2019年,工信部、教育部等十部门发布《关于印发加强工业互联网安全工作的指导意见的通知》(以下简称《指导意见》)。《指导意见》指出,到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。
近年来我国工业互联网建设加速推进,展现不俗表现,各地卷起赶超快上的跨越式“浪潮”。如今互联网安全已成为老生常谈,但在工业互联网领域,安全似乎还没到讨论的热点话题。在新基建提速的大背景下,安全是否值得被关注,如何保证工业互联网的安全、保障工业互联网有序运行,中南财经政法大学数字经济研究院执行院长盘和林向《经济》杂志、经济网记者进行了深入分析。
精密操作下的安全意识觉醒
经过3年的工业互联网起步发展期,工业互联网创新发展工程带动总投资近700亿元,遴选4个国家级工业互联网产业示范基地和258个试点示范项目,打造了一批高水平的公共服务平台,培育了一批龙头企业和解决方案供应商。
在快速发展的过程中,风险悄然而至。国家互联网应急中心发布的《2020年上半年我国互联网网络安全监测数据分析报告》显示,我国网络安全态势较为严峻,网络恶意程序增长较快,安全漏洞大幅增长,工业互联网设备存在严重安全隐患。
由于中国工业互联网仍处于发展初期,总体发展水平及现实基础仍有待强化,关键基础支撑能力不足,核心技术和高端产品还不能满足全行业的应用需求。中国工业互联网发展仍面临着工业信息安全方面的“卡脖子”问题。
这在全球范围内也成为了各界“头疼”的问题。2019年3月19日,挪威铝业集团遭遇大规模的网络攻击,导致其IT系统无法正常使用,生产中断、多个工厂临时关闭,最终导致公司股价下跌约2%,全球铝价格上涨1.2%。
2020年5月,委内瑞拉国家电网干线遭到攻击,除首都加拉加斯外,全国11个州府均发生停电。
中国信息通信研究院发布的《2020年上半年工业互联网安全态势报告》显示,上半年发现恶意网络攻击行为1356万次,涉及2039家企业。网络攻击集中在基础性行业,疫情期间医疗相关行业成为重点领域,车联网领域成网络攻击的新趋向。
“一方面,互联网本身具有一定的安全隐患,互联网存在病毒入侵的后门,在工业互联网方面同样存在。另一方面工业又具有一定的特殊性,工业需要更加精密的运作,差之毫厘谬以千里,小则影响产品品质,大则导致安全事故。所以,我们要重视工业互联网的安全问题。”盘和林表示,工业互联网以网络为基础,打破纯物理连接,通过对人、机、物工业网络,变革传统制造模式、生产组织方式和产业形态,构建起全要素、全产业链、全价值链全面连接的新型工业生产制造和服务体系互联网,为工业带来便利之时,也带来了严峻风险问题。
数据安全成为亟待解决的关键
从工业互联网概念诞生开始,安全问题一直敲打着各大企业的神经。但多年过去,工业互联网的安全防线依然较弱,这与整个行业本身的特点有关,也表明工业互联网的安全建设并不容易。
盘和林表示,传统的工业安全保障措施已经不能适应网络融合趋势下的风险控制要求,转型升级需求迫切。工业互联网的安全问题是多方面的,主要是工业互联网回传数据至云端往返过程中,数据被篡改,或者被窃取。又或者系统本身鲁棒性差导致数据往来出现传输差错。
所谓“鲁棒性”,是在异常和危险情况下系统生存的能力。比如说,计算机软件在输入错误、磁盘故障、网络过载或有意攻击情况下,能否不死机、不崩溃,就是该软件的鲁棒性。
2018年,芯片代工厂台积电三座12寸晶圆厂生产线遭变种病毒入侵,导致三大工厂生产线停摆,预估损失高达约11.5亿元。由于台积电肩负英特尔、华为、高通、苹果等品牌芯片的代工生产,此事造成严重影响,引起制造业震动。同年7月,《纽约时报》也报道了一起重大数据泄露事件,包含企业蓝图、工厂原理图、客户材料、员工信息等将近47000 份的文件,影响100多家汽车制造厂商。
在大数据的环境下,数据已成为推动产业转型升级、加快数字社会建设的重要的生产要素。数据当仁不让成为工业互联网的核心,它通过汇聚与分析,提高生产效率、服务质量,增强企业的竞争力。一旦出现数据泄露等数据相关的安全问题,也将为企业带来致命性打击。
对于工业互联网常见的数据泄露事件,盘和林认为,企业应该有数据安全意识,选择专业可靠的云服务商,同时积极探索安全机制,利用合理可靠的传输协议和加密技术来增加可靠性,也可以利用区块链技术防止数据篡改,唯有技术才能缔造网络安全的“铜墙铁壁”。
建立统一的安全接口标准
继工信部印发《工业互联网创新发展行动计划(2021—2023年)》,基于11项重点任务对今后3年工业互联网的重点工作内容作出部署后,今年3月国家发改委副主任宁吉喆表示,在新型基础设施方面,今年将出台“十四五”新型基础设施建设规划,大力发展数字经济,拓展5G应用,加快工业互联网、数据中心的建设。
全国各地紧追“风口”,积极促进工业互联网行业发展,推动工业互联网在重点行业推广应用,建设工业互联网发展示范区,推动骨干网、城市网、园区网、企业网全面升级,打造一批工业互联网产业园区。
随着人工智能、5G等新一代信息技术与工业互联网的融合应用,设备联网、企业上云加速风险领域的扩展,网络攻击面不断扩大,推动工业互联网安全防护工作逐步向动态协同转变,风险挑战进一步升级。
安全保障的根本目的是风险管控,即通过最优的手段(或者手段的组合)将风险控制在低水平。盘和林提到,实现工业互联网安全要在法律法规上着重完善,制定一套可覆盖工业安全风险和网络安全风险的统一的风险接受原则和评价标准,做好顶层设计和系统谋划,结合各地实际,突出重点,分步协同推进,加快构建工业互联网安全保障体系,确保安全工作落实到位。打击不正当窃取和篡改数据竞争的行为,同时对违法行为要加大处罚力度,完善赔偿制度。
“统一标准有好处,比如接口更加通用,技术推进更快。但企业可能有两方面顾虑:一方面,企业担心自己独有的技术开拓被同化,从而失去技术上的差异性领先优势;另一方面企业怕标准化的数据接口会被竞争对手利用,增加了数据风险。但统一工业互联网安全接口标准是大势所趋。”盘和林认为,工业互联网属于跨学科领域,要做到安全风险可接受准则和评价标准的科学,技术上可行,虽然需要时间,但应用上可操作,可以由数据安全企业、工业互联网云服务企业主导推进标准的方式更为合理。“企业在技术基础上,更了解市场,所以推进标准的可行性也更强。”(文/李雪娇)
