今年7月26日中國工信部等十部門聯合印發《加強工業互聯網安全工作的指導意見》，標誌着關於工業互聯網發展的頂層設計和框架基本完成。中國工業互聯網的頂層架構分爲三大體系——網絡體系、平臺體系和安全體系。

★網絡體系是基礎，涉及人、物品、機器、車間等全要素，涵蓋設計、研發、生產、管理等各環節，是工業全系統、全產業鏈、全價值鏈的泛在深度互聯；

★平臺體系是核心，平臺作爲各種要素的樞紐，將數據彙集在一起，不僅連接數據，還能查詢機器狀態，在此基礎上實現資源的優化配置、智能分析等；

★安全體系是保障，通過安全體系可以識別和抵禦安全威脅、化解各種安全風險。

指導意見的發佈旨在全面提升工業互聯網創新發展安全保障能力和服務水平，《安全指導意見》在安全體系中提出了7個方面重點任務：推動安全責任落實、構建安全管理體系、提升企業安全防護水平、強化工業互聯網數據安全保護能力、建設國家工業互聯網安全技術手段、加強工業互聯網安全公共服務能力、推動科技創新與產業發展。

指導意見明確了工業互聯網下安全體系的任務和目標。如何界定工業4.0、工業互聯網和智能製造新形態下的安全體系，釐清網絡安全面臨的挑戰，確定任務的具體內涵，包含這些任務所涉及的廣度、深度、長度和難度，並針對性地提出對策，提供可實施的解決方案和可踐行的實際案例，實現短期和中長期的網絡安全目標，都需要一份執行層面的研究成果。

恰逢其時，基於“智能製造環境下物聯網安全的良好實踐”的研究成果，歐盟網絡和信息安全（ENISA）發佈最新報告《工業4.0網絡安全: 挑戰與建議》。ENISA是歐盟成員國、私營部門和歐盟公民的網絡和信息安全專業知識中心。雖然工業4.0成熟度參差不齊，企業處於數字化製造不同的水平和階段，網絡體系和平臺體系建設存在差異，但是網絡安全體系所面臨的挑戰和任務是相同的。因此 “挑戰與建議”對於其他各工業國都具有借鑑甚至具體實施的實際意義。各主要工業國可以共享該領域的研究成果，共同面對和解決網絡安全挑戰。

新工業時代的共同主題

工業4.0、工業互聯網和智能製造是人類共同面臨的新工業時代主題。它將完全改變原有工業形態下信息孤島、數據斷層、網絡分割、管理各自爲政的局面，開啓機器、人、物品的萬物互聯新生態模式，在這樣的新型工業生態模式下，人機物將貫穿設計和互聯的整個生命週期，網絡安全保障和防護都是第一位的。共同主題所涉及的網絡廣度指全球泛在鏈接；深度指人機物內部狀態和外部狀態實時同步地傳輸數據，信息交往無時無處不在動態變化中；長度指貫穿人機物的全生命週期；難度指OT和IT系統尚未打通，安全體系以及對安全體系的認知沒有統一，技術和標準碎片化，跨學科、跨行業、跨領域的人才匱乏，沒有建立統一的認知標準和體系，供應鏈複雜，尚未明晰所涉及的供應商、運營商、製造商、監管機構，以及學術研究科研機構等各個利益羣體和全流程的責任界定與劃分，有待在各個階段和層級研究、開發和利用創新技術。難度就是挑戰，應對挑戰，需要高屋建瓴的規範指導，更需要可執行、可操作的具體實施方案。

ENISA在報告中列出針對不同利益相關羣體的高級別建議，以促進工業4.0網絡安全，並以安全的方式促進更廣泛的相關創新發展。不同利益相關羣體包含與工業網絡密切相關的組織機構：工業4.0 安全專家(OT 和IT 安全)、工業4.0運營商（解決方案供應商和製造商）、監管機構、標準化社區、學術界和研發機構。從人員、流程和技術三個領域分別闡述工業4.0網絡安全面臨的挑戰，針對這些挑戰提出能解決問題、操作性強、可具體實施的指導建議。整體報告偏重於戰術層面的指導規範，以應用研究開發和技術創新爲主導，旨在解決當前可以預見的在挑戰和人才、流程和技術方面所面臨的難題。

