近年來，我國工業(yè)互聯(lián)網(wǎng)的應用場景越來越豐富,，模式創(chuàng)新也越來越活躍,，高度智聯(lián)所暴露出來的信息安全問題更加多樣復雜。

在近日舉行的“2020中國工業(yè)信息安全大會暨全國工控安全深度行（京津冀站）”上,，與會的企業(yè)代表都表達了共同的呼聲,，隨著工業(yè)信息化發(fā)展，安全的地位和重要性正不斷前移,，在新基建帶動的工業(yè)互聯(lián)網(wǎng)建設浪潮下,，如果不能解決信息安全威脅問題，那么工業(yè)互聯(lián)網(wǎng)的大規(guī)模普及也就無從談起,，因此工業(yè)信息安全短板需加速補齊,。

工業(yè)企業(yè)信息安全不容忽視

在新基建的推動下，我國工業(yè)行業(yè)數(shù)字化升級正在快速發(fā)展,，但與此同時信息安全風險也隨之提升,。在今年上半年媒體評出的十大信息安全事件中，超過半數(shù)都與生產(chǎn)企業(yè)直接相關,。

“工業(yè)企業(yè)信息安全頻發(fā)的原因主要在于：一方面工業(yè)企業(yè)以往與互聯(lián)網(wǎng)相對較隔離,，因此對網(wǎng)絡安全重視程度不足；另一方面,，工業(yè)企業(yè)的工業(yè)主機以及部分舊操作系統(tǒng)升級較為困難,，普遍存在安全漏洞，一旦與互聯(lián)網(wǎng)相連,，系統(tǒng)就會立即成為攻擊者的目標,?！本G盟科技集團副總裁李晨表示。

據(jù)了解,，自2010年開始,，綠盟科技就一直深耕工業(yè)信息安全領域并將其作為公司重要的戰(zhàn)略發(fā)展方向，多年來綠盟科技依托自身的專業(yè)技術優(yōu)勢,，對工業(yè)控制系統(tǒng)及工業(yè)互聯(lián)網(wǎng)安全領域進行了深入研究,，并建立了完整的工業(yè)控制系統(tǒng)安全產(chǎn)品線。

“工業(yè)控制系統(tǒng)多被應用于電力,、交通,、石油化工等國家重要支撐產(chǎn)業(yè)，一旦出現(xiàn)安全問題將會直接威脅國家的安全和人民的生產(chǎn)生活,，并造成不可估量的經(jīng)濟損失,，其安全問題的解決刻不容緩?！崩畛空f,。

六方云董事長任增強對此也提出，以往的20多年里,，我們更多關注的是已知的安全風險,，但隨著新一代基礎設施的大范圍建設以及工業(yè)互聯(lián)網(wǎng)在傳統(tǒng)工業(yè)領域的不斷普及，一些未知風險開始顯現(xiàn),，這必須引起工業(yè)企業(yè)以及安全服務企業(yè)等的普遍關注,，并將防范重點有所側重。

“要補好工業(yè)互聯(lián)網(wǎng)發(fā)展中的信息安全短板首先就是要轉變思維,，提高安全防范意識,。”李晨認為,，可以從工業(yè)企業(yè)內(nèi)部入手,，規(guī)劃部署安全防護措施，如針對工業(yè)主機,，通過主機安全衛(wèi)士對主機進行加固,，防止惡意代碼的運行；在網(wǎng)絡層面,，部署工業(yè)隔離裝置,，避免受到勒索軟件等惡意代碼的感染；此外,，建議在工業(yè)企業(yè)或者工業(yè)園區(qū),，部署工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺,，結合工業(yè)威脅情報系統(tǒng),，及時發(fā)現(xiàn)并處置安全威脅,。

工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全也不容忽視。李晨建議,，可按照數(shù)據(jù)的分類分級規(guī)范要求,，保護工業(yè)環(huán)境下產(chǎn)生的各種數(shù)據(jù)，在數(shù)據(jù)存儲,、傳輸,、使用、共享等各個環(huán)節(jié)進行安全部署,，避免數(shù)據(jù)泄漏事件的發(fā)生,。

供應鏈安全漸成高風險點

成立于1996年的啟明星辰信息技術集團股份有限公司，是一家擁有自主知識產(chǎn)權的網(wǎng)絡安全高新技術企業(yè),，也一直深耕于工業(yè)信息安全領域,。

全國政協(xié)委員、啟明星辰信息技術集團股份有限公司首席執(zhí)行官嚴望佳博士表示,，數(shù)字化時代的信息安全將由部署在工控網(wǎng)絡安全設備為主的單點防護建設,，轉變?yōu)槊嫦蛟啤⒕W(wǎng),、邊,、端的工業(yè)安全整體保障體系建設。但到目前為止,，整體保障體系建設仍不足以應對大量數(shù)字化場景帶來的安全挑戰(zhàn),，因此我們需要在傳統(tǒng)網(wǎng)絡安全模式的基礎上疊加場景化的安全思維模式，即構建圍繞全業(yè)務流程和數(shù)據(jù)全生命周期的風險控制機制,。

