今年10月26日中国工信部等十部门联合印发《加强工业互联网安全工作的指导意见》,标志着关于工业互联网发展的顶层设计和框架基本完成。中国工业互联网的顶层架构分为三大体系——网络体系、平台体系和安全体系。
★网络体系是基础,涉及人、物品、机器、车间等全要素,涵盖设计、研发、生产、管理等各环节,是工业全系统、全产业链、全价值链的泛在深度互联;
★平台体系是核心,平台作为各种要素的枢纽,将数据汇集在一起,不仅连接数据,还能查询机器状态,在此基础上实现资源的优化配置、智能分析等;
★安全体系是保障,通过安全体系可以识别和抵御安全威胁、化解各种安全风险。
指导意见的发布旨在全面提升工业互联网创新发展安全保障能力和服务水平,《安全指导意见》在安全体系中提出了7个方面重点任务:推动安全责任落实、构建安全管理体系、提升企业安全防护水平、强化工业互联网数据安全保护能力、建设国家工业互联网安全技术手段、加强工业互联网安全公共服务能力、推动科技创新与产业发展。
指导意见明确了工业互联网下安全体系的任务和目标。如何界定工业4.0、工业互联网和智能制造新形态下的安全体系,厘清网络安全面临的挑战,确定任务的具体内涵,包含这些任务所涉及的广度、深度、长度和难度,并针对性地提出对策,提供可实施的解决方案和可践行的实际案例,实现短期和中长期的网络安全目标,都需要一份执行层面的研究成果。
恰逢其时,基于“智能制造环境下物联网安全的良好实践”的研究成果,欧盟网络和信息安全(ENISA)发布最新报告《工业4.0网络安全: 挑战与建议》。ENISA是欧盟成员国、私营部门和欧盟公民的网络和信息安全专业知识中心。虽然工业4.0成熟度参差不齐,企业处于数字化制造不同的水平和阶段,网络体系和平台体系建设存在差异,但是网络安全体系所面临的挑战和任务是相同的。因此 “挑战与建议”对于其他各工业国都具有借鉴甚至具体实施的实际意义。各主要工业国可以共享该领域的研究成果,共同面对和解决网络安全挑战。
新工业时代的共同主题
工业4.0、工业互联网和智能制造是人类共同面临的新工业时代主题。它将完全改变原有工业形态下信息孤岛、数据断层、网络分割、管理各自为政的局面,开启机器、人、物品的万物互联新生态模式,在这样的新型工业生态模式下,人机物将贯穿设计和互联的整个生命周期,网络安全保障和防护都是第一位的。共同主题所涉及的网络广度指全球泛在链接;深度指人机物内部状态和外部状态实时同步地传输数据,信息交往无时无处不在动态变化中;长度指贯穿人机物的全生命周期;难度指OT和IT系统尚未打通,安全体系以及对安全体系的认知没有统一,技术和标准碎片化,跨学科、跨行业、跨领域的人才匮乏,没有建立统一的认知标准和体系,供应链复杂,尚未明晰所涉及的供应商、运营商、制造商、监管机构,以及学术研究科研机构等各个利益群体和全流程的责任界定与划分,有待在各个阶段和层级研究、开发和利用创新技术。难度就是挑战,应对挑战,需要高屋建瓴的规范指导,更需要可执行、可操作的具体实施方案。
ENISA在报告中列出针对不同利益相关群体的高级别建议,以促进工业4.0网络安全,并以安全的方式促进更广泛的相关创新发展。不同利益相关群体包含与工业网络密切相关的组织机构:工业4.0 安全专家(OT 和IT 安全)、工业4.0运营商(解决方案供应商和制造商)、监管机构、标准化社区、学术界和研发机构。从人员、流程和技术三个领域分别阐述工业4.0网络安全面临的挑战,针对这些挑战提出能解决问题、操作性强、可具体实施的指导建议。整体报告偏重于战术层面的指导规范,以应用研究开发和技术创新为主导,旨在解决当前可以预见的在挑战和人才、流程和技术方面所面临的难题。
