hth娱乐官网-解决方案

我国工程院院刊:《工业互联网安全工业展开态势及途径研讨

发布时间:2022-06-27 13:57:41 来源:hth娱乐官网 

  来历:工业互联网安全工业展开态势及途径研讨[J].我国工程科学,2021,23(2):46-55.

  工业互联网安满是完结我国工业互联网工业高质量展开的重要条件和保证,也是建造网络强国和制作强国战略的重要支撑。现在,我国工业互联网展开迅速,已广泛使用于动力、交通、制作、国防等职业范畴,对经济社会展开的带动效应日益显着。工业互联网在构建全新出产制作和服务体系,为高质量展开和供给侧改造供给支撑的一起,也打破了传统工业环境相对关闭可信的状况,添加了遭受网络进犯的可能性,为此,亟需加速构建工业互联网安全保证体系,进步工业互联网安全保证才干。

  我国工程院院刊《我国工程科学》2020年第2期刊发《工业互联网安全工业展开态势及途径研讨》,针对我国工业互联网安全工业展开面对的问题,文章剖析了工业互联网安全在工业方针、规范体系、工业结构、工业规划等方面的展开现状,研判了工业互联网安全工业面对的前史机会和展开趋势,提出了构建新一代工业互联网安全工业的展开途径。文章主张,加强顶层规划和方针引导,强化科技立异与转化,构建杰出的工业展开生态,重视供给链的安全与安稳,加强人才培养与队伍建造;安身大局、统筹联动,坚持“政产学研用”交融展开,探究出合适我国工业互联网安全工业的可继续展开途径。

  我国正处于新一轮工业革命的前史机会期,工业互联网作为新式根底设施建造的重要组成部分,是推进数字经济与实体经济深度交融的要害途径。为此,国家高度重视,提出深化施行工业互联网立异展开战略的要求。自 2017 年国务院发布《关于深化“互联网 + 先进制作业”展开工业互联网的辅导定见》以来,一系列配套方针相继出台,工业互联网立异展开战略逐渐施行并取得显着展开。现在,我国工业互联网展开迅速,已广泛使用于动力、交通、制作、国防等职业范畴,对经济社会展开的带动效应日益显着。工业互联网在构建全新出产制作和服务体系,为高质量展开和供给侧改造供给支撑的一起,也打破了传统工业环境相对关闭可信的状况,添加了遭受网络进犯的可能性。各国工业范畴的安全事情频发,损害日益严重,网络进犯成为限制工业互联网展开的要害要素。工业互联网安全作为国家安全的重要组成部分,事关经济展开和社会安稳;消除工控安全要挟与危险,树立科学、体系的安全防护体系成为必定。

  从产品竞赛格式来看,全球工业互联网工业能够分为硬件与网络、软件与途径、信息安全三大板块;2018 年硬件与网络产品占比为 49.8%,软件与途径产品占比为 48.3%,信息安全产品占比为 1.9%;2019 年全球工业互联网信息安全工业的商场规划为 156.6 亿美元,估计 2025 年为 222 亿美元。

  与发达国家比较,我国工业互联网安全工业中的软硬件产品自主研制才干有所短少,在中心技能、工业规划、推行使用等方面尚存距离;高端要害根底配备、操控体系、软件及途径商场长时刻被国外产品占有,如工业操控体系中的微操控单元(MCU)、数字信号处理器(DSP)、现场可编程门阵列(FPGA)等中心元器件技能与国外距离较大,数据收集与监督操控体系(SCADA)、可编程逻辑操控器(PLC)、涣散操控体系(DCS)、进程操控体系(PCS)等较多依托国外供给。为了加速构建工业互联网安全保证体系,进步工业互联网安全保证才干,我国需在推进工业互联网安全职责执行、构建互联网安全办理体系、进步企业互联网安全防护水平、强化互联网数据安全维护才干、完善国家工业互联网安全技能手段、加强工业互联网安全公共服务才干、推进工业互联网安全科技立异与工业展开 7 个方面继续发力。

  跟着云核算、第五代移动通讯(5G)、物联网等新一代信息技能与制作业的不断交融,工业范畴的网络安全危险逐渐增大,工业互联网安全成为国家和企业高度重视的议题。我国从国家安全视点动身,对工业互联网安全体系进行了顶层规划和战略布局,坚持以安全保展开、以展开促安全、安全和展开偏重的展开途径,保证安全保证与信息化建造同步规划、同步建造、同步运转,为工业互联网安全工业的健康展开奠定了杰出根底。近年来,我国连续出台了一系列方针、攻略,从微观、中观、微观层面不断细化完善工业互联网安全方针体系。2019 年 7 月,工业和信息化部等十部分联合印发了《关于加强工业互联网安全作业的辅导定见》,体系化布局了工业互联网安全作业,为工业的健康展开指明晰方向。能够预见,未来还将会有更多的工业方针出台,继续坚持对工业互联网安全的扶持力度,引导其全面展开。

