隨著網(wǎng)絡(luò)信息技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，工業(yè)互聯(lián)持續(xù)深入趨勢愈發(fā)明顯，病毒、木馬等傳統(tǒng)網(wǎng)絡(luò)威脅持續(xù)向工業(yè)控制系統(tǒng)蔓延，勒索攻擊等新型攻擊模式不斷涌現(xiàn)，安全事件頻發(fā)，整體安全形勢嚴(yán)峻。

　　一、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全服務(wù)切入點

　　工業(yè)互聯(lián)網(wǎng)涉及工業(yè)生產(chǎn)全流程，與傳統(tǒng)互聯(lián)網(wǎng)安全技術(shù)的對象和方法并不完全一致。工業(yè)互聯(lián)網(wǎng)安全服務(wù)應(yīng)針對工業(yè)生產(chǎn)全流程進(jìn)行整體安全設(shè)計，做到統(tǒng)籌兼顧。逐步建設(shè)覆蓋設(shè)備、控制、網(wǎng)絡(luò)、平臺和數(shù)據(jù)的安全防護(hù)措施，形成對工業(yè)互聯(lián)網(wǎng)的縱深防御體系。

　　1. 以安全檢測為抓手，提升聯(lián)網(wǎng)工控設(shè)備本質(zhì)安全由于工控設(shè)備在設(shè)計之初就很少考慮安全問題，導(dǎo)致安全漏洞不斷涌現(xiàn)。工業(yè)控制系統(tǒng)整體安全防護(hù)水平依賴于組成系統(tǒng)的各基礎(chǔ)軟硬件設(shè)備（RTU、DCS、PLC）的安全性。此外，聯(lián)網(wǎng)工控設(shè)備處于工業(yè)控制網(wǎng)絡(luò)和企業(yè)管理網(wǎng)絡(luò)的邊界處，加強(qiáng)對這一環(huán)節(jié)的安全檢測工作，有利于提升工控系統(tǒng)的整體安全防護(hù)水平。

　　2. 以安全風(fēng)險評估為驅(qū)動，促進(jìn)聯(lián)網(wǎng)工業(yè)企業(yè)網(wǎng)絡(luò)安全防護(hù)水平提升聯(lián)網(wǎng)工業(yè)企業(yè)網(wǎng)絡(luò)安全防護(hù)工作應(yīng)以風(fēng)險評估為基礎(chǔ)，提出風(fēng)險管控目標(biāo)。通過開展網(wǎng)絡(luò)安全風(fēng)險評估工作，可以有效識別企業(yè)目前存在的風(fēng)險點、風(fēng)險事件、可能的影響、安全措施及標(biāo)準(zhǔn)法規(guī)的符合性等等，做到有的放矢。安全風(fēng)險評估應(yīng)貫穿工業(yè)企業(yè)建設(shè)的整個生命周期。

　　3. 以安全合規(guī)評測為手段，強(qiáng)化工業(yè)互聯(lián)網(wǎng)平臺安全保障水平積極開展針對工業(yè)互聯(lián)網(wǎng)平臺的安全合規(guī)評測工作，實現(xiàn)以評促建、以評促管、以評促改、以評促防的安全監(jiān)管工作機(jī)制。深入摸清全國范圍內(nèi)工業(yè)互聯(lián)網(wǎng)重點平臺安全底數(shù)，幫助工業(yè)互聯(lián)網(wǎng)重點平臺及時發(fā)現(xiàn)風(fēng)險隱患、提高平臺網(wǎng)絡(luò)安全防護(hù)水平，并督促運(yùn)營企業(yè)落實主體責(zé)任，及時進(jìn)行整改。

　　二、工業(yè)互聯(lián)網(wǎng)安全政策要求

　　為進(jìn)一步提升工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)的安全保障能力，落實安全責(zé)任制，指導(dǎo)企業(yè)開展好網(wǎng)絡(luò)安全工作，國務(wù)院、工業(yè)和信息化部連續(xù)印發(fā)了一系列文件標(biāo)準(zhǔn)，指導(dǎo)和規(guī)范工業(yè)互聯(lián)網(wǎng)安全工作。已發(fā)布的政策文件和主要內(nèi)容見下表。

　　從工業(yè)互聯(lián)網(wǎng)相關(guān)安全要求看出，其中對技術(shù)防護(hù)措施、工業(yè)數(shù)據(jù)安全保護(hù)、供應(yīng)鏈安全、應(yīng)急管理、工業(yè)App保護(hù)等方面提出了要求，但當(dāng)前工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)安全防護(hù)能力不足，安全服務(wù)機(jī)構(gòu)應(yīng)做好政策要求和企業(yè)需求的融合，充分理解政策要求，將其與企業(yè)安全需求相統(tǒng)一，推動工業(yè)互聯(lián)網(wǎng)企業(yè)安全能力提升。

