不久前,IDC发布《IDC PeerScape:中国工业互联网数据安全防护优秀实践洞察》报告总结了工业企业数据安全防护5个常见问题:分级分类标准难把握、协同设计数据易泄露、全面安全建设周期长、历史单点防护统一管理和多方数据共享流转,并希望通过遴选出的6个最佳实践案例:国投生物(铁岭)、某电力仪表集团、某大型汽车集团、上海燃气、南网集团、玉环市阀门产业互联网平台等,为更多组织提供参考。
当今工业互联网主要面临以下挑战:
一是传统企业网络安全边界的改变,导致网络攻击路径增多,企业数字化转型的深入实施,企业的网络风险正在变得越来越严峻。
二是数据安全不容忽视,数据安全风险贯穿于工业互联网大数据的产生、采集、存储、传输、处理、销毁等全生命周期,急需明确数据安全主体责任,加强数据各环节的安全防护,定期开展数据安全能力评估,实时监测数据的安全流动,追踪安全事件,及时做出响应,形成安全闭环。
三是外界大环境对实体经济影响较大,特别是中小企业,企业利润率下降,在数字化转型、安全防护以及安全团队建设等方面投入有限,同时企业安全防护意识缺乏,重发展轻安全的思维普遍存在。
工控网络安全相关标准、法规密集出台
值得注意的是,一旦出现安全问题,工业互联网各个模块内的信息安全性、完整性等将受到很大威胁,甚至遭到破坏,造成难以估算的损失。鉴于这些工业安全事件造成的重大经济损失或社会影响,工控安全在全球的重视程度也在逐步提升。如何有效强化工控系统的安全防御能力,提升工控行业的厂商实力,已经成为国家政策重点关注的领域,同时也是我国制造企业在推进智能工厂改造以及数字化转型必须重视的问题。从国家政策层面来看,工控网络安全相关的行业标准、法律法规近几年密集出台。早在2016年,我国就发布了《中华人民共和国网络安全法》。2017年至今,工业和信息化部又接连发布了《工业控制系统信息安全防护措施》、《工业控制系统信息安全行动计划》、《网络安全等级保护制度2.0》等相应的法规,为工控安全提出了新的要求,并有了具体的指导和落地方向。
2021年12月,《工业互联网安全标准体系(2021年)》发布,包括分类分级安全防护、安全管理、安全应用服务等3个类别16个细分领域以及76个具体方向,指出加快建立网络安全分类分级管理制度、强化工业互联网企业安全防护能力、推动网络安全产业高质量发展。
2022年4月,工业和信息化部印发《工业互联网专项工作组2022年工作计划》,指出要提升安全保障。依法落实企业网络安全主体责任,健全完善工业互联网安全管理制度,深入实施工业互联网企业网络安全分类分级管理制度。加强网络安全供给创新突破,加快工业互联网安全关键核心技术创新突破。促进网络安全产业发展壮大,做好网络安全产业政策文件宣贯落实。强化网络安全技术保障能力,持续提升国家工业互联网安全技术监测服务能力。
2022年5月,工业和信息化部办公厅发布关于开展工业互联网安全深度行活动的通知,围绕分类分级管理、政策标准宣贯、资源池建设、应急演练、人才培训、赛事活动等6项内容开展深度行活动,指出深入宣贯工业互联网安全相关政策标准,健全自主定级、定级核查、安全防护、风险评估等工作机制,加快工业互联网安全专用技术和产品创新,培育壮大地方专业化服务机构,推动在全国范围内深入实施工业互联网企业网络安全分类分级管理。随后,江苏、江西、山东等地纷纷开展2022年工业互联网安全深度行活动,共同提升工业互联网安全保障能力。
工业安全市场规模加速发展
在需求和政策的驱动下,工业安全市场规模还在逐步扩展。根据《中国工业信息安全产业发展白皮书(2019-2020)》披露,2019年全球工业信息安全市场规模达164.01亿美元,而我国工业信息安全产业规模为99.74亿元,市场增长率达41.84%。2020年受到疫情影响,前瞻产业研究院估计全球工业信息安全市场规模增速会有所放缓,约为172亿美元,而国内市场整体规模预计增长至122.81亿元。
在产业链中,各企业也结合多领域、新技术涌现出一批工业互联网安全解决方案,围绕工业设备、控制、网络、平台、工业APP 、数据等多方面网络安全问题,构建涵盖工业全系统的安全防护体系,通过监测预警、应急响应、检测评估、功能测试等手段,打造满足工业需求的安全技术体系和相应管理机制,识别和抵御来自内外部的安全威胁,化解各种安全风险,为制造业智能发展提供安全可信保障。
从国内来看,目前能够给广大工业企业提供工控安全产品和解决方案的厂商,主要分为三类:(1)专业的工控安全厂商。例如北京威努特技术有限公司、北京神州慧安科技有限公司、杭州木链物联网科技有限公司、长扬科技(北京)有限公司、北京匡恩网络科技有限公司、谷神星网络科技(北京)有限公司等。这类厂商基本属于近几年成立的创业公司,整合了不少信息安全与工业自动化方面的人才,并且100%专注于工控安全领域,具备很强的实力。
(2)自动化背景厂商。例如青岛海天炜业自动化控制系统有限公司、北京力控华康科技有限公司在工控安全市场上有较大的影响力,珠海市鸿瑞软件技术有限公司在电力行业影响较大。由于这类企业在工业自动化领域的深耕,其自身自动化产品也有工控安全方面的需求,因而更能了解工业企业的行业“Know-How”。
(3)传统IT安全厂商背景。例如启明星辰信息技术有限公司、北京网御星云信息技术有限公司、北京神州绿盟信息安全科技股份有限公司、北京中科网威信息技术有限公司、上海三零卫士信息安全有限公司等。这类企业以IT技术见长,在工控安全市场上有一定的影响力。
如今,工业互联网安全已成刚需,如何加强安全保障值得深思。鼓励科研院所加强网络安全问题研究,从工业互联网系统架构、网络平台等方面着手安全设计和研究。鼓励企业利用人工智能、区块链、云计算等前沿技术为工业互联网安全赋能,全方位保障工业互联网安全。构建工业互联网安全体系人才,坚持产学研用一体,加快培育既懂信息通信技术,又熟悉生产制作流程,具备跨界协作能力的复合型、创新型网络安全人才同样至关重要。
