今年7月26日中國工信部等十部門聯(lián)合印發(fā)《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》，標志著關(guān)于工業(yè)互聯(lián)網(wǎng)發(fā)展的頂層設(shè)計和框架基本完成。中國工業(yè)互聯(lián)網(wǎng)的頂層架構(gòu)分為三大體系——網(wǎng)絡(luò)體系、平臺體系和安全體系。

★網(wǎng)絡(luò)體系是基礎(chǔ)，涉及人、物品、機器、車間等全要素，涵蓋設(shè)計、研發(fā)、生產(chǎn)、管理等各環(huán)節(jié)，是工業(yè)全系統(tǒng)、全產(chǎn)業(yè)鏈、全價值鏈的泛在深度互聯(lián)；

★平臺體系是核心，平臺作為各種要素的樞紐，將數(shù)據(jù)匯集在一起，不僅連接數(shù)據(jù)，還能查詢機器狀態(tài)，在此基礎(chǔ)上實現(xiàn)資源的優(yōu)化配置、智能分析等；

★安全體系是保障，通過安全體系可以識別和抵御安全威脅、化解各種安全風險。

指導意見的發(fā)布旨在全面提升工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展安全保障能力和服務(wù)水平，《安全指導意見》在安全體系中提出了7個方面重點任務(wù)：推動安全責任落實、構(gòu)建安全管理體系、提升企業(yè)安全防護水平、強化工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護能力、建設(shè)國家工業(yè)互聯(lián)網(wǎng)安全技術(shù)手段、加強工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力、推動科技創(chuàng)新與產(chǎn)業(yè)發(fā)展。

指導意見明確了工業(yè)互聯(lián)網(wǎng)下安全體系的任務(wù)和目標。如何界定工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)和智能制造新形態(tài)下的安全體系，厘清網(wǎng)絡(luò)安全面臨的挑戰(zhàn)，確定任務(wù)的具體內(nèi)涵，包含這些任務(wù)所涉及的廣度、深度、長度和難度，并針對性地提出對策，提供可實施的解決方案和可踐行的實際案例，實現(xiàn)短期和中長期的網(wǎng)絡(luò)安全目標，都需要一份執(zhí)行層面的研究成果。

恰逢其時，基于“智能制造環(huán)境下物聯(lián)網(wǎng)安全的良好實踐”的研究成果，歐盟網(wǎng)絡(luò)和信息安全（ENISA）發(fā)布報告《工業(yè)4.0網(wǎng)絡(luò)安全:挑戰(zhàn)與建議》。ENISA是歐盟成員國、私營部門和歐盟公民的網(wǎng)絡(luò)和信息安全專業(yè)知識中心。雖然工業(yè)4.0成熟度參差不齊，企業(yè)處于數(shù)字化制造不同的水平和階段，網(wǎng)絡(luò)體系和平臺體系建設(shè)存在差異，但是網(wǎng)絡(luò)安全體系所面臨的挑戰(zhàn)和任務(wù)是相同的。因此“挑戰(zhàn)與建議”對于其他各工業(yè)國都具有借鑒甚至具體實施的實際意義。各主要工業(yè)國可以共享該領(lǐng)域的研究成果，共同面對和解決網(wǎng)絡(luò)安全挑戰(zhàn)。

新工業(yè)時代的共同主題

工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)和智能制造是人類共同面臨的新工業(yè)時代主題。它將完全改變原有工業(yè)形態(tài)下信息孤島、數(shù)據(jù)斷層、網(wǎng)絡(luò)分割、管理各自為政的局面，開啟機器、人、物品的萬物互聯(lián)新生態(tài)模式，在這樣的新型工業(yè)生態(tài)模式下，人機物將貫穿設(shè)計和互聯(lián)的整個生命周期，網(wǎng)絡(luò)安全保障和防護都是第一位的。共同主題所涉及的網(wǎng)絡(luò)廣度指全球泛在鏈接；深度指人機物內(nèi)部狀態(tài)和外部狀態(tài)實時同步地傳輸數(shù)據(jù)，信息交往無時無處不在動態(tài)變化中；長度指貫穿人機物的全生命周期；難度指OT和IT系統(tǒng)尚未打通，安全體系以及對安全體系的認知沒有統(tǒng)一，技術(shù)和標準碎片化，跨學科、跨行業(yè)、跨領(lǐng)域的人才匱乏，沒有建立統(tǒng)一的認知標準和體系，供應(yīng)鏈復(fù)雜，尚未明晰所涉及的供應(yīng)商、運營商、制造商、監(jiān)管機構(gòu)，以及學術(shù)研究科研機構(gòu)等各個利益群體和全流程的責任界定與劃分，有待在各個階段和層級研究、開發(fā)和利用創(chuàng)新技術(shù)。難度就是挑戰(zhàn)，應(yīng)對挑戰(zhàn)，需要高屋建瓴的規(guī)范指導，更需要可執(zhí)行、可操作的具體實施方案。