加强网络安全
德国作为欧盟主要的工业国家,在工业4.0、工业互联网、智能制造新型工业生态模式下,始终高度。除了大中小型企业、科研机构、国家监管机构,即报告中所涵盖的五大利益群体之外,还有很多大型跨学科跨行业的联合攻关机制和机构,都有专注于工业4.0下网络安全的基础研究、应用研究、产品开发和推广、标准制定和推广、监管机构协同实施,各相关利益群体联合攻关,协同推动网络安全的发展,解决重大任务和难题。德国弗朗霍夫协会在其早期2010年的一份研究报告《网络完全2020战略地位白皮书:信息技术研究的挑战》中针对网络安全曾经提出七条建议:
1.数字主权在关键核心信息技术安全方面的独特重要性。这是工业4.0下信息交互技术的核心领域,提供可测试的信息安全解决方案,是可靠的基石,信息交互基础实施、工业企业软件、嵌入式系统,以及跨行业的未来项目都必须关注这一领域。
2. 建立、建全实际投入使用的网络安全应用实验室,研究与工业4.0相关的跨学科、系统性项目。针对网络安全、网络入侵和攻击,以及经济间谍开展研究和成果展示,确定工业应用导向的研究项目。
3. 安全从设计开始,即人机物全生命周期的安全保障必须要从设计开始。安全技术必须从产品、解决方案以及服务之初就同步考虑周全,通过研究方法、过程和工具,来支持有关产品、解决方案和服务的全生命周期的安全技术,持续获得有力保障,同时兼顾现有系统的支持、整合和可靠测试,提高安全保障级别。
4. 通过第三方提供的可检测性,如可实现的安全检测认证证书等,保障部件、产品、方案、服务,以及整个生命周期的安全可靠。
5. 私人领域的数据受到与经济、国家和公民的数据隐私同等程度的保护和安全保障。尽量减少网络侵犯和间谍攻击造成的损失,注意优化并改善对个人隐私数据的保护。
6. 对决策者安全状态的认知。
7. 信息技术机制为人服务,被人掌控。应开发方便使用的安全技术和工具流程,即友好型信息安全技术的研究和开发。
如今看来,这七条意见还有待完善和补充。第四次工业革命发展迅猛,创新发明层出不穷,新技术和新产品在工业4.0和智能制造领域快速使用迅速,技术迭代速度快、范围广,因此,面临的挑战和任务愈加艰巨、广泛、深入。设计层面涉及到工业、社会,以及私人的所有领域,几乎可以说是无孔不入。当前的研究报告《工业4.0网络安全: 挑战和建议》详细分析其难度、广度、深度和长度,大的范围已经被囊括在内,但可能没有完全涵盖细分领域,仍然存在需要深入探讨和挖掘的层面和角度。
重视工业信息安全
例如,工业信息安全是智能制造和工业4.0网络安全的一个重大主题, 工业信息是数字黄金的核心资产,因此,遭到的网络攻击最密集。以工控信息为例,当前,全球工业信息安全普遍面临漏洞数量逐年增长、中高危漏洞居高不下、漏洞修复进度迟缓、漏洞利用技术门槛不断降低的问题。尤其针对工业企业的定向攻击行为增多、攻击手段愈发新型多样,制造、建筑、交通运输及工程行业成为重点风险领域。暴露在互联网上的工控系统和设备数量与日俱增,成为世界各国工业信息安全的软肋,中国多一半工控系统曾遭攻击。国家工信安全中心监测发现,全球暴露在互联网上的工控系统及设备数量持续上升,工业信息安全风险点不断增加。2018年上半年全球范围内工控系统遭受网络攻击 ,中国工控系统遭受攻击严重程度排在第六位,比例达57.4%,较2017年排名有所降低,但比例有所增长。各国高度重视,多措并举,不断加强工业信息安全保障能力,建设面对严峻的工业信息安全的形势。美国、欧盟、日本和英国等国家和地区高度重视、积极行动,纷纷采取成立机构、实施战略、制定法律标准、投入资金、加强技术研究等诸多举措,以加强工业信息安全的保障能力。