嚴望佳以智慧油庫安全生產(chǎn)業(yè)務場景為例,，提出可以從網(wǎng)絡安全風險監(jiān)測、預見性安全維護,、風險通報,、應急處置、網(wǎng)絡安全KPI分析等方面,，實現(xiàn)對銷售公司總部和庫區(qū)工控網(wǎng)絡,、辦公網(wǎng)絡全面監(jiān)測。

事實上,，嚴望佳口中所說的全數(shù)據(jù)流程和全生命周期安全問題也正是與會代表關心的重要話題——供應鏈安全,。從當下工業(yè)信息安全來看，新的安全問題往往是企業(yè)的生產(chǎn)供應鏈各個環(huán)節(jié)之間的安全問題或者說整個供應鏈環(huán)節(jié)某個點的安全,。以汽車生產(chǎn)為例,，汽車是由主控機器加上多個電子配套期間組成，本身主控機器安全,，但其他配件都有獨立的供應商,，供應產(chǎn)品是否符合安全標準,，這也決定系統(tǒng)產(chǎn)品的安全性。

因此,，李晨認為,，要解決供應鏈之間的安全問題，首先就需要有明確的安全標準,；另外,，針對內(nèi)生安全，在產(chǎn)品開發(fā)期間要引入安全開發(fā)的理念,，將安全設計前置,，在需求、設計,、開發(fā)與測試階段就考慮到安全問題,，依據(jù)標準設計安全體系，保證產(chǎn)品安全性,。

北京威努特技術有限公司首席技術官黃敏表示,，應注重加強“白名單”技術、邊緣設備可信接入技術,、通信協(xié)議安全增強技術,、人工智能算法等核心技術研發(fā)的投入力度，加快推動網(wǎng)絡安全新技術在工業(yè)互聯(lián)網(wǎng)領域的應用建設,；同時要加強工業(yè)互聯(lián)網(wǎng)企業(yè)與網(wǎng)絡安全企業(yè)做好產(chǎn)業(yè)聯(lián)合,，建立涵蓋設備安全、控制安全,、網(wǎng)絡安全,、平臺安全和數(shù)據(jù)安全的工業(yè)互聯(lián)網(wǎng)多層次安全保障體系，提升安全防護能力,。

專業(yè)安全人才缺口大仍是難題

相關咨詢機構的數(shù)據(jù)顯示,，從IT投入角度來講的話，中國和北美地區(qū)在量級上差不多,，但是中國的網(wǎng)絡安全行業(yè)規(guī)模只有北美的1/10,，整個網(wǎng)絡安全行業(yè)市場的潛力巨大。

在新基建的推動下,，我國工業(yè)行業(yè)數(shù)字化升級快速發(fā)展,，更是推動信息安全產(chǎn)業(yè)快速增長。從近日發(fā)布的《中國工業(yè)信息安全產(chǎn)業(yè)發(fā)展白皮書(2019—2020年)》來看,，2019年我國工業(yè)信息安全產(chǎn)業(yè)規(guī)模為99.74億元,。預計2020年，我國工業(yè)信息安全市場增長率將達23.13%,，市場整體規(guī)模將增長至122.81億元,。

如此大的需求與市場,，也對工業(yè)企業(yè)自身以及信息安全服務商的安全技術和服務水平提出了更多的要求。這就要求工業(yè)企業(yè)自身以及安全服務商一方面要去滿足國家的技術要求,，加大技術研究，同時也要從服務企業(yè)視角出發(fā),，理解生產(chǎn)場景的一些變化,，去提升產(chǎn)品、技術,、服務等,，但這些都離不開安全人才的培養(yǎng)和支撐。

但從目前來看,，我國信息安全人才嚴重缺乏,。“要加大培養(yǎng)工業(yè)互聯(lián)網(wǎng)安全復合型人才,。一方面工業(yè)企業(yè)可以自主培養(yǎng)一些行業(yè)內(nèi)的安全人才,，同時可以與安全服務公司合作，引入一些安全人才進入到行業(yè)里,，逐步成為復合型的安全人才,，以解決企業(yè)需求與人才輸出‘兩層皮’的問題?！蓖厥紫夹g官黃敏表示,。

李晨也認為，新基建加速了信息化進程,，從企業(yè)自身來說,，這就要求很多企業(yè)傳統(tǒng)的OT運營人員不能僅限于做好設備維護，還要考慮信息系統(tǒng),，其中很重要的一個方面就是安全運維,。這就需要舉合力加強安全人才的培養(yǎng)，以應對未來工業(yè)信息安全的需求,。