工业互联网企业安全大分析

工业互联网安全涉及到许多的行业和领域，与数千家工业互联网企业、管理机构、用户单位紧密相关。每一个工业互联网平台企业都应该着重思考如何保证平台信息安全，今年12月底工信部出台的《工业互联网企业网络安全分类分级指南（试行）》

方案，方案特别指出工业互联网平台企业应该分级自评，并形成自评报告。

经过龙智造工业云平台的诸多观察，发现我国的工业互联网安全确实存在很多的问题，主要有以下三类。

第一，工业企业的很多设备都是由国外进口，设备的核心元器件以及主要的通信协议我们不能掌握，而且一些重要的工业数据就可能被国外非法获得。

第二，我国的工业技术和安全技术与国际最发达国家存在一定的差距，工业互联网设备及其安全产品的研发能力亟待提高。工业互联网建设与安全保障需要大量的工业互联网安全专业人才，然而我国目前这方面的安全人才缺口很大，工业互联网安全涉及到工业控制与自动化、电子信息通信、网络安全等多个学科，这种多学科交叉对工业互联网安全人才的培养增加了难度。

第三，工业互联网涉及不同行业的重要程度和安全需求不同，其安全防护水平和优先级也要区别对待。因此行业安全应该是工业互联网平台企业需要重要考虑的事情。

如何使工业互联网安全的指导意见发挥作用，龙智造工业云根据多年经验，提出如下建议：

第一，遵照《指导意见》中提出的工业互联网安全要有顶层设计的指导原则，结合我国工业互联网的现状和技术水平，“从外到内、从表到里”地分阶段实施。受限于同时掌握工控系统和安全知识的研发人员很少，现有工控互联网安全产品基本处于初始阶段，目前工业互联网的安全方案主要是外部威胁围堵式或网络流表面式的防护，很少深入到工业互联网的核心部件，这应逐渐深入到PLC、工控组态软件和数控机床等核心元器件的安全，把工控系统的功能安全与信息安全结合起来，实现工业互联网的内置安全。

第二，工业互联网安全的首要任务是建立安全检查和风险识别的能力。开放、合作、博弈、对抗的国际环境下，针对现阶段我国关键基础设施,特别是采用国外工控设备的重要设施和高端制造企业，如何检测是否已被攻击、发现现有系统存在安全隐患，是各个工业互联网企业首先要解决心头之患的问题。

第三，《指导意见》要求对重点行业和领域要高度重视重点布局，发电行业、电网系统、军工制造企业、轨道交通、三峡水利等是工业互联网安全防护的重中之重，需要多部门相互协助，进行针对性的技术攻关，具备发现高等级网络攻击的能力，提出多种深度安全防护的体系化方案。

第四，   针对多个重要工业互联网行业，分别构建特定的工业互联网攻防演练靶场和仿真测试平台，为工控漏洞挖掘、安全威胁感知、网络攻防对抗与安全防护等关键技术研究提供符合真实现场实际的基础科研平台。

第五，加强工业互联网和网络安全复合型高端人才的培养，建立一批工业互联网安全重点实验室，在研究生学科建设中增加工业联网安全方向，加大工业互联网人才的培养力度。

第六，   构建工业互联网安全资源库，如工业协议库、安全漏洞库、恶意代码病毒库和安全威胁信息库等，以及安全应急处置、安全事件现场取证等工具集。

由于工业互联网行业众多，控制协议、设备类型和网络形态差异很大，不同行业在考虑工业互联网通用需求情况下要构建本行业专用安全资源库和安全工具集，并在行业内培训和推广应用的同时，注意安全资源库自身的安全和防泄漏问题。