。當(dāng)前的研究報(bào)告《工業(yè)4.0網(wǎng)絡(luò)安全: 挑戰(zhàn)和建議》詳細(xì)分析其難度、廣度、深度和長(zhǎng)度，大的范圍已經(jīng)被囊括在內(nèi)，但可能沒(méi)有完全涵蓋細(xì)分領(lǐng)域，仍然存在需要深入探討和挖掘的層面和角度。

重視工業(yè)信息安全

例如，工業(yè)信息安全是智能制造和工業(yè)4.0網(wǎng)絡(luò)安全的一個(gè)重大主題, 工業(yè)信息是數(shù)字黃金的核心資產(chǎn)，因此，遭到的網(wǎng)絡(luò)攻擊最密集。以工控信息為例，當(dāng)前，全球工業(yè)信息安全普遍面臨漏洞數(shù)量逐年增長(zhǎng)、中高危漏洞居高不下、漏洞修復(fù)進(jìn)度遲緩、漏洞利用技術(shù)門檻不斷降低的問(wèn)題。尤其針對(duì)工業(yè)企業(yè)的定向攻擊行為增多、攻擊手段愈發(fā)新型多樣，制造、建筑、交通運(yùn)輸及工程行業(yè)成為重點(diǎn)風(fēng)險(xiǎn)領(lǐng)域。暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)和設(shè)備數(shù)量與日俱增，成為世界各國(guó)工業(yè)信息安全的軟肋，中國(guó)多一半工控系統(tǒng)曾遭攻擊。國(guó)家工信安全中心監(jiān)測(cè)發(fā)現(xiàn)，全球暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)及設(shè)備數(shù)量持續(xù)上升，工業(yè)信息安全風(fēng)險(xiǎn)點(diǎn)不斷增加。2018年上半年全球范圍內(nèi)工控系統(tǒng)遭受網(wǎng)絡(luò)攻擊 ,中國(guó)工控系統(tǒng)遭受攻擊嚴(yán)重程度排在第六位，比例達(dá)57.4%，較2017年排名有所降低，但比例有所增長(zhǎng)。各國(guó)高度重視，多措并舉，不斷加強(qiáng)工業(yè)信息安全保障能力，建設(shè)面對(duì)嚴(yán)峻的工業(yè)信息安全的形勢(shì)。美國(guó)、歐盟、日本和英國(guó)等國(guó)家和地區(qū)高度重視、積極行動(dòng)，紛紛采取成立機(jī)構(gòu)、實(shí)施戰(zhàn)略、制定法律標(biāo)準(zhǔn)、投入資金、加強(qiáng)技術(shù)研究等諸多舉措，以加強(qiáng)工業(yè)信息安全的保障能力。

如在成立機(jī)構(gòu)方面：美國(guó)擁有數(shù)量龐大的網(wǎng)絡(luò)安全研究機(jī)構(gòu)，如愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室（INL）、桑迪亞國(guó)家實(shí)驗(yàn)室（SNL）、西北太平洋國(guó)家實(shí)驗(yàn)室（PNNL）等均是美國(guó)網(wǎng)絡(luò)安全研究的重要力量；英國(guó)有網(wǎng)絡(luò)應(yīng)急響應(yīng)小組，并設(shè)立國(guó)內(nèi)首個(gè)網(wǎng)絡(luò)安全學(xué)院，旨在培養(yǎng)下一代密碼破解者；日本的控制系統(tǒng)安全中心（CSSC）專門負(fù)責(zé)工業(yè)信息安全防護(hù)研究，包括控制系統(tǒng)高級(jí)安全技術(shù)、系統(tǒng)安全驗(yàn)證技術(shù)、可控安全測(cè)試床等方面的研究與開(kāi)發(fā)，開(kāi)展系列網(wǎng)絡(luò)安全研討會(huì)，舉辦“控制設(shè)備安全開(kāi)發(fā)流程，設(shè)計(jì)與驗(yàn)證研討會(huì)”、關(guān)鍵基礎(chǔ)設(shè)施“系統(tǒng)防御技術(shù)”網(wǎng)絡(luò)安全研討會(huì)等；此外，德國(guó)有信息安全聯(lián)邦安全辦公室，法國(guó)成立網(wǎng)絡(luò)與信息安全局。

黑客攻擊活動(dòng)：如電力、石油、天然氣、交通運(yùn)輸?shù)戎T多組織機(jī)構(gòu)的網(wǎng)絡(luò)被攻擊，核設(shè)施、石油部、航空、能源生產(chǎn)和供應(yīng)系統(tǒng)是網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)；此外，還有勒索病毒感染事件，在全球范圍內(nèi)迅速擴(kuò)散，涉及電力、軌道交通、石油、金融、電信等多個(gè)領(lǐng)域；交通系統(tǒng)及政府機(jī)構(gòu)也會(huì)遭網(wǎng)絡(luò)攻擊；犯罪分子通過(guò)源代碼找到遠(yuǎn)程監(jiān)控系統(tǒng)的漏洞，得以解鎖設(shè)備，會(huì)給企業(yè)帶來(lái)直接或間接嚴(yán)重的經(jīng)濟(jì)損失。

