今年7月26日中國工信部等十部門聯(lián)合印發(fā)《加強工業(yè)互聯(lián)網安全工作的指導意見》，標志著關于工業(yè)互聯(lián)網發(fā)展的頂層設計和框架基本完成。中國工業(yè)互聯(lián)網的頂層架構分為三大體系——網絡體系、平臺體系和安全體系。

★網絡體系是基礎，涉及人、物品、機器、車間等全要素，涵蓋設計、研發(fā)、生產、管理等各環(huán)節(jié)，是工業(yè)全系統(tǒng)、全產業(yè)鏈、全價值鏈的泛在深度互聯(lián)；

★平臺體系是核心，平臺作為各種要素的樞紐，將數(shù)據(jù)匯集在一起，不僅連接數(shù)據(jù)，還能查詢機器狀態(tài)，在此基礎上實現(xiàn)資源的優(yōu)化配置、智能分析等；

★安全體系是保障，通過安全體系可以識別和抵御安全威脅、化解各種安全風險。

指導意見的發(fā)布旨在全面提升工業(yè)互聯(lián)網創(chuàng)新發(fā)展安全保障能力和服務水平，《安全指導意見》在安全體系中提出了7個方面重點任務：推動安全責任落實、構建安全管理體系、提升企業(yè)安全防護水平、強化工業(yè)互聯(lián)網數(shù)據(jù)安全保護能力、建設國家工業(yè)互聯(lián)網安全技術手段、加強工業(yè)互聯(lián)網安全公共服務能力、推動科技創(chuàng)新與產業(yè)發(fā)展。

指導意見明確了工業(yè)互聯(lián)網下安全體系的任務和目標。如何界定工業(yè)4.0、工業(yè)互聯(lián)網和智能制造新形態(tài)下的安全體系，厘清網絡安全面臨的挑戰(zhàn)，確定任務的具體內涵，包含這些任務所涉及的廣度、深度、長度和難度，并針對性地提出對策，提供可實施的解決方案和可踐行的實際案例，實現(xiàn)短期和中長期的網絡安全目標，都需要一份執(zhí)行層面的研究成果。

恰逢其時，基于“智能制造環(huán)境下物聯(lián)網安全的良好實踐”的研究成果，歐盟網絡和信息安全（ENISA）發(fā)布報告《工業(yè)4.0網絡安全:挑戰(zhàn)與建議》。ENISA是歐盟成員國、私營部門和歐盟公民的網絡和信息安全專業(yè)知識中心。雖然工業(yè)4.0成熟度參差不齊，企業(yè)處于數(shù)字化制造不同的水平和階段，網絡體系和平臺體系建設存在差異，但是網絡安全體系所面臨的挑戰(zhàn)和任務是相同的。因此“挑戰(zhàn)與建議”對于其他各工業(yè)國都具有借鑒甚至具體實施的實際意義。各主要工業(yè)國可以共享該領域的研究成果，共同面對和解決網絡安全挑戰(zhàn)。

新工業(yè)時代的共同主題

工業(yè)4.0、工業(yè)互聯(lián)網和智能制造是人類共同面臨的新工業(yè)時代主題。它將完全改變原有工業(yè)形態(tài)下信息孤島、數(shù)據(jù)斷層、網絡分割、管理各自為政的局面，開啟機器、人、物品的萬物互聯(lián)新生態(tài)模式，在這樣的新型工業(yè)生態(tài)模式下，人機物將貫穿設計和互聯(lián)的整個生命周期，網絡安全保障和防護都是第一位的。共同主題所涉及的網絡廣度指全球泛在鏈接；深度指人機物內部狀態(tài)和外部狀態(tài)實時同步地傳輸數(shù)據(jù)，信息交往無時無處不在動態(tài)變化中；長度指貫穿人機物的全生命周期；難度指OT和IT系統(tǒng)尚未打通，安全體系以及對安全體系的認知沒有統(tǒng)一，技術和標準碎片化，跨學科、跨行業(yè)、跨領域的人才匱乏，沒有建立統(tǒng)一的認知標準和體系，供應鏈復雜，尚未明晰所涉及的供應商、運營商、制造商、監(jiān)管機構，以及學術研究科研機構等各個利益群體和全流程的責任界定與劃分，有待在各個階段和層級研究、開發(fā)和利用創(chuàng)新技術。難度就是挑戰(zhàn)，應對挑戰(zhàn)，需要高屋建瓴的規(guī)范指導，更需要可執(zhí)行、可操作的具體實施方案。

