今日頭條
官方微信
官方抖音
資訊頻道當前,互聯(lián)網(wǎng)技術(shù)逐漸同實業(yè)領(lǐng)域進行融合,并以其獨特的理念影響著實體經(jīng)濟的發(fā)展,工業(yè)互聯(lián)網(wǎng)作為互聯(lián)網(wǎng)技術(shù)應(yīng)用在工業(yè)場景融合發(fā)展的產(chǎn)物,是國家實體經(jīng)濟的能夠蓬勃發(fā)展的新催化劑。近日工業(yè)和信息化部更是發(fā)布了《關(guān)于推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》,更是體現(xiàn)了國家要加快工業(yè)互聯(lián)網(wǎng)發(fā)展的需求。為深入推進“供給側(cè)”結(jié)構(gòu)調(diào)整,近年來工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)迅速發(fā)展,在黨中央的領(lǐng)導(dǎo)下,各相關(guān)部門協(xié)同推進,工業(yè)互聯(lián)網(wǎng)相關(guān)標準體系逐步建立健全,產(chǎn)業(yè)生態(tài)環(huán)境逐步完善,國內(nèi)傳統(tǒng)工業(yè)企業(yè)更是孵化出了一批優(yōu)秀的工業(yè)互聯(lián)網(wǎng)平臺企業(yè),為我國經(jīng)濟穩(wěn)定高效的發(fā)展提供了強有力的支持。
工業(yè)互聯(lián)網(wǎng)在工業(yè)領(lǐng)域內(nèi)絕大多數(shù)行業(yè)中發(fā)揮著至關(guān)重要的作用是國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分,在保證其業(yè)務(wù)穩(wěn)定、持續(xù)運行的情況下,其安全工作也需要嚴格落實“三同步”原則。近兩年來,在工業(yè)和信息化部的指導(dǎo)下,國家工業(yè)信息安全發(fā)展研究中心(以下簡稱“我中心”)積極參與工業(yè)互聯(lián)網(wǎng)發(fā)展建設(shè)的相關(guān)工作,在工業(yè)互聯(lián)網(wǎng)安全的標準文件研究制定、監(jiān)測預(yù)警、應(yīng)急處置和檢測評估方面發(fā)揮了積極的作用。通過工業(yè)互聯(lián)網(wǎng)安全檢測評估等工作,發(fā)現(xiàn)企業(yè)存在一系列共性問題。
一、工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)存在的主要安全問題
通過對35個工業(yè)互聯(lián)網(wǎng)平臺安全評估分析發(fā)現(xiàn):現(xiàn)階段我國工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)安全防護工作基本到位,安全管理制度相對完善,技術(shù)防護手段較為完備,但仍存在安全痛點問題亟待解決,主要問題如下:
(一)企業(yè)安全管理保障體系亟需健全。多數(shù)企業(yè)網(wǎng)絡(luò)安全管理保障體系存在以下三個方面的問題:首先是針對性管理制度缺失,大多數(shù)企業(yè)未建立結(jié)合生產(chǎn)應(yīng)用場景的工業(yè)互聯(lián)網(wǎng)安全管理制度,安全應(yīng)急預(yù)案不完善;部分企業(yè)缺少數(shù)據(jù)管控制度,敏感數(shù)據(jù)缺乏安全管理辦法。半數(shù)以上企業(yè)缺少有針對性的監(jiān)督考核機制,無法起到有效的督促、激勵、促進的作用;其次是針對性應(yīng)急演練不到位,員工安全意識薄弱,企業(yè)雖然開展了應(yīng)急演練工作,但是未針對工業(yè)互聯(lián)網(wǎng)安全制定相關(guān)應(yīng)急預(yù)案,開展應(yīng)急演練工作,企業(yè)員工對工業(yè)互聯(lián)網(wǎng)安全問題不敏感,一旦發(fā)生突發(fā)安全事件,員工的處置能力無法滿足處置要求;再次是專業(yè)設(shè)備與人才的經(jīng)費投入不足,多數(shù)企業(yè)對于安全防護設(shè)備和安全專業(yè)人才投入的經(jīng)費較少,企業(yè)存在缺乏專業(yè)安全防護設(shè)備與技術(shù)支持的現(xiàn)象,安全防護手段的缺失會導(dǎo)致企業(yè)安全防護存在隱患。