  工业互联网安全规范体系首要由根底共性类规范、安全防护类规范、安全服务类规范、笔直职业类规范组成(见表 1)。规范化对工业互联网安全保证体系建造至关重要。近年来,针对工业互联网规范的跨职业、跨专业、跨范畴特征,我国加速展开相关规范的研制,连续发布了《工业互联网安全防护全体要求》《工业互联网途径安全防护要求》等规范规范,印发了《工业互联网归纳规范化体系建造攻略》等,开始构成了包括设备安全、操控安全、网络安全、数据安全、使用安全、途径安全、安全办理的工业互联网安全规范体系(见图 1)。后续,工业互联网安全相关规范将会进一步完善,工业展开将更趋规范。

  工业互联网安全工业结构根据商场使用分为安全产品和安全服务两大类(见表 2)。现在,我国工业互联网安全产品类商场和服务类商场均在继续展开壮大,产品和服务体系正在加速构建,工业结构不断优化,呈现出以下特征。

  在工业互联网安全产品方面,防护类产品中的鸿沟、终端安全防护是当时的首要散布形状,展开相对老练,商场占有率较大。跟着网络安全等级维护 2.0 的正式施行,防护类产品将成为工业互联网安全全体处理计划中必备的根底安全方法,商场规划将继续安稳添加。此外,防护类产品中的网络检测、工业安全审计类产品的商场规划尽管较小,但展开速度较快。办理类产品中的态势感知、安全合规办理、安全运维等产品是安全厂商的重要布局方向。在国家和职业方针的两层推进下,我国工业企业用户对合规安全和内生安全的需求加速,未来该类产品的商场规划也将安稳添加。

  在工业互联网安全服务方面,因为近年来工业网络要挟朝着多样化、杂乱化方向演化,传统的单一安全产品形式已难以满意用户的安全防护需求;以危险评价、安全办理咨询、安全应急呼应、安全保管服务等为主的安全服务取得更多重视,针对工业互联网安全评价和安全训练的需求日趋旺盛。此外,科研院所、高校正工业信息安全人才培养的重视程度显着进步,促进了安全训练服务商场快速添加,进一步优化了工业结构。

  有用的安全保证离不开坚实的工业支撑。跟着我国工业互联网战略的全面施行,政府及企业不断加大安全投入,工业互联网安全工业迎来快速添加时刻(见图 2)。2018 年我国工业互联网安全工业的商场规划为 94.6 亿元,估计 2022 年为 307.6 亿元,年均复合添加率约为 32.66%。在方针环境与商场需求的一起效果下,加强安全保证将成为今后作业的要点,我国工业互联网安全工业进入快速展开的新阶段。

  工业互联网安满是我国施行制作强国和网络强国战略的重要保证,也是执行全体国家安全观的重要抓手。在 5G、工业互联网等新式根底设施建造加速展开的大布景下,统筹展开与安全将成为我国新时期制作业数字化转型的主旋律。跟着工业互联网战略的深化推进,我国不断加强方针和财务支撑力度,促进工业互联网安全工业的内需添加,引导企业加大安全技能投入,加速相关安全技能研制和工业化推进。跟着国家相关法规方针的继续推进,工业互联网工业环境将不断优化,工业根底更为坚实,工业集合效应将逐渐构成。

  网络安全等级维护 2.0 扩展了网络安全维护的规划,对工业操控体系提出了更高的安全扩展要求,以适用于工业操控的专有技能和使用场景特征。面对安全合规要求,工业企业须继续加强本身安全防护体系,进一步执行主体职责,加大安全投入,加强体系化的安全规划和布局。能够判别,工业互联网安全工业的内生需求将进一步扩展。

  工业互联网安满是工业出产安全和网络空间安全相交融的范畴,包括工业范畴数字化、网络化、智能化进程中各个要素和各个环节的安全,需求专门的安全产品、技能和服务。当时,我国工业互联网企业多选用传统的网络信息安全防护技能,以工控体系的“外建”安全防护产品和处理计划为主,尚没有工业互联网 OT 方面的安全专用防护设备,全体安全处理计划还不老练。