ENISA在報告中列出針對不同利益相關群體的高級別建議，以促進工業(yè)4.0網絡安全，并以安全的方式促進更廣泛的相關創(chuàng)新發(fā)展。不同利益相關群體包含與工業(yè)網絡密切相關的組織機構：工業(yè)4.0安全專家(OT和IT安全)、工業(yè)4.0運營商（解決方案供應商和制造商）、監(jiān)管機構、標準化社區(qū)、學術界和研發(fā)機構。從人員、流程和技術三個領域分別闡述工業(yè)4.0網絡安全面臨的挑戰(zhàn)，針對這些挑戰(zhàn)提出能解決問題、操作性強、可具體實施的指導建議。整體報告偏重于戰(zhàn)術層面的指導規(guī)范，以應用研究開發(fā)和技術創(chuàng)新為主導，旨在解決當前可以預見的在挑戰(zhàn)和人才、流程和技術方面所面臨的難題。

加強網絡安全

德國作為歐盟主要的工業(yè)國家，在工業(yè)4.0、工業(yè)互聯(lián)網、智能制造新型工業(yè)生態(tài)模式下，始終高度。除了大中小型企業(yè)、科研機構、國家監(jiān)管機構，即報告中所涵蓋的五大利益群體之外，還有很多大型跨學科跨行業(yè)的聯(lián)合攻關機制和機構，都有專注于工業(yè)4.0下網絡安全的基礎研究、應用研究、產品開發(fā)和推廣、標準制定和推廣、監(jiān)管機構協(xié)同實施，各相關利益群體聯(lián)合攻關，協(xié)同推動網絡安全的發(fā)展，解決重大任務和難題。德國弗朗霍夫協(xié)會在其早期2010年的一份研究報告《網絡完全2020戰(zhàn)略地位白皮書：信息技術研究的挑戰(zhàn)》中針對網絡安全曾經提出七條建議：

1.數(shù)字主權在關鍵核心信息技術安全方面的獨特重要性。這是工業(yè)4.0下信息交互技術的核心領域，提供可測試的信息安全解決方案，是可靠的基石，信息交互基礎實施、工業(yè)企業(yè)軟件、嵌入式系統(tǒng)，以及跨行業(yè)的未來項目都必須關注這一領域。

2.建立、建全實際投入使用的網絡安全應用實驗室，研究與工業(yè)4.0相關的跨學科、系統(tǒng)性項目。針對網絡安全、網絡入侵和攻擊，以及經濟間諜開展研究和成果展示，確定工業(yè)應用導向的研究項目。

3.安全從設計開始，即人機物全生命周期的安全保障必須要從設計開始。安全技術必須從產品、解決方案以及服務之初就同步考慮周全，通過研究方法、過程和工具，來支持有關產品、解決方案和服務的全生命周期的安全技術，持續(xù)獲得有力保障，同時兼顧現(xiàn)有系統(tǒng)的支持、整合和可靠測試，提高安全保障級別。

4.通過第三方提供的可檢測性，如可實現(xiàn)的安全檢測認證證書等，保障部件、產品、方案、服務，以及整個生命周期的安全可靠。

5.私人領域的數(shù)據(jù)受到與經濟、國家和公民的數(shù)據(jù)隱私同等程度的保護和安全保障。盡量減少網絡侵犯和間諜攻擊造成的損失，注意優(yōu)化并改善對個人隱私數(shù)據(jù)的保護。