(二)工業(yè)數(shù)據(jù)缺乏有效的管控防護措施。多數(shù)平臺企業(yè)對數(shù)據(jù)安全的保護措施較欠缺,未對重要數(shù)據(jù)進行加密存儲和傳輸、定期備份等;多數(shù)企業(yè)忽視對如弱口令、跨站腳本、命令注入、遠程代碼執(zhí)行等常見漏洞的及時跟蹤處理,導(dǎo)致存在漏洞的設(shè)備易被攻擊者利用并獲取權(quán)限,進而竊取重要工業(yè)數(shù)據(jù)。超過70%的平臺企業(yè)缺乏對云服務(wù)外包的安全管控,缺乏對外包中涉及業(yè)務(wù)數(shù)據(jù)的相應(yīng)防護舉措;部分企業(yè)存在辦公網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)互通現(xiàn)象,存在辦公網(wǎng)病毒傳播至生產(chǎn)網(wǎng)絡(luò),進而竊取工業(yè)數(shù)據(jù)影響工藝流程的風(fēng)險。
(三)工業(yè)APP產(chǎn)品檢測評估缺失。評估過程中,檢測人員發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)企業(yè)普遍采取APP客戶端直連工業(yè)控制系統(tǒng)模式,未部署網(wǎng)絡(luò)邊界防護設(shè)備,同時企業(yè)普遍缺少工業(yè)APP安全測試,無法及時發(fā)現(xiàn)信息交互過程中的數(shù)據(jù)明文傳輸和訪問控制不受限等風(fēng)險,導(dǎo)致大量生產(chǎn)控制指令、參數(shù)傳輸暴露于互聯(lián)網(wǎng),存在泄露重要工藝參數(shù)和工藝流程的風(fēng)險。絕大多數(shù)工業(yè)APP產(chǎn)品還存在反編譯和硬編碼等安全漏洞,易被攻擊者利用,進而獲取功能調(diào)用權(quán)限尤其是對生產(chǎn)系統(tǒng)的控制功能調(diào)用,攻擊者可通過篡改控制指令引發(fā)重大生產(chǎn)事故和財產(chǎn)損失。
二、工業(yè)互聯(lián)網(wǎng)安全政策標準要求
為進一步提升工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)的安全保障能力,落實安全責(zé)任制,指導(dǎo)企業(yè)開展好網(wǎng)絡(luò)安全工作,國務(wù)院、工業(yè)和信息化部連續(xù)印發(fā)了一系列文件標準,指導(dǎo)和規(guī)范工業(yè)互聯(lián)網(wǎng)安全工作。
一是《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》。指導(dǎo)意見確定了構(gòu)建起與我國經(jīng)濟社會發(fā)展相適應(yīng)的工業(yè)互聯(lián)網(wǎng)生態(tài)體系,提出從提升安全防護能力、建立數(shù)據(jù)安全保護體系、推動安全技術(shù)手段建設(shè)三個方面提升工業(yè)互聯(lián)網(wǎng)安全保障能力。
二是《工業(yè)控制系統(tǒng)信息安全防護指南》。防護指南指出工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實責(zé)任等11個方面做好工控安全防護工作。
三是《工業(yè)控制系統(tǒng)信息安全應(yīng)急工作管理指南》。管理指南旨在加強工控安全事件應(yīng)急管理,提高工控安全事件應(yīng)急處置能力,預(yù)防和減少工控安全事件造成的損失和危害,保障工業(yè)生產(chǎn)正常運行。該指南對工控安全風(fēng)險監(jiān)測、信息報送與通報、應(yīng)急處置、敏感時期應(yīng)急管理等工作提出了一系列管理要求,明確了責(zé)任分工、工作流程和保障措施。
四是《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》。管理辦法旨在規(guī)范工控安全防護能力評估工作,切實提升工控安全防護水平。該辦法以規(guī)范針對工業(yè)企業(yè)開展的工控安全防護能力評估活動為重點,加強工控安全防護能力評估機構(gòu)、人員和工具管理,明確工控安全防護能力評估工作程序。
五是《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》。行動計劃突出落實企業(yè)主體責(zé)任,從提升工業(yè)企業(yè)工控安全防護能力,促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展,加快工控安全保障體系建設(shè)出發(fā),進一步明確了部門、地方和企業(yè)做什么和怎么做,部署了五大能力提升行動,為下一步開展工控安全工作提供了依據(jù)和指導(dǎo)。
六是《關(guān)于加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》。指導(dǎo)意見提出在2020年底初步建立工業(yè)互聯(lián)網(wǎng)安全保障體系的目標,明確了7大任務(wù),明確了企業(yè)安全保護的主體責(zé)任,提出了建立分類分級管理機制,明確提出了平臺與工業(yè)應(yīng)用程序(APP)保護要求、工業(yè)數(shù)據(jù)保護要求等。
