最火工业互联网产业蓬勃发展背后的安全防护钢化玻璃滑雪镜碳粉熔喷滤芯模具产品Frc

工业互联产业蓬勃发展背后的安全防护

工业互联是以数字化、络化、智能化为主要特征，通过系统构建络、平台、安全三大功能体系，打造人、机、物全面互联的新型络基础设施。应坚持国家总体安全观，从国家安全战略全局出发，认识理解工业互联安全的重大意义，强化顶层设计和统筹管理，加快构建符合我国国情、满足工业互联发仪表机床展需要的安全保障体系，如图所示。

工业互联安全威胁分析

工业互联实现了全系统、全产业链和全生命周期的互联互通，而与此同时，互联互通的实现也打破传统工业相对封闭可信的生产环境，导致攻击路径大大增加。

现场控制层、集中调度层购房贷款、企业管理层之间直接通过以太甚至是互联承载数据通信，越来越多的生产组件和服务直接或间接与互联连接，攻击者从研发端、管理端、消费端、生产端都有可能实现对工业互联的攻击或病毒传播。

这也直接导致工业互联数据保护难钢琴度加大。工业互联数据种类和保护需求多样，数据流动方向和路径复杂，研发设计数据、内部生产管理数据、操作控制数据以及企业外部数据等，可能分布在大数据平台、用户端、生产终端、设计服务器等多种设施上，仅依托单点、离散的数据保护措施难以有效保护工业互联中流动的工业数据安全。

从现实来看，下层工业控制络安全性考虑也还不充分。

传统模式下，工业控制络未与外部互联直接联通，安全认证机制，访问控制手段需求并不迫切。然而，在工业互联环境下，攻击者一旦通过互联通道进入下层工业控制，只需掌握通信协议就可以很容易对工业控制络实现常见的拒绝服务攻击、中间人攻击等，轻则影响生产数据采集和控制指令的及时性和正确性，重则造成物理设施被破坏。

从平台建设来看，虚拟化等平台技术成为趋势，这也加大了工业数据保护难度。工业互联平台中多个客户共享计算资源，虚拟机之间的隔离和防护容易受到攻击，跨虚拟机的非授权访问风险突出。而且目前多未来我国塑料挤出机国际影响力将延续升温数集团或工业企业内部的生产业务平台安全设计不足。

工业企业往往更加注重业务平台的功能性，在设计之初很少考虑安全架构，可能存在权限绕过、缓冲区溢出等安全设计缺陷，为络攻击提供路径。

工业互联的相关定义和技术架构尚未在国际范围内得到充分统一，工业互联在我国的提出和推进也仍然处于初级阶段。

与传统消费互联和商业互联相比，作为新生事物的工业互联需要更高标准的信息安全要求；与传统工业控制系统相比，工业互联的安全覆盖面更为复杂。

当前，我国仅从工业互联的某些局部元素层面开展了相关安全保障工作，且工业互联安全保障可能涉及多个部门，需要充分协作、形成合力，打造针对我国工业互联的整体安全保障工作机制。

工业互联安全需求

安全是工业互联的三大核心内容之一。在工业互联总体框架下，安全既是一套独立功能体系，又渗透融合在络和平台建设使用的全过程，为络、平台提供安全保障。

构建工业互联安全保障体系可从平台、络、终端、数据四个方面考虑，涉及工业控制系统安全、企业信息管理系统安全、企业控制络及管理安全、互联宽带络安全、工业云安全和工业大数据安全等内容。

1.主体

在传统工业制造阶段，工业信息安全作为生产安全的重要组成部分，由工业企业作为其安全主体，边界较为清晰。

当前工业互联互通阶段，工业信息安全主要表征为工业互联安全，工业互联业务和数据在设备层、数据采集层、基础络层、IaaS层、工业互联平台层、工业应用层等多个层级间流转，安全主体涉及工业企业、设备供应商、基础电信运营商、IaaS络服务商、工业互联平台运营商、工业应用提供商等，安全界定和安全监管难度加大。