  我国工业互联网安全技能体系能够分为外建安全(IT 安全)和内嵌安全(OT 安全)两大类。跟着工业互联网的加速推进,来自工控体系、工业智能设备、工业途径、数据的安全问题不容忽视,对内嵌信息安全功用的产品和服务的商场需求激增。以 IT 安全为主的传统产品和服务已不能彻底满意实践商场需求,应充沛结合 OT 安全进行纵深展开。因而,未来工业互联网安全工业展开应统筹考虑 IT 安全和 OT 安全的商场需求,进步工业企业归纳防护水平。在特别功能需求方面,保证出产的连续性和可靠性是工业互联网的首要任务,网络时延或本钱较高的 IT 安全计划将无法使用于 OT 网络,需求针对 OT 网络特征研讨平衡安全危险和事务影响的技能计划。

  跟着大数据、云核算、人工智能(AI)、5G、边际核算等新一代信息技能在工业互联网范畴的快速使用,IT 和 OT 交融加速。与此一起,交融了新技能的工业互联网安全环境将变得愈加杂乱多样,安全危险呈现多元化特征;安全危险发现难度更高,安全局势进一步加重。这一系列技能和局势的改变,对安全理念和技能提出了新的要求,将促进安全态势感知、安全可视化、要挟情报、大数据处理等新技能在工业互联网安全范畴不断取得使用打破;促进定制化安全产品加速呈现,满意客户不同产品形状、功能的需求;安全服务将由现场服务为主、长途服务为辅转向长途化、云化、自动化、途径化展开。全体而言,环绕设备、操控、网络、使用、数据五大安全范畴,结合多范畴、新技能的工业互联网安全处理计划将不断呈现,为工业企业布置安全防护方法供给可参阅的形式。

  我国的重要工控体系较多选用国外技能和设备,存在中心技能受制于人的问题。很多工业企业的工控体系依托国外厂商供给的运维服务,企业对体系运转的可控性较低;短少对国外产品和服务的必要监管机制和技能检测方法,存在必定的安全危险。工业互联网安全事关经济展开和社会安稳,重要工业数据一旦被盗取、篡改或损坏,将对国家安全构成严重要挟。频频迸发的保密和进犯事情,使得各国在网络空间安全范畴的对立态势进一步加重。需求高度重视信息安全产品的自主可控,将信息安全产品的国产化上升到国家安全的高度,依托自主立异,活跃展开具有自主常识产权的信息安全产品。近年来,在信息产品国产化方针的推进下,信息安全产品的国产化代替趋势趋于闪现。

  跟着我国制作业向数字化、网络化、智能化转型晋级,网络安全要挟日益向工业范畴延伸。我国工业互联网安全范畴仍存在体系机制尚不健全、归纳保证水平偏低、要害中心技能产品不老练、高端技能人才匮乏等杰出问题,工业范畴面对的安全危险态势非常严峻。别的,跟着新式根底设施建造的推进,工业体系需求防护方针的数量大幅添加,工业体系的受进犯面不断扩展,防护要求和难度也不断进步;新技能与工业互联网的交融使用伴生了新式安全问题,数据要素的同享活动则加重了潜在安全危险。这些新应战推进工业互联网安全技能产品加速改造,防护作业逐渐向动态协同改变,促进安全生态体系立异。

  我国出台了多项顶层方针文件以辅导工业互联网安全展开,但工业企业在实践展开安全防护项目的规划、建造、施行、运维等进程中,仍存在短少详细方针文件统筹辅导、安全主体职责不明等问题。工业互联网安全规范体系没有彻底树立,相关规范之间短少严厉的逻辑相关,要害技能的办理规范缺失,无法为企业展开安全防护作业供给规范根据,难以满意工业展开的安全需求。工业互联网安全在保证方针方针、安全需求等方面具有特别性,而工业特征伴生的维护场景多样性给其本身展开带来了应战。因而,亟需树立针对性强、特征显着的工业互联网安全保证体系。

  当时,我国工业互联网安全建造大多环绕工业企业的根本安全需求而展开,处于以设备收购为主的初级阶段。一方面,工业企业用户在完结工业互联网安全项目建造后,因短少继续学习工业互联网安全装备、设备运维常识的相关途径,无法发挥安全产品的最大效果;另一方面,企业用户遍及短少对安全方法有用性的量化查核和评价才干,存在安全准则形同虚设、安全设备较多搁置等问题。

