“新基建”背景下工业互联网的安全挑战及应对策略研究

张昌福 杨灵运

工业互联网作为推进“人-机-物”全面互联的核心被纳入国家重大工程和“新型基础设施”。随着工业互联网与实体经济融合加快，诸多工控系统和工业互联网“上网上云上平台”，致使工控系统和工业互联网各层级安全问题大量暴露，工业互联网安全态势加剧。

一、引言

工业互联网作为新一代信息技术与制造业深度融合的产物是国家新型基础设施也是我国未来经济发展的新动能和重要支撑。近年来，工业互联网与实体经济深度融合已渗透到航空航天、钢铁等多个重点领域，诸多大中小微企业通过工业互联网将海量的设备、数据和应用等“上网上云上平台”，打破工控系统封闭格局的同时，暴露出大量安全问题。目前在监测的暴露在互联网上的工控系统，九成以上含有漏洞，可轻易被远程控制，约两成的重要工控系统可被远程入侵并完全接管。近年来针对工业领域的网络攻击和威胁日益加剧，如委内瑞拉电力系统在2019年连续遭遇三次攻击，导致大规模停电；如台积电公司工业网络在2018年遭受攻击，导致核心生产基地全部停摆，损失近20亿元；在“新基建”的大形势下，构建工业互联网安全保障体系推进工业互联网健康发展尤为重要。

二、工业互联网安全形势及挑战

5G、人工智能等新兴技术的普及应用加快了传统的工控制系统不断向工业互联网演进，智能化生产、网络化协同、个性化定制、服务化延伸等新制造模式，推动工业互联网与实体经济深度融合，海量数据、设备和应用的接入和资源汇聚暴露出工业互联网大量安全问题。

（一）生产设备和工控系统存在安全隐患和漏洞

一是国内制造业用系统、设备大量依赖国外引进，这些设备可能存在设计缺陷和植入后门，造成诸多生产和制造信息被非法获取，这些设备生产厂家和生产标准不一，限制漏洞和安全防护技术的应用；二是多数工业系统在设计之初是封闭的“单机系统”，没有考虑联网需求，它们接入到工业互联网，由于很多系统和设备没有防护软件，也不能安装杀毒系统，接入互联网会存在被攻击的风险；三是工业互联网连接着大量的工控系统和设备，这些设备和系统的价值本身较高，如遭入侵或攻击造成的经济损失不可估量，波及范围不仅是单个企业，更可能延伸至整个链或者整个工业互联网。

（二）工业互联网各层次安全挑战亟待解决

一是云基础设施安全，云基础设施面临虚拟机逃逸等攻击威胁，多数平台使用第三方云基础设施服务其安全性有待考量；二是云服务平台安全，平台受到攻击会造成平台瘫痪、数据丢失等问题；三是云服务安全，云服务种类繁杂、开发标准不一，可能存在安全漏洞、开发者恶意代码植入等问题；四是工业大数据安全方面，工业数据的体量大、种类多，在采集、清洗加工和传输过程中被侦听、拦截、篡改的风险高；五是网络安全方面，目前运行的很多接入协议缺乏安全机制，极易发生非法入侵、信息泄露等问题。

（三） 新兴技术的普及应用为工业互联网安全带来新挑战

一是人工智能、5G和区块链、边缘计算、标识解析等新技术的研究和应用普及，工业互联网作为与新兴技术融合应用的重点领域，这些新技术的应用或基于这些技术开发的应用增加数据泄露和被窃取的风险；二是随着5G协议的全面普及应用，造成外部攻击的可能性增加，对基于5G 的应用场景安全带来极大挑战；三是区块链技术本身具备防篡改等技术优势，但技术本身存在技术缺陷可能会加剧工业互联网的应用安全；四是边缘设备的安全防护能力比较弱，且需与平台频繁数据交互，遭受攻击被非法控制或被作为跳板攻击工业互联网或者其他系统的可能性较大。