加強網絡安全

德國作爲歐盟主要的工業國家，在工業4.0、工業互聯網、智能製造新型工業生態模式下，始終高度。除了大中小型企業、科研機構、國家監管機構，即報告中所涵蓋的五大利益羣體之外，還有很多大型跨學科跨行業的聯合攻關機制和機構，都有專注於工業4.0下網絡安全的基礎研究、應用研究、產品開發和推廣、標準制定和推廣、監管機構協同實施，各相關利益羣體聯合攻關，協同推動網絡安全的發展，解決重大任務和難題。德國弗朗霍夫協會在其早期2010年的一份研究報告《網絡完全2020戰略地位白皮書：信息技術研究的挑戰》中針對網絡安全曾經提出七條建議：

1.數字主權在關鍵核心信息技術安全方面的獨特重要性。這是工業4.0下信息交互技術的核心領域，提供可測試的信息安全解決方案，是可靠的基石，信息交互基礎實施、工業企業軟件、嵌入式系統，以及跨行業的未來項目都必須關注這一領域。

2. 建立、建全實際投入使用的網絡安全應用實驗室，研究與工業4.0相關的跨學科、系統性項目。針對網絡安全、網絡入侵和攻擊，以及經濟間諜開展研究和成果展示，確定工業應用導向的研究項目。

3. 安全從設計開始，即人機物全生命週期的安全保障必須要從設計開始。安全技術必須從產品、解決方案以及服務之初就同步考慮周全，通過研究方法、過程和工具，來支持有關產品、解決方案和服務的全生命週期的安全技術，持續獲得有力保障，同時兼顧現有系統的支持、整合和可靠測試，提高安全保障級別。

4. 通過第三方提供的可檢測性，如可實現的安全檢測認證證書等，保障部件、產品、方案、服務，以及整個生命週期的安全可靠。

5. 私人領域的數據受到與經濟、國家和公民的數據隱私同等程度的保護和安全保障。儘量減少網絡侵犯和間諜攻擊造成的損失，注意優化並改善對個人隱私數據的保護。

6. 對決策者安全狀態的認知。

7. 信息技術機制爲人服務，被人掌控。應開發方便使用的安全技術和工具流程，即友好型信息安全技術的研究和開發。

如今看來，這七條意見還有待完善和補充。第四次工業革命發展迅猛，創新發明層出不窮，新技術和新產品在工業4.0和智能製造領域快速使用迅速，技術迭代速度快、範圍廣，因此，面臨的挑戰和任務愈加艱鉅、廣泛、深入。設計層面涉及到工業、社會，以及私人的所有領域，幾乎可以說是無孔不入。當前的研究報告《工業4.0網絡安全: 挑戰和建議》詳細分析其難度、廣度、深度和長度，大的範圍已經被囊括在內，但可能沒有完全涵蓋細分領域，仍然存在需要深入探討和挖掘的層面和角度。

重視工業信息安全

例如，工業信息安全是智能製造和工業4.0網絡安全的一個重大主題, 工業信息是數字黃金的核心資產，因此，遭到的網絡攻擊最密集。以工控信息爲例，當前，全球工業信息安全普遍面臨漏洞數量逐年增長、中高危漏洞居高不下、漏洞修復進度遲緩、漏洞利用技術門檻不斷降低的問題。尤其針對工業企業的定向攻擊行爲增多、攻擊手段愈發新型多樣，製造、建築、交通運輸及工程行業成爲重點風險領域。暴露在互聯網上的工控系統和設備數量與日俱增，成爲世界各國工業信息安全的軟肋，中國多一半工控系統曾遭攻擊。國家工信安全中心監測發現，全球暴露在互聯網上的工控系統及設備數量持續上升，工業信息安全風險點不斷增加。2018年上半年全球範圍內工控系統遭受網絡攻擊 ,中國工控系統遭受攻擊嚴重程度排在第六位，比例達57.4%，較2017年排名有所降低，但比例有所增長。各國高度重視，多措並舉，不斷加強工業信息安全保障能力，建設面對嚴峻的工業信息安全的形勢。美國、歐盟、日本和英國等國家和地區高度重視、積極行動，紛紛採取成立機構、實施戰略、制定法律標準、投入資金、加強技術研究等諸多舉措，以加強工業信息安全的保障能力。