  虽已存在各类工业互联网安全产品和服务,但对应的商场准入和认证机制还不完善,短少检测认证规范规范和技能。这是因为工业互联网安全近年来才遭到重视,相关规范仍在编制进程中,且规范拟定存在必定的难度。工业互联网安全工业仍处于展开起步阶段,而拟定的规范既要习惯当时用户需求,又要具有必定的前瞻性,才干辅导和引领该类产品的展开;不同职业和环境对工业互联网安全产品的需求不同较大,且工控协议品种繁复,也添加了规范的拟定难度。现阶段对工业互联网安全产品和服务的检测多沿袭传统 IT 安全检测认证规范和测评方法,这显然是不合适的。工业互联网安全产品和服务的统一规范、认证机制显着短少,使得相关认证难以面向商场快速推行,更难以进行规划化出产和工业化使用。

  在工业集合方面,我国工业互联网安全工业起步晚、体量小,如外建安全产品和服务的商场规划占网络安全工业全体规划的份额短少 5%。我国从事工业互联网安全的企业约有 266 家,专心该范畴的企业约有 47 家,企业规划遍及较小;传统信息安全企业、自动化布景企业、IT 体系集成企业进入工业互联网安全范畴的时刻遍及较短,存在技能立异才干短少、短少具有商场竞赛力的中心产品等问题。现在,我国安全服务企业在外置防护产品技能方面老练度相对较高,在内置信息安全工控产品技能方面的老练度偏低;企业的安全服务才干难以满意实践需求,没有构成引领工业展开的主干龙头企业,工业立异集聚效应不显着,工业全体规划仍处于低位。在要害产品方面,我国工业互联网安全工业技能和工业化使用仍不老练,工业软硬件产品对外依托度较高,不行预知的安全危险增多,安全危险加重。

  ①在外建安全防护方面,防护类技能的老练度较高,商场使用水平也较高,如根据战略的拜访操控、网络阻隔和使用程序白名单等;但外建安全防护产品在工业场景兼容性、协议支撑丰厚度、智能化水平缓可视化水平程度等方面与国外先进技能仍存在必定距离;在根据指纹匹配的财物辨认、根据漏洞库的危险相关、要挟溯源等检测类和呼应类技能方面尚存在短少,与世界工业互联网安全企业仍存在较大距离。

  ②在内嵌安全防护方面,我国在通讯拜访操控、通讯和数据加密、身份辨认等技能方面已取得必定打破,但与世界水平比较仍存在较大距离;因为工业体系全体兼容性不强、价格竞赛优势短少等要素,商场使用水平全体偏低。

  网络安全实质上是进犯才干和防护才干的比赛,归根到底是人才之间归纳才干的比较。跟着工业互联网安全危险日益杰出,工业企业亟需继续进步安全才干,除了购买网络安全产品以取得安全才干外,还应经过培养网络安全人才、购买网络安全咨询服务来增强运维才干,补偿本身安全才干的短少。我国网络安全人才的缺口较大,亟需具有网络安全技能且习惯杂乱工业场景的安全防护复合型人才;人才供需失衡使企业间的人才竞赛加重,人才储藏无法习惯未来展开的应战。

  主张加强工业互联网办理体系建造,强化顶层规划,树立健全法律法规,施行方针引导和配套,继续完善工业展开的战略方法,构成继续展开的长效机制。强化“关口前移、防患于未然”的安全防护理念,及时拟定工业大数据、工业云途径等新式范畴的安全办理方针体系和规范,规范和辅导新安全技能与工业互联网范畴的交融使用。重视方针执行效果,强化工业企业安全主体职责并进步防护认识,打造以国内大循环为主体,国内世界双循环相互促进的工业新展开格式。

  科技立异是“十四五”时期的首要任务,是新式根底设施建造的重要依托,也是网络安全的根底。主张工业互联网安全工业秉承立异展开理念,逐渐树立根据自主常识产权的技能架构和规范,完结敞开生态建造,打牢工业互联网安全工业健康展开的根底。

  继续增强体系化技能立异才干,构建国家工业互联网安全保证体系,瞄准工业展开制高点,辅导发布要点范畴技能立异攻略,在财物辨认、危险办理、应急处置等技能范畴整理瓶颈短板清单,引导商场主体立异打破。不断探究工业互联网安全立异交融使用的处理计划,鼓舞安全企业活跃探究使用大数据、AI、5G、区块链等新式技能处理工业互联网安全问题,构成典型处理计划,为工业企业布置安全防护方法供给可学习形式。

