自上而下逐层推进
构建工业互联网安全管理体系
(作者姚羽博士系东北大学教授、博士生导师,复杂网络系统安全保障技术教育部工程研究中心主任)
2019年08月30日 来源:人民网-科技频道
近日,工业和信息化部联合教育部、人力资源社会保障部、生态环境部、卫生健康委员会、应急管理部、国有资产监督管理委员会、国家市场监管总局、国家能源局、国防科技工业局等十部委共同印发了《加强工业互联网安全工作的指导意见》(以下简称《安全指导意见》),体系化推进工业互联网工作。《安全指导意见》清晰地界定了工业互联网安全保障体系初步建立的近期目标和远期目标,为工业互联网建立依法共建共治共享的安全体系打下基础。
《安全指导意见》从工业互联网安全的几个方面的入手,分别提出了切实可行的目标。并且提出了以下关键任务:推动工业互联网安全责任落实,构建工业互联网安全管理体系,提升企业工业互联网安全防护水平,强化工业互联网数据安全保护能力,建设国家工业互联网安全技术手段,加强工业互联网安全公共服务能力,推动工业互联网安全科技创新与产业发展。
针对《安全指导意见》中的主要任务,有以下几方面需要我们强化和完善:
目前,我国的工业企业已经提高了自身对安全的重视程度,关注工业互联网安全建设,也愿意在安全方面进行投入,这对工业互联网安全责任落实有着极大的好处。但是,目前企业对自身安全状况缺乏了解,无法得到一个适合自身的解决方案,在安全方面的投入主要集中在购买防护类产品,并没有根据自身情况量身定制的相关防护。当然,这些也有赖于相关工业互联网安全产业企业的发展,才能促进工业企业的安全建设。
构建工业互联网安全管理体系需要自上而下逐层推进,通过构建涵盖工业全系统的安全防护体系,打造满足工业需求的安全技术体系和相应管理机制,识别和抵御来自内外部的安全威胁,化解各种安全风险,是工业互联网可靠运行,实现工业智能化的安全可信保障。
提升企业工业互联网安全防护水平,从防护对象、防护措施及防护管理三个维度构建工业互联网安全,针对不同的防护对象部署相应的安全防护措施,根据实时监测结果发现网络中存在的或即将发生的安全问题并及时做出响应,并通过加强防护管理,明确基于安全目标的可持续改进的管理方针,从而保障工业互联网的安全。其中,IPv6的部署,5G网的建设,IaaS、PaaS、SaaS平台的使用,都是需要关注的重点。在安全防护过程中,需要跨行业的联合,各相关企业的配合,除了保障自身安全之外,还需要对各方相关接口处进行安全评估,以保障整体运行的安全性。
工业互联网数据安全保护能力的提升,需明确数据收集、存储、处理、转移、删除等环节安全保护要求,在加快推动数据资源开放共享和开发应用的同时,必须建立工业互联网数据安全保障体系,构筑适应工业互联网数据发展的法规制度,健全工业互联网数据时代信息安全新秩序。
在建设国家工业互联网安全技术手段方面,目前工业互联网安全攻防演练相关工作需要进一步加强,从事相关工作的企业对其理解不够,攻防对抗技术研发还不深入。工业互联网安全技术研发是我国工业互联网产业自主发展的关键驱动,同时也是工业互联网安全标准的制定和落地实施的重要支撑。建议加强工业互联网安全技术研究,包括入侵检测、安全态势感知、网络攻击取证、威胁情报分析等,特别要重视主动防御关键技术的研究。
开展工业互联网安全评估认证,需要摸索一个合适的安全评价体系。针对当前缺乏工业互联网安全检测评估标准的问题,需要通过对工业互联网安全现状、安全需求和攻防技术的深入调研,全面分析工业互联网可能存在的安全隐患,确定工业互联网安全审查和检测评估的方向和重点,梳理和细化安全审查和检测评估内容,编制可量化、可操作的工业互联网安全审查和检测评估技术要求和测试评价方法相关标准。
我国工业互联网安全领域的安全技术和产品主要依赖于国外厂商,尚未形成完整的安全服务产业生态体系。推动工业互联网安全科技创新与产业发展,需要产学研相结合,而目前工业企业——厂商——科研机构的链条不畅,缺乏促进合作的相关项目。应注重开放创新,加强工业互联网各类行业客户、专业服务企业之间的协同合作,发挥其在所属领域的知识经验和资源优势,形成一系列重量级工业应用。
《安全指导意见》指出了我们加强工业互联网安全指导思想、基本原则和总体目标,并给出了主要任务,从政策法规方面对工业互联网安全建设给出了支持,进一步完善了工业互联网安全管理的体制机制。加强工业互联网安全是一项必要性、系统性、前瞻性的工作,相信《安全指导意见》将进一步凝聚包括企业界、学术界等在内的社会各界共识,形成共同参与、协同推进的良好局面。
(作者姚羽博士系东北大学教授、博士生导师,复杂网络系统安全保障技术教育部工程研究中心主任)