工業(yè)信息安全指工業(yè)運(yùn)行過(guò)程中的信息安全，涉及工業(yè)領(lǐng)域的各個(gè)環(huán)節(jié)，包括工業(yè)控制系統(tǒng)信息安全（以下簡(jiǎn)稱工控安全）、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)大數(shù)據(jù)安全、工業(yè)云安全、工業(yè)電子商務(wù)安全等。與傳統(tǒng)網(wǎng)絡(luò)安全相比，工業(yè)信息安全需適應(yīng)工業(yè)環(huán)境下系統(tǒng)和設(shè)備的實(shí)時(shí)性、高可靠性需求，以及工業(yè)協(xié)議眾多等行業(yè)特征，防護(hù)難度更大。

當(dāng)前的任務(wù)和對(duì)策

工業(yè)4.0下的網(wǎng)絡(luò)安全在人才、流程和技術(shù)方面面臨的挑戰(zhàn)為應(yīng)用研究提供具體任務(wù)和創(chuàng)新機(jī)會(huì)。在信息技術(shù)研究領(lǐng)域，應(yīng)加強(qiáng)應(yīng)用導(dǎo)向研究，以及適合市場(chǎng)化的產(chǎn)品開(kāi)發(fā)和應(yīng)用實(shí)踐案例，保護(hù)經(jīng)濟(jì)、工業(yè)數(shù)據(jù)和網(wǎng)絡(luò)安全，降低網(wǎng)絡(luò)安全產(chǎn)品的成本，開(kāi)發(fā)具有全球競(jìng)爭(zhēng)力的技術(shù)、產(chǎn)品和解決方案，并迅速推進(jìn)應(yīng)用推廣。在智能制造、交通設(shè)施、能源生產(chǎn)和供應(yīng)等國(guó)家核心數(shù)字資產(chǎn)流動(dòng)過(guò)程中，提供可靠的網(wǎng)絡(luò)安全保障。在網(wǎng)絡(luò)安全的研究、開(kāi)發(fā)領(lǐng)域，通過(guò)應(yīng)用成功案例，引領(lǐng)示范性作用的技術(shù)開(kāi)發(fā)。開(kāi)展強(qiáng)大的應(yīng)用導(dǎo)向系統(tǒng)研究，對(duì)于每一個(gè)實(shí)施智能制造的工業(yè)國(guó)家都是最緊迫的任務(wù)。開(kāi)發(fā)可靠的系統(tǒng)解決方案，聯(lián)合工業(yè)合作伙伴，共同開(kāi)發(fā)市場(chǎng)成熟的產(chǎn)品，與時(shí)俱進(jìn)、源源不斷地提供創(chuàng)新技術(shù)，才能正真推動(dòng)經(jīng)濟(jì)實(shí)體，體現(xiàn)并實(shí)現(xiàn)工業(yè)4.0和智能制造價(jià)值創(chuàng)造的目標(biāo)任務(wù)，為工業(yè)生態(tài)系統(tǒng)的可持續(xù)發(fā)展提供系統(tǒng)的安全保障，網(wǎng)絡(luò)安全必將成為最重要、最高級(jí)別的研究領(lǐng)域，從國(guó)家政策引導(dǎo)，到資金配置支持，到充分調(diào)動(dòng)市場(chǎng)協(xié)同效應(yīng)，全方位、多方面為網(wǎng)絡(luò)安全提供技術(shù)、服務(wù)和解決方案的深度保障。目前任務(wù)廣泛，包含云安全、虛擬物理系統(tǒng)、數(shù)據(jù)保護(hù)和隱私管理、能源生產(chǎn)和供應(yīng)、預(yù)警系統(tǒng)、工廠工業(yè)產(chǎn)品智能化、移動(dòng)信息技術(shù)應(yīng)用研究開(kāi)發(fā)、網(wǎng)絡(luò)安全設(shè)施、網(wǎng)絡(luò)攻擊保護(hù)、虛擬物理系統(tǒng)的網(wǎng)絡(luò)安全、移動(dòng)系統(tǒng)的安全工程、防止網(wǎng)絡(luò)攻擊、全方位立體安全管理系統(tǒng)的建立、全生命周期可靠的系統(tǒng)安全保障和隱私保護(hù)等。報(bào)告最后一頁(yè)這張索引一目了然，在各個(gè)執(zhí)行層面都具有很好的參考價(jià)值和執(zhí)行指導(dǎo)意義。

遺憾的是，目前為止，還沒(méi)有看到研究成果，從戰(zhàn)略層面提出緊急挑戰(zhàn)與應(yīng)急對(duì)策方面的指導(dǎo)性意見(jiàn)和報(bào)告，簡(jiǎn)單舉例在極端的社會(huì)政治和經(jīng)濟(jì)環(huán)境下，因戰(zhàn)爭(zhēng)或國(guó)家和地區(qū)之間的政治、經(jīng)濟(jì)、貿(mào)易摩擦而引發(fā)國(guó)際關(guān)系惡化，導(dǎo)致網(wǎng)絡(luò)安全攻擊或惡意中斷網(wǎng)絡(luò)，進(jìn)而使得產(chǎn)品、網(wǎng)絡(luò)通道和數(shù)據(jù)管控強(qiáng)制斷裂，對(duì)于未來(lái)工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)和智能制造的新型工業(yè)生態(tài)模式和社會(huì)環(huán)境，都是必須考量的因素。雖然出現(xiàn)極端的天災(zāi)人禍的概率極低，但是一旦出現(xiàn)，如果沒(méi)有應(yīng)急對(duì)策，對(duì)工業(yè)和社會(huì)將是摧毀性、致命性的打擊。

作者：倪道鈞（中德工業(yè)技術(shù)有限公司總經(jīng)理）