  推进工业互联网安全技能产品的研制。树立以企业为主导的“产学研用”联合立异机制,瞄准工业互联网安全根底技能、共性要害技能、前沿技能以及要点工业范畴的信息安全体系处理计划和中心环节,研讨新式工业互联网安全技能在工业范畴的交融使用,赶快打破一批要害中心技能。加强协同攻关,以点带面、消除瓶颈,补齐短板、全体推进,要点展开一批高端产品,构成具有商场竞赛力的产品体系。活跃推进中心技能效果转化和买卖,加强常识产权维护和办理,促进立异效果转化,不断进步立异链、工业链、价值链的整合才干。

  跨界协作是应对穿插范畴安全问题的有用方法。跟着越来越多的工业设备联网,仅靠企业本身力气很难对潜在的工业互联网安全危险进行全面防护,需求政府主管部分、科研组织、安全服务商、工业企业、工控设备供给商等进行优势互补,紧密配合,针对各工业职业的特征,协同构建多维度、多层次的防护机制,一起应对来自各范畴的安全要挟与应战,打造协同展开的杰出工业生态体系。

  加强工业方针歪斜,鼓舞工控体系制作企业、工业企业和网络安全企业深度协作。主张拟定促进协作的相关方针,鼓舞工业互联网各相关企业针对工业范畴各职业的出产运营特征,聚集职业痛点,将技能打破、形式立异与工业实践需求相结合,逐渐构成政府引导、用户主导、厂商参加和本钱推进的良性工业生态。

  在动力、交通等要点工业进行会集攻关,整合“政产学研用”资源,发挥会集力气办大事的准则优势,构成要害中心技能攻坚体系,协作研制高精尖安全产品和处理计划,树立国家级的工业互联网安全企业。以问题为导向,加速树立要害共性技能体系,布局技能短板和下一代前沿技能,赶快打破要害中心技能瓶颈,保证自主可控。

  要点培养龙头主干企业,引导安全厂商不断改造商业形式,强化网络安全资源整合,聚集工业多方协同,加速构建工业生态。根据用户需求重构工业链,工业互联网安全工业链上下流企业要一起发力,加速本钱整合和战略协作脚步。会集力气构建敞开的网络安全生态,将安全才干对外辐射给更多协作伙伴,饯别协作共赢的展开理念。

  优化工业生态环境,发挥政府办理部分、职业协会的引导与支撑效果,拓展企业在技能引入、出资融资、人才引入等方面的途径。主张加速执行法律法规、方针规范等对工业企业信息安全的有关要求,发掘企业安全需求,激起商场生机。统筹根底研讨、技能立异与使用布置,增强上游技能研制与下流推行使用的协同互动效应,打造协同展开的工业生态体系。

  近年来,跟着逆全球化思潮和经济民族主义的涌起以及新式冠状病毒肺炎疫情的爆发,全球供给链的不确定性进一步加重。在大国博弈日益剧烈、先进技能工业竞赛态势加重的布景下,加强供给链安全监管,树立全面的供给链安全办理体系现已火烧眉毛。

  加强顶层规划,将供给链安全归入国家安全全体结构,拟定供给链安全办理的方针法规,加速出台工业互联网供给链安全范畴的战略规划。加大执行力度,构成科学规范、运转有用的准则体系,推进供给链安全办理规范拟定向专业化和精细化展开,为相关部分和组织在辨认、评价、减轻供给链危险方面供给根据。

  强化全球供给链体系危险辨认与评价,树立全生命周期供给链危险办理准则,构成信息盯梢、危险辨认、危机应对联动的办理体系,进步有关全球供给链危险的防控才干。

  展开供给链安全评价与检查,整理工业范畴的要害薄弱环节,对要点范畴的工业根底供给链进行危险预警和危险管控。创立供给链危险评价同享服务,强化检查监管,树立习惯性强、可继续和安全的供给链。

  鼓舞政府、高等院校、科研院所、工业企业与安全企业加强协作,联合展开工业互联网安全学科建造,培养专业人才,促进该范畴工业链、岗位链、教育链有机结合。多方整合优势资源,共建专业实验室、特征课程体系、实习实训基地,坚持理论学习与实践的有机结合,全面进步工业互联网安全学科水平,批量培养具有工业互联网安全范畴使用才干的高水平人才。例如,安全企业和工业企业联合树立工控安全测验床和网络靶场,让学生展开虚拟化对立,进步其实战性和实操性。支撑从事工业互联网安全的企业建立相关教育训练组织。我国工业互联网安全人才缺口大,特别是防护型人才,经过社会力气展开大规划职业训练教育,是快速补偿人才缺少问题的有用途径。加强财务赞助力度,建立专项人才培养基金,依托要点立异课题,活跃展开高端人才的培养。



下一篇:阿里云 IoT 事业部总经理王晓冬: 工业互联网开展进入深水区 好产品应经得起“