　　三、工業(yè)互聯(lián)網(wǎng)企業(yè)典型網(wǎng)絡(luò)安全問題分析

　　近5年來，國家工業(yè)信息安全發(fā)展研究中心按照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》要求，累計對200余家工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)開展了現(xiàn)場評估，評估圍繞安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實責(zé)任等11個方面開展，發(fā)現(xiàn)了企業(yè)存在的一批典型問題。

　　1. 工業(yè)互聯(lián)網(wǎng)安全管理體系不健全

　　評估發(fā)現(xiàn)，大多數(shù)企業(yè)尚未結(jié)合生產(chǎn)應(yīng)用場景建立適應(yīng)工業(yè)互聯(lián)網(wǎng)發(fā)展需求的網(wǎng)絡(luò)安全管理制度。缺少針對工業(yè)互聯(lián)網(wǎng)安全考核機(jī)制，安全責(zé)權(quán)不清，人員和經(jīng)費(fèi)投入有限，缺乏有效的督促和激勵制度保障；缺少工業(yè)互聯(lián)網(wǎng)安全評估制度，多數(shù)企業(yè)對工業(yè)互聯(lián)網(wǎng)改造后需要保護(hù)的網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)等保護(hù)對象及其應(yīng)達(dá)到的安全要求掌握分析不足，對網(wǎng)絡(luò)中已存在的漏洞、病毒不掌握；網(wǎng)絡(luò)安全應(yīng)急保障不完善，絕大多數(shù)企業(yè)沒有針對自身工業(yè)互聯(lián)網(wǎng)情況明確網(wǎng)絡(luò)安全應(yīng)急預(yù)案并開展演練。

　　2. 缺乏工業(yè)互聯(lián)網(wǎng)安全保障技術(shù)體系

　　目前，多數(shù)企業(yè)工業(yè)互聯(lián)網(wǎng)處于試點或階段性改造，未完全實現(xiàn)由傳統(tǒng)單點、隔離工業(yè)控制系統(tǒng)到工業(yè)互聯(lián)網(wǎng)的轉(zhuǎn)變，更注重工業(yè)互聯(lián)網(wǎng)場景可用性，未做到網(wǎng)絡(luò)安全三同步要求。對網(wǎng)絡(luò)區(qū)域打通后的網(wǎng)絡(luò)隔離、安全監(jiān)控、數(shù)據(jù)保護(hù)等安全問題考慮欠缺，工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知能力不足，缺乏專業(yè)安全防護(hù)設(shè)備與技術(shù)支持，工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全保障技術(shù)體系3. 工業(yè)數(shù)據(jù)安全保護(hù)措施不足

　　工業(yè)互聯(lián)網(wǎng)企業(yè)普遍對工業(yè)數(shù)據(jù)保護(hù)缺乏有效管控防護(hù)措施。多數(shù)平臺企業(yè)對數(shù)據(jù)安全的保護(hù)措施較欠缺，未對重要工業(yè)數(shù)據(jù)進(jìn)行識別、分類分級，未采取加密存儲和傳輸、定期備份等防護(hù)措施；未對存儲、處理關(guān)鍵工業(yè)數(shù)據(jù)的設(shè)備的漏洞及時跟蹤處理，許多設(shè)備存在如弱口令、命令注入、遠(yuǎn)程代碼執(zhí)行等常見漏洞，工業(yè)數(shù)據(jù)遭竊取、破壞的風(fēng)險較高；70%以上工業(yè)互聯(lián)網(wǎng)平臺企業(yè)對云服務(wù)外包缺乏安全管控，缺少云端業(yè)務(wù)數(shù)據(jù)防護(hù)舉措。

　　4. 工業(yè)互聯(lián)網(wǎng)軟硬件安全檢測不足

　　工業(yè)互聯(lián)網(wǎng)應(yīng)用推廣過程中，涉及傳統(tǒng)工業(yè)控制系統(tǒng)與產(chǎn)品、工業(yè)互聯(lián)網(wǎng)網(wǎng)關(guān)、工業(yè)App等，但相關(guān)軟硬件產(chǎn)品安全檢測不足，引入了安全風(fēng)險。如許多工業(yè)App產(chǎn)品存在反編譯和硬編碼等安全漏洞，能夠通過一些App直接調(diào)用生產(chǎn)系統(tǒng)控制功能，攻擊者可通過篡改控制指令引發(fā)重大生產(chǎn)事故和財產(chǎn)損失。對部分企業(yè)工業(yè)App檢測發(fā)現(xiàn)，App信息交互過程中存在數(shù)據(jù)明文傳輸、訪問控制不受限等風(fēng)險，可以通過App獲取生產(chǎn)控制指令、工業(yè)生產(chǎn)參數(shù)，可能造成工藝生產(chǎn)流程泄露。