如在成立機構方面：美國擁有數量龐大的網絡安全研究機構，如愛達荷國家實驗室（INL）、桑迪亞國家實驗室（SNL）、西北太平洋國家實驗室（PNNL）等均是美國網絡安全研究的重要力量；英國有網絡應急響應小組，並設立國內首個網絡安全學院，旨在培養下一代密碼破解者；日本的控制系統安全中心（CSSC）專門負責工業信息安全防護研究，包括控制系統高級安全技術、系統安全驗證技術、可控安全測試牀等方面的研究與開發，開展系列網絡安全研討會，舉辦“控制設備安全開發流程，設計與驗證研討會”、關鍵基礎設施“系統防禦技術”網絡安全研討會等；此外，德國有信息安全聯邦安全辦公室，法國成立網絡與信息安全局。

黑客攻擊活動：如電力、石油、天然氣、交通運輸等諸多組織機構的網絡被攻擊，核設施、石油部、航空、能源生產和供應系統是網絡攻擊的重點目標；此外，還有勒索病毒感染事件，在全球範圍內迅速擴散，涉及電力、軌道交通、石油、金融、電信等多個領域；交通系統及政府機構也會遭網絡攻擊；犯罪分子通過源代碼找到遠程監控系統的漏洞，得以解鎖設備，會給企業帶來直接或間接嚴重的經濟損失。

工業信息安全指工業運行過程中的信息安全，涉及工業領域的各個環節，包括工業控制系統信息安全（以下簡稱工控安全）、工業互聯網安全、工業大數據安全、工業雲安全、工業電子商務安全等。與傳統網絡安全相比，工業信息安全需適應工業環境下系統和設備的實時性、高可靠性需求，以及工業協議衆多等行業特徵，防護難度更大。

當前的任務和對策

工業4.0下的網絡安全在人才、流程和技術方面面臨的挑戰爲應用研究提供具體任務和創新機會。在信息技術研究領域，應加強應用導向研究，以及適合市場化的產品開發和應用實踐案例，保護經濟、工業數據和網絡安全，降低網絡安全產品的成本，開發具有全球競爭力的技術、產品和解決方案，並迅速推進應用推廣。在智能製造、交通設施、能源生產和供應等國家核心數字資產流動過程中，提供可靠的網絡安全保障。在網絡安全的研究、開發領域，通過應用成功案例，引領示範性作用的技術開發。開展強大的應用導向系統研究，對於每一個實施智能製造的工業國家都是最緊迫的任務。開發可靠的系統解決方案，聯合工業合作伙伴，共同開發市場成熟的產品，與時俱進、源源不斷地提供創新技術，才能正真推動經濟實體，體現並實現工業4.0和智能製造價值創造的目標任務，爲工業生態系統的可持續發展提供系統的安全保障，網絡安全必將成爲最重要、最高級別的研究領域，從國家政策引導，到資金配置支持，到充分調動市場協同效應，全方位、多方面爲網絡安全提供技術、服務和解決方案的深度保障。目前任務廣泛，包含雲安全、虛擬物理系統、數據保護和隱私管理、能源生產和供應、預警系統、工廠工業產品智能化、移動信息技術應用研究開發、網絡安全設施、網絡攻擊保護、虛擬物理系統的網絡安全、移動系統的安全工程、防止網絡攻擊、全方位立體安全管理系統的建立、全生命週期可靠的系統安全保障和隱私保護等。報告最後一頁這張索引一目瞭然，在各個執行層面都具有很好的參考價值和執行指導意義。

遺憾的是，目前爲止，還沒有看到研究成果，從戰略層面提出緊急挑戰與應急對策方面的指導性意見和報告，簡單舉例在極端的社會政治和經濟環境下，因戰爭或國家和地區之間的政治、經濟、貿易摩擦而引發國際關係惡化，導致網絡安全攻擊或惡意中斷網絡，進而使得產品、網絡通道和數據管控強制斷裂，對於未來工業4.0、工業互聯網和智能製造的新型工業生態模式和社會環境，都是必須考量的因素。雖然出現極端的天災人禍的概率極低，但是一旦出現，如果沒有應急對策，對工業和社會將是摧毀性、致命性的打擊。

作者：倪道鈞（中德工業技術有限公司總經理）

相關文章