ENISA在報告中列出針對不同利益相關(guān)群體的高級別建議，以促進工業(yè)4.0網(wǎng)絡(luò)安全，并以安全的方式促進更廣泛的相關(guān)創(chuàng)新發(fā)展。不同利益相關(guān)群體包含與工業(yè)網(wǎng)絡(luò)密切相關(guān)的組織機構(gòu)：工業(yè)4.0安全專家(OT和IT安全)、工業(yè)4.0運營商（解決方案供應(yīng)商和制造商）、監(jiān)管機構(gòu)、標準化社區(qū)、學術(shù)界和研發(fā)機構(gòu)。從人員、流程和技術(shù)三個領(lǐng)域分別闡述工業(yè)4.0網(wǎng)絡(luò)安全面臨的挑戰(zhàn)，針對這些挑戰(zhàn)提出能解決問題、操作性強、可具體實施的指導建議。整體報告偏重于戰(zhàn)術(shù)層面的指導規(guī)范，以應(yīng)用研究開發(fā)和技術(shù)創(chuàng)新為主導，旨在解決當前可以預(yù)見的在挑戰(zhàn)和人才、流程和技術(shù)方面所面臨的難題。

加強網(wǎng)絡(luò)安全

德國作為歐盟主要的工業(yè)國家，在工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)、智能制造新型工業(yè)生態(tài)模式下，始終高度。除了大中小型企業(yè)、科研機構(gòu)、國家監(jiān)管機構(gòu)，即報告中所涵蓋的五大利益群體之外，還有很多大型跨學科跨行業(yè)的聯(lián)合攻關(guān)機制和機構(gòu)，都有專注于工業(yè)4.0下網(wǎng)絡(luò)安全的基礎(chǔ)研究、應(yīng)用研究、產(chǎn)品開發(fā)和推廣、標準制定和推廣、監(jiān)管機構(gòu)協(xié)同實施，各相關(guān)利益群體聯(lián)合攻關(guān)，協(xié)同推動網(wǎng)絡(luò)安全的發(fā)展，解決重大任務(wù)和難題。德國弗朗霍夫協(xié)會在其早期2010年的一份研究報告《網(wǎng)絡(luò)完全2020戰(zhàn)略地位白皮書：信息技術(shù)研究的挑戰(zhàn)》中針對網(wǎng)絡(luò)安全曾經(jīng)提出七條建議：

1.數(shù)字主權(quán)在關(guān)鍵核心信息技術(shù)安全方面的獨特重要性。這是工業(yè)4.0下信息交互技術(shù)的核心領(lǐng)域，提供可測試的信息安全解決方案，是可靠的基石，信息交互基礎(chǔ)實施、工業(yè)企業(yè)軟件、嵌入式系統(tǒng)，以及跨行業(yè)的未來項目都必須關(guān)注這一領(lǐng)域。

2.建立、建全實際投入使用的網(wǎng)絡(luò)安全應(yīng)用實驗室，研究與工業(yè)4.0相關(guān)的跨學科、系統(tǒng)性項目。針對網(wǎng)絡(luò)安全、網(wǎng)絡(luò)入侵和攻擊，以及經(jīng)濟間諜開展研究和成果展示，確定工業(yè)應(yīng)用導向的研究項目。

3.安全從設(shè)計開始，即人機物全生命周期的安全保障必須要從設(shè)計開始。安全技術(shù)必須從產(chǎn)品、解決方案以及服務(wù)之初就同步考慮周全，通過研究方法、過程和工具，來支持有關(guān)產(chǎn)品、解決方案和服務(wù)的全生命周期的安全技術(shù)，持續(xù)獲得有力保障，同時兼顧現(xiàn)有系統(tǒng)的支持、整合和可靠測試，提高安全保障級別。

4.通過第三方提供的可檢測性，如可實現(xiàn)的安全檢測認證證書等，保障部件、產(chǎn)品、方案、服務(wù)，以及整個生命周期的安全可靠。

5.私人領(lǐng)域的數(shù)據(jù)受到與經(jīng)濟、國家和公民的數(shù)據(jù)隱私同等程度的保護和安全保障。盡量減少網(wǎng)絡(luò)侵犯和間諜攻擊造成的損失，注意優(yōu)化并改善對個人隱私數(shù)據(jù)的保護。

6.對決策者安全狀態(tài)的認知。

7.信息技術(shù)機制為人服務(wù)，被人掌控。應(yīng)開發(fā)方便使用的安全技術(shù)和工具流程，即友好型信息安全技術(shù)的研究和開發(fā)。

