2019年4月15日,工业和信息化部发布《关于加强工业互联网安全工作的指导意见(征求意见稿)》提出,到2020年底,工业互联网安全保障体系初步建立。制度机制方面,建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制www.cechina.cn,制定设备、平台、数据等至少20项亟需的工业互联网安全标准,探索构建工业互联网安全评估体系。进一步促进工业信息安全行业产业优化升级。
防御体系不断健全 保障能力全面提升
当前,以移动互联网、云计算、大数据、物联网和人工智能等为代表的新一代信息技术与制造技术加速融合,推动着制造业向数字化、网络化、智能化、服务化方向发展,成为推动经济转型升级、新旧发展动能接续转换的强劲引擎新一代信息技术在加速信息化与工业化深度融合发展的同时,也带来了日趋严峻的信息安全问题。工业信息化、自动化、网络化、智能化等基础设施是工业的核心组成部分,是工业各行业、企业的神经中枢。工业信息安全的核心任务就是要确保这些工业神经中枢的安全。工业信息安全事关经济发展、社会稳定和国家安全,是网络安全的重要组成。
工业信息涉及军事安全、经济安全、社会安全、科技安全、信息安全、生态安全、资源安全、和安全等各个方面。与此同时CONTROL ENGINEERING China版权所有,工业信息安全需要特别强调与工控系统可靠性、功能安全性等特性的平衡与统一控制工程网版权所有,即R可靠性(Reliability)、A可用性(Availability)、M可维修性(Maintainability)、S安全性(Safety、Security)协调发展。
工业信息安全防御体系由五部分组成控制工程网版权所有,其中态势感知是基于危险情报的。个部分作用都不可替代,数据驱动安全是技术基础,积极防御是平台,威胁情报是核心,态势感知是结果,安全可视化是手段。
防御体系的不断完善使我国工业信息安全工作取得显著进展,通过积极开展指南文件宣贯、工控安全检查、防护能力评估等一系列工作,政策体系、管理体系、技术支撑体系初步构建,国家级技术队伍建设初具规模,工业信息安全产业呈现良好发展势头,工业信息安全保障水平有了明显提高。
产业发展待优化 技术提高是关键
我国工业信息安全行业发展目前主要面临以下四个问题,分别是工业企业安全主体责任落实不到位、工业信息安全产品和服务缺乏认证机制,大规模应用进程缓慢、安全服务市场发展缓慢,产业结构有待进一步优化以及工业信息安全产业集中度不足,缺乏龙头企业引领。
其中,工业信息安全产品和服务缺乏认证机制,改善较为迫切。市场上工业信息安全产品和服务的种类繁多,但与之对应的认证和市场准入机制尚不完善,有针对性的检测认证标准规范和技术手段还很缺乏,大多数工业信息安全产品和服务仍然使用传统信息安全检测认证标准和方法。这种缺乏统一的标准和认证机制的问题,将会导致工业信息安全产品和服务的认证缺乏权威性,难以快速广泛地推向市场,产业化生产、规模化应用更是步履维艰。
另外,行业缺乏龙头企业引领也是较为严重问题之一,龙头企业的发展在一定程度上决定了产业的整体发展,我国专注工业信息安全领域的厂商普遍规模较小而布局工业信息息安全业务的传统信息安全厂商、自动化厂商和IT系统集成商进入市场的时间多数不足五年。现有的工业信息安全企业普遍缺乏具有市场竞争力的核心产品,技术实力和创新能力都显不足,尚未形成产品竞争力强、行业影响力大、引领产业发展的骨干龙头企业,产业集聚效应不明显,整体工业信息安全产业发展规模还处于低位。
工业信息安全作为网络安全的重要组成部分,是保障国家总体安全的重要内容,为实施制造强国战略和推进“互联网+”行动计划提供支撑。为改善行业现存的问题,除了上述四点相应解决措施外(监管部门出台相关规定,落实企业安全主体责任以及提出相应的认证机制;进行产业结构调整学习先进经验;各级政府应大力扶持龙头企业发展,例如税收优惠等)还有四个措施,也可说行业未来的发展方向,企业的发展方向等。分别是大力发展网络安全滑动标尺动态安全模型CONTROL ENGINEERING China版权所有,建立企业的安全运营中心,组建安全管理团队以及在终端层面、网络层面、监控层面和可恢复性方面在技术上提高防护能力。