七是《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級指南(試行)》。指南給出了工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分級評定參考規(guī)則,針對不同級別企業(yè),在組織管理、安全防護、風(fēng)險評估、應(yīng)急管理等方面提出了更為細化、具體的要求。
八是《工業(yè)數(shù)據(jù)分類分級指南(試行)》。指南發(fā)布目的在于通過分類梳理工業(yè)企業(yè)海量數(shù)據(jù)資產(chǎn),明確基礎(chǔ)數(shù)據(jù)類型,通過分級確定各類工業(yè)數(shù)據(jù)的敏感程度,明確數(shù)據(jù)的范圍邊界和使用方式,為加強數(shù)據(jù)安全管理,推動數(shù)據(jù)開放共享和最大化挖掘利用提供支撐。
九是《推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》。通知明確提出加快新型基礎(chǔ)設(shè)施建設(shè)、加快拓展融合創(chuàng)新應(yīng)用、加快健全安全保障體系、加快壯大創(chuàng)新發(fā)展動能、加快完善產(chǎn)業(yè)生態(tài)布局、加大政策支持力度等6個方面20項具體舉措推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展。
三、企業(yè)下一步應(yīng)加強的幾個方面
為進一步促進工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展,提高工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全防范能力和水平,建議企業(yè)可以從以下幾個方面進行整改加強:
(一)落實政策法規(guī),建立健全工業(yè)互聯(lián)網(wǎng)安全管理制度。企業(yè)可依據(jù)《網(wǎng)絡(luò)安全法》、《關(guān)于印發(fā)加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見的通知》、《工業(yè)控制系統(tǒng)信息安全防護指南》、《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級指南》、《工業(yè)數(shù)據(jù)分類分級指南》、等保2.0等國家指導(dǎo)性文件建立健全安全管理體系,按照組織管理逐層落實企業(yè)網(wǎng)絡(luò)安全責(zé)任,有效施行企業(yè)網(wǎng)絡(luò)安全監(jiān)督考核機制,積極開展應(yīng)急預(yù)案與演練、工業(yè)數(shù)據(jù)分類分級等工作,通過組織培訓(xùn)等措施增強員工安全意識和突發(fā)事件處理能力。
(二)持續(xù)開展檢查評估,逐步提升工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障能力。企業(yè)可邀請專業(yè)機構(gòu)的檢測評估隊伍進行評估和經(jīng)驗交流,開展針對工業(yè)互聯(lián)網(wǎng)相關(guān)平臺、應(yīng)用、設(shè)施的評估工作,檢驗企業(yè)在安全保障措施、安全管理制度、安全應(yīng)急預(yù)案、安全設(shè)備配置、外包服務(wù)等方面工作是否有效落實,及時發(fā)現(xiàn)存在的風(fēng)險隱患,在專業(yè)機構(gòu)的指導(dǎo)下對存在問題查漏補缺,提升企業(yè)自身的網(wǎng)絡(luò)安全保障能力。
(三)加強安全檢測,全面提高關(guān)鍵核心技術(shù)應(yīng)用的數(shù)據(jù)安全性。企業(yè)在運營中可加強與網(wǎng)絡(luò)安全廠商、外包服務(wù)商等的協(xié)同聯(lián)動,部署有效安全技術(shù)防護手段,積極對工業(yè)互聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)、平臺、工業(yè)APP等工業(yè)數(shù)據(jù)的載體進行安全檢測,對存在的安全風(fēng)險及時進行整改修復(fù),建立從設(shè)備安全配置到邊界安全防護再到網(wǎng)絡(luò)安全態(tài)勢感知的閉環(huán)管控,防止工業(yè)數(shù)據(jù)被竊取。積極引入專業(yè)人才對數(shù)據(jù)載體進行管理和安全加固,做到專人專崗,專事專做。
來源:工業(yè)菜園
北京市公安局海淀分局備案號:11010802023656號