如今看來，這七條意見還有待完善和補充。第四次工業(yè)革命發(fā)展迅猛，創(chuàng)新發(fā)明層出不窮，新技術(shù)和新產(chǎn)品在工業(yè)4.0和智能制造領(lǐng)域快速使用迅速，技術(shù)迭代速度快、范圍廣，因此，面臨的挑戰(zhàn)和任務(wù)愈加艱巨、廣泛、深入。設(shè)計層面涉及到工業(yè)、社會，以及私人的所有領(lǐng)域，幾乎可以說是無孔不入。當前的研究報告《工業(yè)4.0網(wǎng)絡(luò)安全:挑戰(zhàn)和建議》詳細分析其難度、廣度、深度和長度，大的范圍已經(jīng)被囊括在內(nèi)，但可能沒有完全涵蓋細分領(lǐng)域，仍然存在需要深入探討和挖掘的層面和角度。

重視工業(yè)信息安全

例如，工業(yè)信息安全是智能制造和工業(yè)4.0網(wǎng)絡(luò)安全的一個重大主題,工業(yè)信息是數(shù)字黃金的核心資產(chǎn)，因此，遭到的網(wǎng)絡(luò)攻擊較為密集。以工控信息為例，當前，全球工業(yè)信息安全普遍面臨漏洞數(shù)量逐年增長、中高危漏洞居高不下、漏洞修復(fù)進度遲緩、漏洞利用技術(shù)門檻不斷降低的問題。尤其針對工業(yè)企業(yè)的定向攻擊行為增多、攻擊手段愈發(fā)新型多樣，制造、建筑、交通運輸及工程行業(yè)成為重點風險領(lǐng)域。暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)和設(shè)備數(shù)量與日俱增，成為世界各國工業(yè)信息安全的軟肋，中國多一半工控系統(tǒng)曾遭攻擊。國家工信安全中心監(jiān)測發(fā)現(xiàn)，全球暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)及設(shè)備數(shù)量持續(xù)上升，工業(yè)信息安全風險點不斷增加。2018年上半年全球范圍內(nèi)工控系統(tǒng)遭受網(wǎng)絡(luò)攻擊,中國工控系統(tǒng)遭受攻擊嚴重程度排在第六位，比例達57.4%，較2017年排名有所降低，但比例有所增長。各國高度重視，多措并舉，不斷加強工業(yè)信息安全保障能力，建設(shè)面對嚴峻的工業(yè)信息安全的形勢。美國、歐盟、日本和英國等國家和地區(qū)高度重視、積極行動，紛紛采取成立機構(gòu)、實施戰(zhàn)略、制定法律標準、投入資金、加強技術(shù)研究等諸多舉措，以加強工業(yè)信息安全的保障能力。

如在成立機構(gòu)方面：美國擁有數(shù)量龐大的網(wǎng)絡(luò)安全研究機構(gòu)，如愛達荷國家實驗室（INL）、桑迪亞國家實驗室（SNL）、西北太平洋國家實驗室（PNNL）等均是美國網(wǎng)絡(luò)安全研究的重要力量；英國有網(wǎng)絡(luò)應(yīng)急響應(yīng)小組，并設(shè)立國內(nèi)首個網(wǎng)絡(luò)安全學院，旨在培養(yǎng)下一代密碼破解者；日本的控制系統(tǒng)安全中心（CSSC）專門負責工業(yè)信息安全防護研究，包括控制系統(tǒng)高級安全技術(shù)、系統(tǒng)安全驗證技術(shù)、可控安全測試床等方面的研究與開發(fā)，開展系列網(wǎng)絡(luò)安全研討會，舉辦“控制設(shè)備安全開發(fā)流程，設(shè)計與驗證研討會”、關(guān)鍵基礎(chǔ)設(shè)施“系統(tǒng)防御技術(shù)”網(wǎng)絡(luò)安全研討會等；此外，德國有信息安全聯(lián)邦安全辦公室，法國成立網(wǎng)絡(luò)與信息安全局。

黑客攻擊活動：如電力、石油、天然氣、交通運輸?shù)戎T多組織機構(gòu)的網(wǎng)絡(luò)被攻擊，核設(shè)施、石油部、航空、能源生產(chǎn)和供應(yīng)系統(tǒng)是網(wǎng)絡(luò)攻擊的重點目標；此外，還有勒索病毒感染事件，在全球范圍內(nèi)迅速擴散，涉及電力、軌道交通、石油、金融、電信等多個領(lǐng)域；交通系統(tǒng)及政府機構(gòu)也會遭網(wǎng)絡(luò)攻擊；犯罪分子通過源代碼找到遠程監(jiān)控系統(tǒng)的漏洞，得以解鎖設(shè)備，會給企業(yè)帶來直接或間接嚴重的經(jīng)濟損失。

