何小龙副主任:凝聚共识 加强合作 共同推进工业互联网安全能力建设
- 2018-03-05 11:02:00
- 转贴
- 3535
国家工业信息安全发展研究中心(工信部电子一所)副主任何小龙近日在工业互联网安全论坛上发表演讲表示,工业互联网是以工业实体泛在的互联为基础,通过系统构建网络、平台、安全三大功能体系,将工业、生产、制造与互联网、云计算、大数据、人工智能等新一代信息技术深度融合,是实现工业设计、制造、管理、销售、流通等全生命周期的数字化、网络化、智能化的关键信息基础设施,也是推进制造强国、网络强国和数字强国建设的重要基础。工业互联网的安全已经成为护航经济发展和社会稳定、维护国家安全的重要基础和前提,它的重要性日益凸现。安全是发展的前提,发展是安全的保障,没有安全的保障,工业互联网可以说寸步难行。随着两化融合和智能制造战略的深入,现在越来越多的工业系统暴露在互联网上,涉及的领域从离散控制到集中控制都有,这些系统一旦漏洞被攻击,远程操作可能就引起灾难性的后果。本文根据现场演讲速记稿整理,未经本人审阅——
何小龙副主任:各位领导,各位专家,各位来宾和企业代表,大家下午好!非常高兴能代表国家工业信息安全发展研究中心参加此次“工业互联网安全论坛”,为贯彻十九大报告的精神,国务院11月19日印发了《关于“互联网+先进制造业”发展工业互联网安全发展的指导意见》,这是我们这次工业互联网安全论坛的主题。这个文件提出将工业互联网安全的防护和保障提升到与功能建设同等重要的定位,并在文件里强调要建立覆盖设备安全、控制安全、网络安全、平台安全和数据安全的工业互联网多层次的安全保障体系,这也为我们工业互联网安全防护工作做些研究指明了方向。今天和大家一块儿交流一下对工业互联网的粗浅认识和我们中心目前正在做的几项工作。
一、对工业互联网的认识
什么是工业互联网?我们是这么理解的,是以工业实体泛在的互联为基础,通过系统构建网络、平台、安全三大功能体系,将工业、生产、制造与互联网、云计算、大数据、人工智能等新一代信息技术深度融合,是实现工业设计、制造、管理、销售、流通等全生命周期的数字化、网络化、智能化的关键信息基础设施,也是推进制造强国、网络强国和数字强国建设的重要基础。
安全包括数据安全、平台安全、网络安全、工控安全和设备安全。工业互联网安全保障体系目前急需突破的是标识解析系统安全、工业互联网平台安全、工业控制系统安全、工业大数据安全等相关核心技术,要推动攻击防护、漏洞挖掘、入侵发现、态势感知、安全审计、可信芯片等安全产品的研发,来构建与我们工业互联网发展相匹配的技术保障能力。我们中心下一步将开展这方面的研究,同时想依托于国家工业信息发展联盟和中国工业技术软件联盟等相关单位来搭建、构建工业互联网设备、网络和平台的安全评估认证体系,开展相关的安全能力评价和认证,引领工业互联网安全能力的不断提升。
二、工业互联网安全的重要性
工业互联网的安全已经成为护航经济发展和社会稳定,维护国家安全的重要基础和前提,它的重要性日益凸现,习近平总书记在去年的4·19网络座谈会工作时提出来,安全是发展的前提,发展是安全的保障,没有安全的保障,工业互联网可以说寸步难行。随着两化融合和智能制造战略的深入,现在越来越多的工业系统暴露在互联网上,涉及的领域从离散控制到集中控制都有,这些系统一旦漏洞被攻击,远程操作可能就引起灾难性的后果。
我们常见的工业互联网应用场景,包括智能制造、智能化生产、网络化协同、个性化定制和服务化延伸。其中服务化延伸和个性化定制是天然就和互联网融合起来的,网络化的协同也是通过互联网连接在一起来促进协同制造。智能化生产分成两种情况,一种是直接和互联网连接的,另一种是不直接连接到互联网,但通过监控要部网络连接到企业的互联网连接到企业的互联网,这四种典型应用场景是通过各种渠道连接在一起,并最终连接到互联网上。因此,这些工业系统最终也间接地暴露在互联网上。应该说从工业互联网发展趋势来看,这种暴露会从常态化到标准化。随着工业互联网的发展,工控系统连接到互联网,这种常态会形成标准,工业互联网随着开放性的增大一定会越来越开放,问题暴露度会越来越高,风险会越来越多,对工控安全的要求也会越来越高。
目前,暴露在工业互联网安全的隐患应该说是非常多的,这样的事件也是频次很高,影响范围也比较大,这里列举的是2010-2017年,从震网病毒、乌克兰电网攻击事件、包括去年的WannaCry软件等等,使得核工业、电力、石化、公共交通等重要轨道基础设施遭到了严重的影响,也给工业互联网发展带来严峻的考验。
工业互联网遭受攻击的威胁是非常大的,包括对国家安全稳定的影响,像我们的钢铁、石化、重要的生产领域、航天、交通领域的工业互联网如果被攻击将会引起工厂的起火爆炸、交通瘫痪等威胁国家安全稳定的恶性事件。去年美国国家航空航天局NASA内部IT人员给设备打没有经过安全测试的补丁,导致它整个硬件设备宕机,引起火灾。工业互联网如果遭受攻击,引起的经济损失也是非常大的。美国剑桥大学风险研究中心和英国劳合社共同研究发布,如果美国电网遭到攻击的话,对它经济损失的评估大概2000多亿美金,极端情况下可超过1万亿美元,这个损失不能以数字来计算。对老百姓的影响也是非常大的,供电、贡税、供热、供气等领域的工业系统一旦被攻击,将严重影响到人民的日常生活。
