面向中小企业的工业互联网安全研究

文｜郭刚 樊陆陆 郭子豪 马晓双

随着新一代信息技术与制造业的融合，工业互联网安全面临巨大挑战。本文重点阐述了当下工业互联网安全存在：工厂内网和互联网互联互通导致网络攻击路径增多，数据安全风险隐患凸显以及工业企业普遍存在资金有限、人员缺乏、意识薄弱的问题。同时，本文提出了加强工业互联网安全建设建议，分别是：建设内生安全防御为主的安全防护能力、建立工业领域数据安全管理体系、建设一站式安全服务平台。

中小企业在国民经济中占据非常重要的位置，是就业、创业创新的重要力量，在稳增长、调结构、防风险中发挥着非常重要的作用，是大众创业、万众创新的重要载体。随着以第五代移动通信（5G）、人工智能（AI）为代表的新一代信息技术正迅速向通信设备制造业、机械设备、汽车制造等领域渗透，工业互联网赋能传统制造业的深度和广度都在不断加强，工业资产、系统、数据从封闭的空间转向开放的空间，受到的威胁越来越大，工业领域网络安全、数据安全面临的挑战愈加突出，而中小企业在企业安全能力、安全资金投入、安全人才培养等方面面临的挑战更加突出，所以，研究工业互联网安全的意义非常重大，应对不当，可能影响产业安全、经济安全乃至国家总体安全。

一、工业互联网概述

工业互联网是第四次工业革命的关键支撑技术，是第五代移动通信等新一代信息技术与制造业融合的产物，通过生产各环节、各要素的互联互通，助力工业企业数字化转型。工业互联网通过连接人、设备、环境、虚拟资源等全部生产要，打通整个产业链上下游。工业互联网网络通过低延时、高带宽、高可靠及兼容性高的网络设施,实现工业大数据在设计环节、研发环节、制造环节、运维环节的流动。工业互联网平台通过汇聚来自工业各个环节各个流程的数据，基于工业机理模型、工业数据建模分析，实现工业知识模型化、代码化、软件化，赋能工业场景。工业互联网安全包括网络安全、数据安全、控制系统等，是工业互联网健康有序发展的保障。工业互联网的发展催生很多新的模式、新的业态，通过智能化生产提升企业内部及企业之间之间的协同效率，通过网络化协同降低研发成本，通过规模化定制降低低库存，通过服务化帮助企业实现产品向服务的转型。

图1 工业互联网内涵

二、工业互联网安全现状

党和国家高度重视网络空间安全，习近平总书记在全国网络安全和信息化工作会议上强调“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障”。2017年以来，《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》等法律法规的发布施行，标志着我国网络空间安全领域的基础性法律法规框架体系已经基本完成。为了提升工业互联网安全水平，2021年以来，工信部先后组织开展了网络安全、数据安全分级分类试点以及安全深度行活动。虽然，我国工业互联网安全取得不少成绩，但与发达国家相比，各方面都还比较薄弱，主要面临如下三方挑战：

一是传统企业网络安全边界的改变，导致网络攻击路径增多，随着工业互联网战略的落实，企业数字化转型的深入实施，企业的网络风险正在变得越来越严峻。

图2 网络安全边界改变

二是数据安全不容忽视，数据安全风险贯穿于工业互联网大数据的产生、采集、存储、传输、处理、销毁等全生命周期，急需要明确数据安全主体责任，加强数据各个环节的安全防护，定期开展数据安全能力评估，实时监测数据的安全流动，追踪安全事件，及时做出响应，形成安全闭环。

三是新冠肺炎疫情对实体经济影响较大，特别是中小企业，企业利润率下降，在数字化转型、安全防护、安全团队建设等方面投入有限，同时，企业安全防护意识缺乏，重发展轻安全的思维普遍存在。

三、工业互联网安全建议

（一）建设内生安全防御为主的安全防护能力

在工业设备方面，对设备芯片与操作系统进行安全加固，并对设备配置进行优化；在应用程序脆弱性分析方面，引入漏洞挖掘技术，对应用及控制系统采取静态挖掘、动态挖掘，实现对自身隐患的常态化排查；在工业通信协议方面，新版本协议中加入数据加密、身份验证、访问控制、完整性验证等机制提升其安全性，并逐步取代现有协议。

（二）建立工业领域数据安全管理体系

探索构建工业领域数据安全管理体系，明确企业的数据安全主体责任，加强数据安全的政策引导，帮助企业完成企业内部的数据分类，针对不同重要程度的数据实施分级（重要数据和核心数据）防护，定期开展企业数据安全评估，同时，搭建数据安全的服务平台，帮助企业数据安全能力的建设。

（三）建设一站式安全服务平台

针对中小企业普遍存在安全意识薄弱、安全防护能力建设资金有限、安全人才缺乏的问题，围绕安全产品服务化、安全服务轻量化、服务形式便捷化等特征和方向，建议从安全诊断评估、安全分级分类、安全监测SaaS服务、安全解决方案、安全应急响应服务、安全人才培训等方面建设工业互联网安全公共服务平台。平台将秉承一站式、轻量化的服务理念，以安全诊断评估服务为入口，以网络安全、数据安全分级分类为抓手，以监测、解决方案、应急响应为服务重点，吸引企业入驻平台，聚合企业安全需求，汇聚企业安全事件数据，联合安全生态企业，提供梯度式的、延续性强的安全解决方案，打造从评估、监测、防护、应急响应、人才培训为一体的闭环式安全服务体系。

四、结论

工业互联网作为第四次工业革命的重要支撑，在推动企业数字化转型的同时，安全变得越来越重要。党和国家非常重视工业企业安全能力的建设，颁布了多部相关的法律法规。针对当下工业互联网安全存在的被攻击路径增多、数据安全风险、企业安全能力不足等问题，本文从增强安全防护能力、建立数据安全管理体系、建设一站式安全服务平台三方面推动工业互联网安全体系建设。