工業(yè)信息安全指工業(yè)運行過程中的信息安全，涉及工業(yè)領(lǐng)域的各個環(huán)節(jié)，包括工業(yè)控制系統(tǒng)信息安全（以下簡稱工控安全）、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)大數(shù)據(jù)安全、工業(yè)云安全、工業(yè)電子商務(wù)安全等。與傳統(tǒng)網(wǎng)絡(luò)安全相比，工業(yè)信息安全需適應(yīng)工業(yè)環(huán)境下系統(tǒng)和設(shè)備的實時性、高可靠性需求，以及工業(yè)協(xié)議眾多等行業(yè)特征，防護難度更大。

當前的任務(wù)和對策

工業(yè)4.0下的網(wǎng)絡(luò)安全在人才、流程和技術(shù)方面面臨的挑戰(zhàn)為應(yīng)用研究提供具體任務(wù)和創(chuàng)新機會。在信息技術(shù)研究領(lǐng)域，應(yīng)加強應(yīng)用導向研究，以及適合市場化的產(chǎn)品開發(fā)和應(yīng)用實踐案例，保護經(jīng)濟、工業(yè)數(shù)據(jù)和網(wǎng)絡(luò)安全，降低網(wǎng)絡(luò)安全產(chǎn)品的成本，開發(fā)具有全球競爭力的技術(shù)、產(chǎn)品和解決方案，并迅速推進應(yīng)用推廣。在智能制造、交通設(shè)施、能源生產(chǎn)和供應(yīng)等國家核心數(shù)字資產(chǎn)流動過程中，提供可靠的網(wǎng)絡(luò)安全保障。在網(wǎng)絡(luò)安全的研究、開發(fā)領(lǐng)域，通過應(yīng)用成功案例，引領(lǐng)示范性作用的技術(shù)開發(fā)。開展強大的應(yīng)用導向系統(tǒng)研究，對于每一個實施智能制造的工業(yè)國家都是

緊迫的任務(wù)。開發(fā)可靠的系統(tǒng)解決方案，聯(lián)合工業(yè)合作伙伴，共同開發(fā)市場成熟的產(chǎn)品，與時俱進、源源不斷地提供創(chuàng)新技術(shù)，才能正真推動經(jīng)濟實體，體現(xiàn)并實現(xiàn)工業(yè)4.0和智能制造價值創(chuàng)造的目標任務(wù)，為工業(yè)生態(tài)系統(tǒng)的可持續(xù)發(fā)展提供系統(tǒng)的安全保障，網(wǎng)絡(luò)安全必將成為重要、高級別的研究領(lǐng)域，從國家政策引導，到資金配置支持，到充分調(diào)動市場協(xié)同效應(yīng)，全方位、多方面為網(wǎng)絡(luò)安全提供技術(shù)、服務(wù)和解決方案的深度保障。目前任務(wù)廣泛，包含云安全、虛擬物理系統(tǒng)、數(shù)據(jù)保護和隱私管理、能源生產(chǎn)和供應(yīng)、預(yù)警系統(tǒng)、工廠工業(yè)產(chǎn)品智能化、移動信息技術(shù)應(yīng)用研究開發(fā)、網(wǎng)絡(luò)安全設(shè)施、網(wǎng)絡(luò)攻擊保護、虛擬物理系統(tǒng)的網(wǎng)絡(luò)安全、移動系統(tǒng)的安全工程、防止網(wǎng)絡(luò)攻擊、全方位立體安全管理系統(tǒng)的建立、全生命周期可靠的系統(tǒng)安全保障和隱私保護等。報告的這一頁索引一目了然，在各個執(zhí)行層面都具有很好的參考價值和執(zhí)行指導意義。

遺憾的是，目前為止，還沒有看到研究成果，從戰(zhàn)略層面提出緊急挑戰(zhàn)與應(yīng)急對策方面的指導性意見和報告，簡單舉例在極端的社會政治和經(jīng)濟環(huán)境下，因戰(zhàn)爭或國家和地區(qū)之間的政治、經(jīng)濟、貿(mào)易摩擦而引發(fā)國際關(guān)系惡化，導致網(wǎng)絡(luò)安全攻擊或惡意中斷網(wǎng)絡(luò)，進而使得產(chǎn)品、網(wǎng)絡(luò)通道和數(shù)據(jù)管控強制斷裂，對于未來工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)和智能制造的新型工業(yè)生態(tài)模式和社會環(huán)境，都是必須考量的因素。雖然出現(xiàn)極端的天災(zāi)人禍的概率極低，但是一旦出現(xiàn)，如果沒有應(yīng)急對策，對工業(yè)和社會將是摧毀性、致命性的打擊。

文章來源：信息化和軟件服務(wù)網(wǎng)