今后将继续加大支持力度,完善工业信息安全规章制度,强化工业企业安全主体责任,筑牢工业信息安全技术防线,培育工业信息安全产业生态,推动工业控制系统信息安全产业健康发展、工业互联网安全保障体系的快速构建。
5月9日,工信部信软司副司长王建伟在2019工业安全大会上做上述表示。他说,加强工业信息安全防护,推动新一轮工业变革,已经成为当前各发达国家重塑工业发展新优势、抢占竞争制高点的战略选择。
工业安全“牵一发而动全身”
近年来,针对国家关键基础设施、工控设备、智能产品等的网络攻击,已经成为世界各国网络安全攻防的新焦点,加强工业安全防护迫在眉睫。工业安全已然成为经济运行、社会稳定和国家安全中不可或缺的坚强基石,牵一发而动全身。
工业安全产业联盟副理事长、和利时科技集团有限公司董事长邵柏庆认为,工业安全已成为“总体国家安全”的重要组成部分,直接影响到我国工业健康发展的命脉。在国际形势风云变幻的时代潮流中,加大资源投入、加快核心技术攻关,构建自主可控、安全可信的工业自动化和信息化系统,成为当前我国工业安全工作的关键一环。只有以新一代主动防御技术为核心基础,构建全方位、一体化的纵深防护体系,并根据各行业实际应用提供因地制宜的整体解决方案,这样才能解决工业信息安全的关键需求。
标准化是引领和支撑技术与产业发展的重要手段。工业安全产业联盟副理事长、中国电子技术标准化研究院副院长杨建军认为,标准是工业控制系统信息安全相关政策法规实施的有效保障,也是规范相关领域技术、产品研发应用,促进产业发展的重要技术支撑。下一步,其所在联盟将致力于工业信息安全相关技术与市场研究、标准研发、测试认证等工作,搭建交流平台,发挥桥梁作用。
智能制造推进合作创新联盟理事长、中国科学院自动化研究所复杂系统管理与控制国家重点实验室主任、研究员王飞跃认为,一方面,由“万物互联”、智能系统等引发的新安全问题(如车联网安全、能源网安全、工控系统安全等)带来的挑战日益凸显;另一方面,利用生成式对抗模型、区块链等智能技术,构建基于社会物理信息系统(CPSS)的平行安全智慧系统,成为完善信息安全防护体系的重要途径。未来信息安全保障机制必然会由“打补丁”式的被动检测防护向以“增强免疫力”为目标的预测引导防护演进,最终实现大安全时代中防护理念、技术思想和产业思维的全面升级。
工业控制系统和工业保护系统失效是导致工业过程安全事故的重要因素。机械工业仪器仪表综合技术经济研究所副总工程师史学玲认为,在现代技术条件下,需要用安全一体化技术综合协调,避免系统性失效、随机硬件失效及信息安全威胁导致的功能失效,通过建立高可信性的控制系统,保证生产正常运行、保证所有的安全保护层功能正确可靠,以实现工业过程本质安全。
东南大学能源与环境学院教授冷杉说,通过采用工程技术的方法,实时感知恶意智力给网络带来的不确定性、不可知性和多变性,将工业系统最终导向安全运行,以验证工业控制系统网络的极限安全。冷杉提出引入虚拟控制系统作为关键突破点实现极限安全及其战略意义,得出基于异构平台虚拟控制系统实现工业控制系统网络极限安全的结论。
ICS安全是核心
工业基础设施(或运营技术领域OT)是国民经济及国家安全的基础,而工业基础设施的核心则是工业控制系统(ICS)。近年来,越来越多的安全事件揭示出数字化工厂存在的安全脆弱性,而IoT等高度互联的领域,更成为新型攻击的前沿阵地。
西门子中国研究院信息安全部首席核心技术专家唐文称,在数字化领域,随着 工业物联网 日益互联互通,工业大数据以及各种开放标准的应用,为OT领域带来全面产能提升之时,也日益暴露出OT领域在抵御网络攻击方面的脆弱性。西门子提出了工业信息安全整体提升路径,并在多个行业得以应用与实践。
烽台科技(北京)有限公司总经理龚亮华认为,工控安全保障体系覆盖工控安全建设全生命周期。工控安全保障全生命周期建设工作分为策略制定、评估分析、方案设计、工程实施、运行管理、应急响应、安全教育七个阶段。
启明星辰信息技术集团股份有限公司工业互联网安全事业部副总经理原真认为,工业安全的建设应围绕工控网络的风险评估、生产网和管理网的隔离防护、工控网络的异常检测和监测、生产网安全域的边界检测与防护以及生产网内部安全建设五个方面展开。
浙江大学教授、工业控制系统安全技术国家工程实验室副主任冯冬芹则认为,工控系统网络安全防护和保护应回归控制根本,即归集到其控制的基础设施、生产装置和工艺的正常生产与安全生产根本。应从软硬件与网络、测量控制方案与行为状态、生产工艺与操作流程等各方面,对控制系统及其控制的基础设施开展安全防护与保护工作。
在上海三零卫士信息安全有限公司技术专家李绪国看来,工业控制网络安全防护体系涵盖合规性安全防护、分阶段逐步深入安全防护、全生命周期安全防护、纵深立体网络安全防护及事件应急响应与处置五个方面。
中国电子技术标准化研究院信息安全研究中心工业信息安全部负责人李琳建议,应加强工业互联网安全关键技术研究、推动工业互联网平台安全急需标准研制、组织建设工业互联网安全信息共享平台、推动工业互联网平台安全评估试点工作。