（四）技术水平和管理体制机制有待进一步健全

一是工业互联网安全保障能力弱，设备、业务系统等的接入认证和管控技术还不成熟，大量依赖国外技术和产品，整体解决方案还不成熟，关键安全技术和产品受制于人；二是人才不足，工业互联网复杂，牵涉领域较多，安全保障需要大量的安全专业人才，然而我国安全人才缺口大，多学科交叉培养难度非常大；三是工业互联网发展还未成熟，管理规定、政策和技术标准还处于研究制定中，在工业互联网网络、平台、应用开发标准和规范上还没有建立完整的体系。

三、工业互联网安全发展应对策略

安全作为工业互联网三大体系之一，是保障工业互联网稳定运行的重要支撑，是“新基建”背景下推进工业互联网产业健康发展和网络强国建设的关键保障，提升工业互联网安全保障能力至关重要。

（一）构建工业互联网安全技术体系和管理体系

一是主管部门需将工业互聯网纳入国家信息安全顶层规划，作为国家战略，明确工业互联网发展目标和保障措施等，规范工业互联网安全保障水平；二是落实工业互联网产业链各参与者的安全防护责任和义务，加强政府部门、行业与企业间的信息互通共享；三是建立全产业链分级管理体系，依据工业门类开展工业互联网安全评估和监测。

（二）加强工业互联网安全监测预警技术和资源共享

一是不断完善工业互联网的网络层、边缘层、基础设施层、平台层、应用层、数据层等安全体系架构，以适应新的应用要求；二是加强工业互联网安全技术研究和安全检测手段，构建安全识别防护、检测预警、追踪溯源技术企业侧探针等技术研发和产品体系；三是提升平台安全态势感知能力，建设安全监测预警平台，构建工业互联网应用服务安全监测环境；四是提升设备和控制系统本质安全，增强设备、应用和数据的安全保障能力，实现设备、系统接入平台的可信可控可追溯；五是构建工业互联网安全资源库和信息分享平台，如安全漏洞库、协议库、病毒库和安全威胁信息库及安全应急处置等工具集。

（三）强化工业互联网各层级安全构建安全产业链

一是培育工业互联网安全优秀解决方案供应商；二是采用自主可控的系统或产品替代国外安全产品，避免国外产品存在后门或其他有意植人的安全威胁；三是构建工业互联网安全靶场，在重点行业建设一批安全测试床和模拟仿真平台，为漏洞挖掘与验证、安全威胁感知与安全防护等技术研究提供基础科研平台；四是强化数据安全防护能力，明确数据收集、存储、处理等环节安全保护要求，完善各环节数据防窃密、防篡改和数据备份管理机制。

（四）构建黑白名单机制丰富工业互联网安全标准体系

一是建立黑白名单库，实现供应链安全管控；二是完善工业互联网安全标准体系，建立健全工业互联网安全管理、各层级数据采集分析和管理技术、测评等标准规范，主导或参与工业互联网安全国际标准，提升工业互联网安全国际影响力；三是开展对工控协议的安全性分析，建立工业互联网安全评估认证体系，在工业互联网平台安全管理、安全防护、安全评估、安全测试等方面加快标准研制。

（五）强化新技术的应用和人才培养，护航工业互联网安全

强化区块链等新兴技术的应用。一是利用好区块链、5G、可信计算、人工智能等新兴技术，如区块链技术的可信协作、隐私保护优势可应用在工业互联网数据交换共享及海量设备接入认证与等方面；二是加快工业互联网和网络安全复合型高端人才的培养，通过“产学研用”联合培养等培养人才，建立一批工业互联网安全重点实验室，增设工业联网安全专业，支持培训机构开展网络安全学培训，将工业网络安全职业或职称纳入技能鉴定体系等。

四、结束语

工业互联网作为国家新型基础设施，其安全性已成为产业发展的关键。为构建防御一体化、使用个性化、安全服务化、响应智能化的工业互联网安全体系，强化工业互联网安全核心技术研究和应用，行业主管部门及各主体需建立协同推进机制，共同构建工业互联网安全保障体系，推进工业互联网安全健康发展。

作者单位：贵州航天云网科技有限公司