如在成立机构方面:美国拥有数量庞大的网络安全研究机构,如爱达荷国家实验室(INL)、桑迪亚国家实验室(SNL)、西北太平洋国家实验室(PNNL)等均是美国网络安全研究的重要力量;英国有网络应急响应小组,并设立国内首个网络安全学院,旨在培养下一代密码破解者;日本的控制系统安全中心(CSSC)专门负责工业信息安全防护研究,包括控制系统高级安全技术、系统安全验证技术、可控安全测试床等方面的研究与开发,开展系列网络安全研讨会,举办“控制设备安全开发流程,设计与验证研讨会”、关键基础设施“系统防御技术”网络安全研讨会等;此外,德国有信息安全联邦安全办公室,法国成立网络与信息安全局。
黑客攻击活动:如电力、石油、天然气、交通运输等诸多组织机构的网络被攻击,核设施、石油部、航空、能源生产和供应系统是网络攻击的重点目标;此外,还有勒索病毒感染事件,在全球范围内迅速扩散,涉及电力、轨道交通、石油、金融、电信等多个领域;交通系统及政府机构也会遭网络攻击;犯罪分子通过源代码找到远程监控系统的漏洞,得以解锁设备,会给企业带来直接或间接严重的经济损失。
工业信息安全指工业运行过程中的信息安全,涉及工业领域的各个环节,包括工业控制系统信息安全(以下简称工控安全)、工业互联网安全、工业大数据安全、工业云安全、工业电子商务安全等。与传统网络安全相比,工业信息安全需适应工业环境下系统和设备的实时性、高可靠性需求,以及工业协议众多等行业特征,防护难度更大。
当前的任务和对策
工业4.0下的网络安全在人才、流程和技术方面面临的挑战为应用研究提供具体任务和创新机会。在信息技术研究领域,应加强应用导向研究,以及适合市场化的产品开发和应用实践案例,保护经济、工业数据和网络安全,降低网络安全产品的成本,开发具有全球竞争力的技术、产品和解决方案,并迅速推进应用推广。在智能制造、交通设施、能源生产和供应等国家核心数字资产流动过程中,提供可靠的网络安全保障。在网络安全的研究、开发领域,通过应用成功案例,引领示范性作用的技术开发。开展强大的应用导向系统研究,对于每一个实施智能制造的工业国家都是最紧迫的任务。开发可靠的系统解决方案,联合工业合作伙伴,共同开发市场成熟的产品,与时俱进、源源不断地提供创新技术,才能正真推动经济实体,体现并实现工业4.0和智能制造价值创造的目标任务,为工业生态系统的可持续发展提供系统的安全保障,网络安全必将成为最重要、最高级别的研究领域,从国家政策引导,到资金配置支持,到充分调动市场协同效应,全方位、多方面为网络安全提供技术、服务和解决方案的深度保障。目前任务广泛,包含云安全、虚拟物理系统、数据保护和隐私管理、能源生产和供应、预警系统、工厂工业产品智能化、移动信息技术应用研究开发、网络安全设施、网络攻击保护、虚拟物理系统的网络安全、移动系统的安全工程、防止网络攻击、全方位立体安全管理系统的建立、全生命周期可靠的系统安全保障和隐私保护等。报告最后一页这张索引一目了然,在各个执行层面都具有很好的参考价值和执行指导意义。
遗憾的是,目前为止,还没有看到研究成果,从战略层面提出紧急挑战与应急对策方面的指导性意见和报告,简单举例在极端的社会政治和经济环境下,因战争或国家和地区之间的政治、经济、贸易摩擦而引发国际关系恶化,导致网络安全攻击或恶意中断网络,进而使得产品、网络通道和数据管控强制断裂,对于未来工业4.0、工业互联网和智能制造的新型工业生态模式和社会环境,都是必须考量的因素。虽然出现极端的天灾人祸的概率极低,但是一旦出现,如果没有应急对策,对工业和社会将是摧毁性、致命性的打击。