今日頭條
官方微信
官方抖音
資訊頻道當前,互聯網技術逐漸同實業(yè)領域進行融合,并以其獨特的理念影響著實體經濟的發(fā)展,工業(yè)互聯網作為互聯網技術應用在工業(yè)場景融合發(fā)展的產物,是國家實體經濟的能夠蓬勃發(fā)展的新催化劑。近日工業(yè)和信息化部更是發(fā)布了《關于推動工業(yè)互聯網加快發(fā)展的通知》,更是體現了國家要加快工業(yè)互聯網發(fā)展的需求。為深入推進“供給側”結構調整,近年來工業(yè)互聯網產業(yè)迅速發(fā)展,在黨中央的領導下,各相關部門協(xié)同推進,工業(yè)互聯網相關標準體系逐步建立健全,產業(yè)生態(tài)環(huán)境逐步完善,國內傳統(tǒng)工業(yè)企業(yè)更是孵化出了一批優(yōu)秀的工業(yè)互聯網平臺企業(yè),為我國經濟穩(wěn)定高效的發(fā)展提供了強有力的支持。
工業(yè)互聯網在工業(yè)領域內絕大多數行業(yè)中發(fā)揮著至關重要的作用是國家關鍵信息基礎設施的重要組成部分,在保證其業(yè)務穩(wěn)定、持續(xù)運行的情況下,其安全工作也需要嚴格落實“三同步”原則。近兩年來,在工業(yè)和信息化部的指導下,國家工業(yè)信息安全發(fā)展研究中心(以下簡稱“我中心”)積極參與工業(yè)互聯網發(fā)展建設的相關工作,在工業(yè)互聯網安全的標準文件研究制定、監(jiān)測預警、應急處置和檢測評估方面發(fā)揮了積極的作用。通過工業(yè)互聯網安全檢測評估等工作,發(fā)現企業(yè)存在一系列共性問題。
一、工業(yè)互聯網相關企業(yè)存在的主要安全問題
通過對35個工業(yè)互聯網平臺安全評估分析發(fā)現:現階段我國工業(yè)互聯網相關企業(yè)安全防護工作基本到位,安全管理制度相對完善,技術防護手段較為完備,但仍存在安全痛點問題亟待解決,主要問題如下:
(一)企業(yè)安全管理保障體系亟需健全。多數企業(yè)網絡安全管理保障體系存在以下三個方面的問題:首先是針對性管理制度缺失,大多數企業(yè)未建立結合生產應用場景的工業(yè)互聯網安全管理制度,安全應急預案不完善;部分企業(yè)缺少數據管控制度,敏感數據缺乏安全管理辦法。半數以上企業(yè)缺少有針對性的監(jiān)督考核機制,無法起到有效的督促、激勵、促進的作用;其次是針對性應急演練不到位,員工安全意識薄弱,企業(yè)雖然開展了應急演練工作,但是未針對工業(yè)互聯網安全制定相關應急預案,開展應急演練工作,企業(yè)員工對工業(yè)互聯網安全問題不敏感,一旦發(fā)生突發(fā)安全事件,員工的處置能力無法滿足處置要求;再次是專業(yè)設備與人才的經費投入不足,多數企業(yè)對于安全防護設備和安全專業(yè)人才投入的經費較少,企業(yè)存在缺乏專業(yè)安全防護設備與技術支持的現象,安全防護手段的缺失會導致企業(yè)安全防護存在隱患。
(二)工業(yè)數據缺乏有效的管控防護措施。多數平臺企業(yè)對數據安全的保護措施較欠缺,未對重要數據進行加密存儲和傳輸、定期備份等;多數企業(yè)忽視對如弱口令、跨站腳本、命令注入、遠程代碼執(zhí)行等常見漏洞的及時跟蹤處理,導致存在漏洞的設備易被攻擊者利用并獲取權限,進而竊取重要工業(yè)數據。超過70%的平臺企業(yè)缺乏對云服務外包的安全管控,缺乏對外包中涉及業(yè)務數據的相應防護舉措;部分企業(yè)存在辦公網和生產網互聯互通現象,存在辦公網病毒傳播至生產網絡,進而竊取工業(yè)數據影響工藝流程的風險。
(三)工業(yè)APP產品檢測評估缺失。評估過程中,檢測人員發(fā)現工業(yè)互聯網企業(yè)普遍采取APP客戶端直連工業(yè)控制系統(tǒng)模式,未部署網絡邊界防護設備,同時企業(yè)普遍缺少工業(yè)APP安全測試,無法及時發(fā)現信息交互過程中的數據明文傳輸和訪問控制不受限等風險,導致大量生產控制指令、參數傳輸暴露于互聯網,存在泄露重要工藝參數和工藝流程的風險。絕大多數工業(yè)APP產品還存在反編譯和硬編碼等安全漏洞,易被攻擊者利用,進而獲取功能調用權限尤其是對生產系統(tǒng)的控制功能調用,攻擊者可通過篡改控制指令引發(fā)重大生產事故和財產損失。
二、工業(yè)互聯網安全政策標準要求
為進一步提升工業(yè)互聯網相關企業(yè)的安全保障能力,落實安全責任制,指導企業(yè)開展好網絡安全工作,國務院、工業(yè)和信息化部連續(xù)印發(fā)了一系列文件標準,指導和規(guī)范工業(yè)互聯網安全工作。
一是《關于深化“互聯網+先進制造業(yè)”發(fā)展工業(yè)互聯網的指導意見》。指導意見確定了構建起與我國經濟社會發(fā)展相適應的工業(yè)互聯網生態(tài)體系,提出從提升安全防護能力、建立數據安全保護體系、推動安全技術手段建設三個方面提升工業(yè)互聯網安全保障能力。