　　四、加快提升工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全服務(wù)能力的建議相對工業(yè)互聯(lián)網(wǎng)推進(jìn)過程面臨的網(wǎng)絡(luò)安全風(fēng)險，網(wǎng)絡(luò)安全服務(wù)能力還亟待提升，需要加強(qiáng)服務(wù)機(jī)構(gòu)、服務(wù)企業(yè)能力提升，建立工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全服務(wù)體系，不斷規(guī)范化、標(biāo)準(zhǔn)化服務(wù)過程，對服務(wù)效果評估認(rèn)證，真正幫助工業(yè)互聯(lián)網(wǎng)企業(yè)及時解決以上安全問題。

　　1. 加快工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全服務(wù)體系建設(shè)

　　《網(wǎng)絡(luò)安全法》提出，國家推進(jìn)網(wǎng)絡(luò)安全社會化服務(wù)體系建設(shè)，鼓勵有關(guān)企業(yè)、機(jī)構(gòu)開展網(wǎng)絡(luò)安全認(rèn)證、檢測和風(fēng)險評估等安全服務(wù)。加快建設(shè)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全服務(wù)體系，一是需要加快制定相關(guān)服務(wù)標(biāo)準(zhǔn)，對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全評估、檢測、監(jiān)測、應(yīng)急等服務(wù)流程、基本要求進(jìn)行規(guī)范化；二是加強(qiáng)服務(wù)人員培訓(xùn)，對安全從業(yè)者類型進(jìn)行分類，明確提出從業(yè)者崗位要求，根據(jù)工業(yè)互聯(lián)網(wǎng)崗位需求開展內(nèi)外部培訓(xùn)，提升網(wǎng)絡(luò)安全服務(wù)人員、企業(yè)人員政策理解把握能力和安全技術(shù)能力；三是加強(qiáng)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)管理，確保機(jī)構(gòu)配備具備安全保障能力的服務(wù)工具，嚴(yán)格遵照相關(guān)服務(wù)流程開展服務(wù)。

　　2. 引導(dǎo)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)與工業(yè)企業(yè)、工控廠商深度合作近年來，國際安全公司紛紛與工控設(shè)備廠商深度合作，共同推出面向工控場景安全服務(wù)，如邁克菲公司與施耐德、西門子等多個工業(yè)企業(yè)合作推出面向工業(yè)企業(yè)的整體安全解決方案。我們也應(yīng)依托產(chǎn)業(yè)聯(lián)盟或安全研究機(jī)構(gòu)，加強(qiáng)網(wǎng)絡(luò)安全服務(wù)需求對接，鼓勵網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)與工控設(shè)備廠商、行業(yè)解決方案提供商、工業(yè)企業(yè)深度合作，研究提出適應(yīng)工業(yè)互聯(lián)網(wǎng)平臺、不同行業(yè)工業(yè)互聯(lián)網(wǎng)解決方案的服務(wù)解決方案，推動網(wǎng)絡(luò)安全政策法規(guī)標(biāo)準(zhǔn)在工業(yè)互聯(lián)網(wǎng)領(lǐng)域落地實施。

　　3. 研究建立網(wǎng)絡(luò)安全服務(wù)評價認(rèn)證體系

　　從網(wǎng)絡(luò)安全需求側(cè)出發(fā)，針對人員能力、服務(wù)體系規(guī)范化程度、服務(wù)工具可靠性與先進(jìn)性等方面研究提出網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)能力評價認(rèn)證體系，促使工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)建立一套操作性強(qiáng)、流程規(guī)范的服務(wù)體系。加強(qiáng)網(wǎng)絡(luò)安全服務(wù)效果評價，以采購方角度從政策標(biāo)準(zhǔn)理解程度、需求結(jié)合度、實效性方面研究建立網(wǎng)絡(luò)安全服務(wù)效果評價機(jī)制，并加強(qiáng)效果評價信息共享，以市場化方式推動網(wǎng)絡(luò)安全服務(wù)良性發(fā)展。