6.對決策者安全狀態(tài)的認知。

7.信息技術機制為人服務，被人掌控。應開發(fā)方便使用的安全技術和工具流程，即友好型信息安全技術的研究和開發(fā)。

如今看來，這七條意見還有待完善和補充。第四次工業(yè)革命發(fā)展迅猛，創(chuàng)新發(fā)明層出不窮，新技術和新產品在工業(yè)4.0和智能制造領域快速使用迅速，技術迭代速度快、范圍廣，因此，面臨的挑戰(zhàn)和任務愈加艱巨、廣泛、深入。設計層面涉及到工業(yè)、社會，以及私人的所有領域，幾乎可以說是無孔不入。當前的研究報告《工業(yè)4.0網絡安全:挑戰(zhàn)和建議》詳細分析其難度、廣度、深度和長度，大的范圍已經被囊括在內，但可能沒有完全涵蓋細分領域，仍然存在需要深入探討和挖掘的層面和角度。

重視工業(yè)信息安全

例如，工業(yè)信息安全是智能制造和工業(yè)4.0網絡安全的一個重大主題,工業(yè)信息是數(shù)字黃金的核心資產，因此，遭到的網絡攻擊較為密集。以工控信息為例，當前，全球工業(yè)信息安全普遍面臨漏洞數(shù)量逐年增長、中高危漏洞居高不下、漏洞修復進度遲緩、漏洞利用技術門檻不斷降低的問題。尤其針對工業(yè)企業(yè)的定向攻擊行為增多、攻擊手段愈發(fā)新型多樣，制造、建筑、交通運輸及工程行業(yè)成為重點風險領域。暴露在互聯(lián)網上的工控系統(tǒng)和設備數(shù)量與日俱增，成為世界各國工業(yè)信息安全的軟肋，中國多一半工控系統(tǒng)曾遭攻擊。國家工信安全中心監(jiān)測發(fā)現(xiàn)，全球暴露在互聯(lián)網上的工控系統(tǒng)及設備數(shù)量持續(xù)上升，工業(yè)信息安全風險點不斷增加。2018年上半年全球范圍內工控系統(tǒng)遭受網絡攻擊,中國工控系統(tǒng)遭受攻擊嚴重程度排在第六位，比例達57.4%，較2017年排名有所降低，但比例有所增長。各國高度重視，多措并舉，不斷加強工業(yè)信息安全保障能力，建設面對嚴峻的工業(yè)信息安全的形勢。美國、歐盟、日本和英國等國家和地區(qū)高度重視、積極行動，紛紛采取成立機構、實施戰(zhàn)略、制定法律標準、投入資金、加強技術研究等諸多舉措，以加強工業(yè)信息安全的保障能力。

如在成立機構方面：美國擁有數(shù)量龐大的網絡安全研究機構，如愛達荷國家實驗室（INL）、桑迪亞國家實驗室（SNL）、西北太平洋國家實驗室（PNNL）等均是美國網絡安全研究的重要力量；英國有網絡應急響應小組，并設立國內首個網絡安全學院，旨在培養(yǎng)下一代密碼破解者；日本的控制系統(tǒng)安全中心（CSSC）專門負責工業(yè)信息安全防護研究，包括控制系統(tǒng)高級安全技術、系統(tǒng)安全驗證技術、可控安全測試床等方面的研究與開發(fā)，開展系列網絡安全研討會，舉辦“控制設備安全開發(fā)流程，設計與驗證研討會”、關鍵基礎設施“系統(tǒng)防御技術”網絡安全研討會等；此外，德國有信息安全聯(lián)邦安全辦公室，法國成立網絡與信息安全局。

黑客攻擊活動：如電力、石油、天然氣、交通運輸?shù)戎T多組織機構的網絡被攻擊，核設施、石油部、航空、能源生產和供應系統(tǒng)是網絡攻擊的重點目標；此外，還有勒索病毒感染事件，在全球范圍內迅速擴散，涉及電力、軌道交通、石油、金融、電信等多個領域；交通系統(tǒng)及政府機構也會遭網絡攻擊；犯罪分子通過源代碼找到遠程監(jiān)控系統(tǒng)的漏洞，得以解鎖設備，會給企業(yè)帶來直接或間接嚴重的經濟損失。

