高度依赖国外技术，报告称中国工业互联网安全急需“补短板”

   12月13日，由国家工业信息安全发展研究中心等单位举办的2018年产业互联与数字经济大会在京举行。会上发布的《2018工业互联网平台创新发展白皮书》显示，工业互联网平台发展面临前所未有的安全挑战。一方面，中国工业互联网平台核心软硬件高度依赖国外技术产品，存在不可预知的安全隐患；另一方面，平台攻击手段逐渐升级，时刻挑战现有的安全防护技术。

   国家工业信息安全发展研究中心主任尹丽波在上述会议上表示，现阶段平台安全形势不容乐观，虽然各平台在实践中取得了一定进展，但与安全形势的发展情况相比还存在较大不足。

  “中国平台核心软硬件产品对国外技术依赖度高，国产化率低；此外，当前平台首攻击面大，受攻击手段多样，防护技术难以满足防护需求。这都是平台安全面临的挑战。”尹丽波说。

   平台企业对技术能力的自评证明当前平台安全技术能力不足。报告显示，在对树根互联、阿里云、华龙迅达、兰光等20家中国主要工业互联网平台的调研中发现，仅有航天云网一家企业在设备连接、设备管理、数据存储/管理、安全等八项主要技术能力指标中把“安全”列入自身技术能力排名的前两位。

   国家工业信息安全发展研究中心副主任李新社在上述会议上表示，工业互联网是工业控制系统的拓展，制造资源的接入方式、工业生产数据的去向和优化资源配置的主体都发生了变化，工业互联网存在设备、控制、网络、平台和数据五方面安全问题。

  “工业互联网平台安全关乎生产安全、社会安全甚至国家安全，平台安全重要性日益凸显。而工业互联网平台上承应用生态，下连系统设备，已经成为工业互联网安全保障的关键。”李新社说。

   据国家工业信息安全发展研究中心监测，2017年全球超过10万个工业控制系统及设备暴露于互联网上，同比增加42.9%；收集研判的工业控制、智能设备、物联网漏洞中，高危漏洞占59%；恶意软件“Industroyer”、僵尸网络“IoT_reaper”、勒索病毒“WannaCry”等造成大规模停产，给工业企业带来实质性危害。位于美国加州的Chevron石油公司网络系统和伊朗核设施遭遇震网病毒攻击、乌克兰电厂因黑客攻击导致大面积停电等事件也说明，工业互联网安全已成为全球课题。

   中国的工业互联网平台企业正在逐步补短板。例如，据尹丽波介绍，中控·SUPCON成功开发出应用于工业互联网平台的操作系统，实现了核心软件领域突破。360、安恒信息等企业在设备、网络、工控、应用、数据等方面开展防护手段研发，结合大数据等技术，探索对安全态势的感知和安全威胁的预测，全面提升平台防护水平。

   构筑平台安全体系，报告认为，一是要树立正确的安全观，以安全保发展，用安全促发展；二是要加强政府监督指导，构建覆盖平台全生命周期安全监测、风险预警、应急响应、安全防护、监测评估等能力；三是要落实企业安全主体责任，面向应用和平台企业、解决方案提供商等主体提出安全审查、评估认证等安全管理和防护技术要求；四是要提升安全防护能力，扶持国家安全技术机构、国家工业信息安全相关联盟协会开展第三方平台安全服务能力建设，面向企业提供风险预警、安全咨询等服务，促进平台健康发展。

   近年来，中国陆续出台了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》、《工业互联网发展行动计划（2018-2020年）》等文件，明确提出工业互联网安全工作内容，从制度建立、标准研制、安全防护、数据保护、手段建设、安全产业发展、人员培养等方面，要求建立涵盖设备安全、控制安全、网络安全、平台安全、数据安全的工业互联网多层次安全保障体系。

（转载自：21世纪经济报道）