2.平台安全

工业互联平台是工业互联实施落地与生态构建的关键载体，其安全是工业互联安全的核心和关键。

目前，工业互联平台安全问题主要包括：

其中，企业内包含有生产、控制、企业管理及集团专用；企业外主要指基于国家骨干、接入和城域建立的互联宽带络。

在内侧，安全问题主要包括：

一是传统静态防护策略和安全域划分方法不能满足工业企业络复杂多变、灵活组的需求；

二是工业互联涉及不同络在通信协议、数据格式、传输速率等方面的差异性，异前后研制了近千种高技术新材料构络的融合面临极大挑战；

三是工业领域传统协议和络体系结构设计之初基本没有考虑安全性，安全认证机制和访问控制手段缺失。

在外侧，需要在传统互联安全的基础上，进一步强化面向工业互联的IPv6安全、软件定义络（SDN）安全、工业互联标识解析安全、5G等新型蜂窝移动通信技术安全等。

4.终端安全

工业互联中的终端是指工业领域应用的产品、系统、设备，包含工业生产控制设备、工业络通信设备、工业主机设备、工业生产信息系统、工业络安全设备和其他工业设备/系统。

终端安全问题形势严峻，主要表现在以下方面：

一是传统工业环境中海量工业软硬件在生产设计时并未过多地考虑安全问题，可能存在大量安全漏洞；

三是我国大部分重要工业设备日常运维和设备维修也严重依赖国外厂商，存在被境外机构操控的风险。

工业数据是指工业领域中，在业务活动和过程中所产生、采集、处理、存储、传输和使用的数据的综合。

利用Energizer目前，企业通过工业数据的分析和应用可以去预测需求、预测制造，整合产业链和价值链，发现用户的价值缺口，发现和管理不可见的问题，实现为用户提供定制化的产品和服务，是企业获取持续竞争优势的核心要素。

工业互联使数据存在的范围和边界发生了根本变化，给数据安全带来巨大挑战。

工业互联安全防护整体方案

做好工业互联安全的整体保障，才能为工业互联提供一个安全可靠的发展环境。

当前，应牢牢把握工业互联发展的关键窗口期，坚持以 本质安全、内外兼顾、业务优先、隐私可控 为安全保障原则，从加强政策规划指引、夯实基础性工作、打造公共服务平台、促进产业发展等多方面入手，建立全面保障工业互联设备电工设备安全、络安全、平台安全和数据安全的新型纵深防御安全架构，从整体上强化我国工业互联安全防护水平。

1.以顶层设计为基础

2017年12月，工业和信息化部发布了《工业控制系统信息安全行动计划（2018 2020年）》，从国家层面对工控系统信息安全保障体系建设做出规划。

2.以态势感知为条件

在已形成的工业控制系统监测预为实现这些控制要求警能力基础上，建设面向公共互联、企业内/专和工业控制络的国家级工业互联监测预警与态势感知平台，结合监测、诱捕探测、结构化/非结构化威胁数据感知等手段，通过大数据分析技术，形成全天候、全方位感知工业互联安全态势的能力。

3.以检查评估为抓手

健全工业互联安全防护体系，检查评估必不可少：

首先，建立面向工业企业的工业互联安全检查和安全评估常态化工作机制，通过检查评估及时发现工业互联的设备、络、平台和数据安全问题，指导工业企业提升工业互联安全防护水平。

同时，探索开展工业互联平台第三方安全审查，确保工业互联平台产品和服务的安全性、可控性。研究工业互联平台上线前安全测试制度，及时发现平台安全漏洞、配置不合理、非授权访问、身份冒用、不必要络服务开放等安全隐患，确保平台上线后运行安全。

4.以通报应急为重点

建设工业互联风险信息通报与应急处置工作体系，建设工业互联安全应急专业技术队伍，提高应对工业互联安全事件和重大风险的组织协调与应急处置水平，预防和减少安全事件造成的损失和危害，形成集工业互联安全风险信息的收集、汇总、核查研判、通报发布、消减处置、跟踪复查等于一体的闭环应急处置工作机制。