近年来,党中央、国务院及其社会高度重视工控,从法律、法规、战略规划和标准规范等多层次做出了一系列的工作部署,党的十九大报告提出,要加快建设制造强国,加快发展先进制造业,推动互联网、大数据、人工智能和实体经济的深度融合。同时也提出来,健全国家安全体系,加强国家安全法制保障,提高防范和抵制安全风险能力。工业互联网是国家互联网安全的一个重要组成部分,也是我国数字经济繁荣发展的重要保障。
去年6月1号实施了《中华人民共和国网络安全法》。2016年,发布了“国家网络空间安全战略”、《国务院关于深化制造业与互联网融合发展指导意见》、“中国制造2025”等文件里对工业互联网安全保障都提出了明确和具体的要求。
工业互联网平台的安全,工业企业与平台互联网安全的责任,目前难以界定。一方面,平台的管理、运行的主体与工业数据安全的责任主体不同,没有办法简单地采取传统的谁主管、谁负责,谁运营谁负责的原则和直接界定,就难以有效地督促平台的提供商来对我们工业数据采取有效的安全防护措施;另一方面,虚拟化平台技术加大了工业数据的保护难度,工业互联网平台中多个客户共享这种计算和存储的资源,虚拟机之间的隔离防护容易受到攻击,跨虚拟机的非授权访问风险也会非常突出。
第二,工业控制系统安全作为国家的关键基础设施重要组成部分,很容易成为国家之间网络对抗的重点攻击对象以及有黑客组织攻击的目标。工业控制系统的安全,一方面我们现在生产控制的设备和数字化制造工具,控制软件组态和工业主机设备,工业通信协议,以及外围辅助设施等工业软硬件设备存在着大量的安全漏洞,极易被攻击利用。根据美国US-CERT发布的数据,2016年报道的工控漏洞187个,绝大部分漏洞都存在于能源、关键制造、水务等网络安全防护薄弱的环节,工控漏洞的安全威胁十分严重。我国工业控制系统的自主水平非常低,大部分核心设备都是以国外为主,面临着严峻的安全方面的挑战,我国大部分工业控制系统日常维护和设备修理很多也依赖于国外,这就留了很多的后门,有被国外机构操控的风险,也为我国工业控制系统安全防护带来了重要的挑战。
第三,工业大数据安全问题。工业互联网数据种类繁多,保护需求也多样,数据流动的方向和路径也是非常复杂,研究、设计、数据内部生产管理的数据,操作控制数据以及企业外部的数据等等,都可以分布在大数据平台,也可以分布在用户端,也可以分布在生产终端,也可以分布在设计的服务器等多种设施上,依托单点、离散传统数据保护措施难以保护工业互联网中流动的工业数据安全。
针对工业互联网这三个的问题,我们研究中心也在继续做相关的研究和探索。
三、国家工信安全中心职能定位
我们中心原来叫工业与信息化部电子科学情报研究所,今年1月份,工信部依托原单位建设国家工业信息安全发展研究中心,中心定位于支撑我国工业领域的信息安全国家级研究和推进机构,中心的职责主要是从事工业信息化领域的政策研究和工业安全领域的技术研发、风险监测预警和检查评估、产业促进等方面的工作。我们中心的职能扩展为国家工业信息安全为重点研究领域。
目前,中心已经建成了工业控制系统在线安全监测平台,工业控制系统与产品综合监测平台,工业安全信息共享平台等关键平台及其系统,建有工控安全领域的国家级质检中心,叫国家工业控制系统和产品安全质量监督检验中心,以及工业信息安全感知与评估,工信部重点实验室。工业信息安全能力建设目前已经取得一定的成绩,已经开展相关的工作。
在工信部信软司的指导下,我们中心前期开展了一系列的工作,主要包括以下几方面:
1、牵头编制《工业控制系统信息安全防护指南》、《工业控制系统信息安全保障行动计划》、《关于促进工业信息安全产业发展的指导意见》《工业控制系统信息安全应急管理工作指南》。
2、开展《工业控制系统信息安全防护指南》宣贯培训工作,以及落实这项防护指南相关的工作。
3、开展全国范围内的工业控制系统信息安全检查。
4、开展工业控制系统试点评估工作。
5、加强工业信息安全态势和风险通报工作。
6、承担了编制工作控制系统信息安全应急工作指南,同时也承担了重大活动的公共安全保障工作,进一步加强工控系统信息安全的应急管理工作。
7、我们促进工业控制系统产业发展,今年6月份,在工信部的指导下,我们联合企事业单位,现在200多会员共同发起成立国家信息安全产业联盟,来促进这个产业的健康发展。
目前,中心正在开展三大工程和四个平台的建设。
三大工程:工业互联网安全体系建设工程、工业互联网安全技术和产品研发攻关工程、工业互联网安全保障支撑平台建设工程。
四个平台:国家工业互联网监测预警与态势感知平台、国家工业互联网纵深防御多层次管理平台、国家工业互联网安全测试验证平台、国家工业互联网安全信息共享平台及应急资源库。
工业互联网安全的工作责任重大,任务艰巨,推动工业互联网安全保障建设任重道远。当前安全形势比较严峻,我们衷心希望与在座同行业人士一起凝聚共识、加强合作,共同推进工业互联网安全建设,保障好我们工业互联网的安全,也希望能为工业互联网事业开创局面。
最后,预祝本次论坛取得圆满成功,谢谢!