二是《工業(yè)控制系統(tǒng)信息安全防護指南》。防護指南指出工業(yè)控制系統(tǒng)應用企業(yè)應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪問安全、安全監(jiān)測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任等11個方面做好工控安全防護工作。
三是《工業(yè)控制系統(tǒng)信息安全應急工作管理指南》。管理指南旨在加強工控安全事件應急管理,提高工控安全事件應急處置能力,預防和減少工控安全事件造成的損失和危害,保障工業(yè)生產正常運行。該指南對工控安全風險監(jiān)測、信息報送與通報、應急處置、敏感時期應急管理等工作提出了一系列管理要求,明確了責任分工、工作流程和保障措施。
四是《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》。管理辦法旨在規(guī)范工控安全防護能力評估工作,切實提升工控安全防護水平。該辦法以規(guī)范針對工業(yè)企業(yè)開展的工控安全防護能力評估活動為重點,加強工控安全防護能力評估機構、人員和工具管理,明確工控安全防護能力評估工作程序。
五是《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》。行動計劃突出落實企業(yè)主體責任,從提升工業(yè)企業(yè)工控安全防護能力,促進工業(yè)信息安全產業(yè)發(fā)展,加快工控安全保障體系建設出發(fā),進一步明確了部門、地方和企業(yè)做什么和怎么做,部署了五大能力提升行動,為下一步開展工控安全工作提供了依據和指導。
六是《關于加強工業(yè)互聯網安全工作的指導意見》。指導意見提出在2020年底初步建立工業(yè)互聯網安全保障體系的目標,明確了7大任務,明確了企業(yè)安全保護的主體責任,提出了建立分類分級管理機制,明確提出了平臺與工業(yè)應用程序(APP)保護要求、工業(yè)數據保護要求等。
七是《工業(yè)互聯網企業(yè)網絡安全分類分級指南(試行)》。指南給出了工業(yè)互聯網企業(yè)網絡安全分級評定參考規(guī)則,針對不同級別企業(yè),在組織管理、安全防護、風險評估、應急管理等方面提出了更為細化、具體的要求。
八是《工業(yè)數據分類分級指南(試行)》。指南發(fā)布目的在于通過分類梳理工業(yè)企業(yè)海量數據資產,明確基礎數據類型,通過分級確定各類工業(yè)數據的敏感程度,明確數據的范圍邊界和使用方式,為加強數據安全管理,推動數據開放共享和最大化挖掘利用提供支撐。
九是《推動工業(yè)互聯網加快發(fā)展的通知》。通知明確提出加快新型基礎設施建設、加快拓展融合創(chuàng)新應用、加快健全安全保障體系、加快壯大創(chuàng)新發(fā)展動能、加快完善產業(yè)生態(tài)布局、加大政策支持力度等6個方面20項具體舉措推動工業(yè)互聯網加快發(fā)展。
三、企業(yè)下一步應加強的幾個方面
為進一步促進工業(yè)互聯網高質量發(fā)展,提高工業(yè)互聯網企業(yè)網絡安全防范能力和水平,建議企業(yè)可以從以下幾個方面進行整改加強:
(一)落實政策法規(guī),建立健全工業(yè)互聯網安全管理制度。企業(yè)可依據《網絡安全法》、《關于印發(fā)加強工業(yè)互聯網安全工作的指導意見的通知》、《工業(yè)控制系統(tǒng)信息安全防護指南》、《工業(yè)互聯網企業(yè)網絡安全分類分級指南》、《工業(yè)數據分類分級指南》、等保2.0等國家指導性文件建立健全安全管理體系,按照組織管理逐層落實企業(yè)網絡安全責任,有效施行企業(yè)網絡安全監(jiān)督考核機制,積極開展應急預案與演練、工業(yè)數據分類分級等工作,通過組織培訓等措施增強員工安全意識和突發(fā)事件處理能力。
(二)持續(xù)開展檢查評估,逐步提升工業(yè)互聯網網絡安全保障能力。企業(yè)可邀請專業(yè)機構的檢測評估隊伍進行評估和經驗交流,開展針對工業(yè)互聯網相關平臺、應用、設施的評估工作,檢驗企業(yè)在安全保障措施、安全管理制度、安全應急預案、安全設備配置、外包服務等方面工作是否有效落實,及時發(fā)現存在的風險隱患,在專業(yè)機構的指導下對存在問題查漏補缺,提升企業(yè)自身的網絡安全保障能力。
(三)加強安全檢測,全面提高關鍵核心技術應用的數據安全性。企業(yè)在運營中可加強與網絡安全廠商、外包服務商等的協(xié)同聯動,部署有效安全技術防護手段,積極對工業(yè)互聯網設備、網絡、平臺、工業(yè)APP等工業(yè)數據的載體進行安全檢測,對存在的安全風險及時進行整改修復,建立從設備安全配置到邊界安全防護再到網絡安全態(tài)勢感知的閉環(huán)管控,防止工業(yè)數據被竊取。積極引入專業(yè)人才對數據載體進行管理和安全加固,做到專人專崗,專事專做。
來源:工業(yè)菜園
北京市公安局海淀分局備案號:11010802023656號