工業(yè)信息安全指工業(yè)運行過程中的信息安全，涉及工業(yè)領域的各個環(huán)節(jié)，包括工業(yè)控制系統(tǒng)信息安全（以下簡稱工控安全）、工業(yè)互聯(lián)網安全、工業(yè)大數(shù)據(jù)安全、工業(yè)云安全、工業(yè)電子商務安全等。與傳統(tǒng)網絡安全相比，工業(yè)信息安全需適應工業(yè)環(huán)境下系統(tǒng)和設備的實時性、高可靠性需求，以及工業(yè)協(xié)議眾多等行業(yè)特征，防護難度更大。

當前的任務和對策

工業(yè)4.0下的網絡安全在人才、流程和技術方面面臨的挑戰(zhàn)為應用研究提供具體任務和創(chuàng)新機會。在信息技術研究領域，應加強應用導向研究，以及適合市場化的產品開發(fā)和應用實踐案例，保護經濟、工業(yè)數(shù)據(jù)和網絡安全，降低網絡安全產品的成本，開發(fā)具有全球競爭力的技術、產品和解決方案，并迅速推進應用推廣。在智能制造、交通設施、能源生產和供應等國家核心數(shù)字資產流動過程中，提供可靠的網絡安全保障。在網絡安全的研究、開發(fā)領域，通過應用成功案例，引領示范性作用的技術開發(fā)。開展強大的應用導向系統(tǒng)研究，對于每一個實施智能制造的工業(yè)國家都是

緊迫的任務。開發(fā)可靠的系統(tǒng)解決方案，聯(lián)合工業(yè)合作伙伴，共同開發(fā)市場成熟的產品，與時俱進、源源不斷地提供創(chuàng)新技術，才能正真推動經濟實體，體現(xiàn)并實現(xiàn)工業(yè)4.0和智能制造價值創(chuàng)造的目標任務，為工業(yè)生態(tài)系統(tǒng)的可持續(xù)發(fā)展提供系統(tǒng)的安全保障，網絡安全必將成為重要、高級別的研究領域，從國家政策引導，到資金配置支持，到充分調動市場協(xié)同效應，全方位、多方面為網絡安全提供技術、服務和解決方案的深度保障。目前任務廣泛，包含云安全、虛擬物理系統(tǒng)、數(shù)據(jù)保護和隱私管理、能源生產和供應、預警系統(tǒng)、工廠工業(yè)產品智能化、移動信息技術應用研究開發(fā)、網絡安全設施、網絡攻擊保護、虛擬物理系統(tǒng)的網絡安全、移動系統(tǒng)的安全工程、防止網絡攻擊、全方位立體安全管理系統(tǒng)的建立、全生命周期可靠的系統(tǒng)安全保障和隱私保護等。報告的這一頁索引一目了然，在各個執(zhí)行層面都具有很好的參考價值和執(zhí)行指導意義。

遺憾的是，目前為止，還沒有看到研究成果，從戰(zhàn)略層面提出緊急挑戰(zhàn)與應急對策方面的指導性意見和報告，簡單舉例在極端的社會政治和經濟環(huán)境下，因戰(zhàn)爭或國家和地區(qū)之間的政治、經濟、貿易摩擦而引發(fā)國際關系惡化，導致網絡安全攻擊或惡意中斷網絡，進而使得產品、網絡通道和數(shù)據(jù)管控強制斷裂，對于未來工業(yè)4.0、工業(yè)互聯(lián)網和智能制造的新型工業(yè)生態(tài)模式和社會環(huán)境，都是必須考量的因素。雖然出現(xiàn)極端的天災人禍的概率極低，但是一旦出現(xiàn)，如果沒有應急對策，對工業(yè)和社會將是摧毀性、致命性的打擊。

文章來源：信息化和軟件服務網