近年來，我國工業互聯網的應用場景越來越豐富，模式創新也越來越活躍，高度智聯所暴露出來的信息安全問題更加多樣復雜。

在近日舉行的“2020中國工業信息安全大會暨全國工控安全深度行（京津冀站）”上，與會的企業代表都表達了共同的呼聲，隨著工業信息化發展，安全的地位和重要性正不斷前移，在新基建帶動的工業互聯網建設浪潮下，如果不能解決信息安全威脅問題，那么工業互聯網的大規模普及也就無從談起，因此工業信息安全短板需加速補齊。

工業企業信息安全不容忽視

在新基建的推動下，我國工業行業數字化升級正在快速發展，但與此同時信息安全風險也隨之提升。在今年上半年媒體評出的十大信息安全事件中，超過半數都與生產企業直接相關。

“工業企業信息安全頻發的原因主要在于：一方面工業企業以往與互聯網相對較隔離，因此對網絡安全重視程度不足；另一方面，工業企業的工業主機以及部分舊操作系統升級較為困難，普遍存在安全漏洞，一旦與互聯網相連，系統就會立即成為攻擊者的目標。”綠盟科技集團副總裁李晨表示。

據了解，自2010年開始，綠盟科技就一直深耕工業信息安全領域并將其作為公司重要的戰略發展方向，多年來綠盟科技依托自身的專業技術優勢，對工業控制系統及工業互聯網安全領域進行了深入研究，并建立了完整的工業控制系統安全產品線。

“工業控制系統多被應用于電力、交通、石油化工等國家重要支撐產業，一旦出現安全問題將會直接威脅國家的安全和人民的生產生活，并造成不可估量的經濟損失，其安全問題的解決刻不容緩。”李晨說。

六方云董事長任增強對此也提出，以往的20多年里，我們更多關注的是已知的安全風險，但隨著新一代基礎設施的大范圍建設以及工業互聯網在傳統工業領域的不斷普及，一些未知風險開始顯現，這必須引起工業企業以及安全服務企業等的普遍關注，并將防范重點有所側重。

“要補好工業互聯網發展中的信息安全短板首先就是要轉變思維，提高安全防范意識。”李晨認為，可以從工業企業內部入手，規劃部署安全防護措施，如針對工業主機，通過主機安全衛士對主機進行加固，防止惡意代碼的運行；在網絡層面，部署工業隔離裝置，避免受到勒索軟件等惡意代碼的感染；此外，建議在工業企業或者工業園區，部署工業互聯網安全監測與態勢感知平臺，結合工業威脅情報系統，及時發現并處置安全威脅。

工業互聯網數據安全也不容忽視。李晨建議，可按照數據的分類分級規范要求，保護工業環境下產生的各種數據，在數據存儲、傳輸、使用、共享等各個環節進行安全部署，避免數據泄漏事件的發生。

供應鏈安全漸成高風險點

成立于1996年的啟明星辰信息技術集團股份有限公司，是一家擁有自主知識產權的網絡安全高新技術企業，也一直深耕于工業信息安全領域。

全國政協委員、啟明星辰信息技術集團股份有限公司首席執行官嚴望佳博士表示，數字化時代的信息安全將由部署在工控網絡安全設備為主的單點防護建設，轉變為面向云、網、邊、端的工業安全整體保障體系建設。但到目前為止，整體保障體系建設仍不足以應對大量數字化場景帶來的安全挑戰，因此我們需要在傳統網絡安全模式的基礎上疊加場景化的安全思維模式，即構建圍繞全業務流程和數據全生命周期的風險控制機制。

嚴望佳以智慧油庫安全生產業務場景為例，提出可以從網絡安全風險監測、預見性安全維護、風險通報、應急處置、網絡安全KPI分析等方面，實現對銷售公司總部和庫區工控網絡、辦公網絡全面監測。

事實上，嚴望佳口中所說的全數據流程和全生命周期安全問題也正是與會代表關心的重要話題——供應鏈安全。從當下工業信息安全來看，新的安全問題往往是企業的生產供應鏈各個環節之間的安全問題或者說整個供應鏈環節某個點的安全。以汽車生產為例，汽車是由主控機器加上多個電子配套期間組成，本身主控機器安全，但其他配件都有獨立的供應商，供應產品是否符合安全標準，這也決定系統產品的安全性。

因此，李晨認為，要解決供應鏈之間的安全問題，首先就需要有明確的安全標準；另外，針對內生安全，在產品開發期間要引入安全開發的理念，將安全設計前置，在需求、設計、開發與測試階段就考慮到安全問題，依據標準設計安全體系，保證產品安全性。

北京威努特技術有限公司首席技術官黃敏表示，應注重加強“白名單”技術、邊緣設備可信接入技術、通信協議安全增強技術、人工智能算法等核心技術研發的投入力度，加快推動網絡安全新技術在工業互聯網領域的應用建設；同時要加強工業互聯網企業與網絡安全企業做好產業聯合，建立涵蓋設備安全、控制安全、網絡安全、平臺安全和數據安全的工業互聯網多層次安全保障體系，提升安全防護能力。

專業安全人才缺口大仍是難題

相關咨詢機構的數據顯示，從IT投入角度來講的話，中國和北美地區在量級上差不多，但是中國的網絡安全行業規模只有北美的1/10，整個網絡安全行業市場的潛力巨大。

在新基建的推動下，我國工業行業數字化升級快速發展，更是推動信息安全產業快速增長。從近日發布的《中國工業信息安全產業發展白皮書(2019—2020年)》來看，2019年我國工業信息安全產業規模為99.74億元。預計2020年，我國工業信息安全市場增長率將達23.13%，市場整體規模將增長至122.81億元。

如此大的需求與市場，也對工業企業自身以及信息安全服務商的安全技術和服務水平提出了更多的要求。這就要求工業企業自身以及安全服務商一方面要去滿足國家的技術要求，加大技術研究，同時也要從服務企業視角出發，理解生產場景的一些變化，去提升產品、技術、服務等，但這些都離不開安全人才的培養和支撐。

但從目前來看，我國信息安全人才嚴重缺乏。“要加大培養工業互聯網安全復合型人才。一方面工業企業可以自主培養一些行業內的安全人才，同時可以與安全服務公司合作，引入一些安全人才進入到行業里，逐步成為復合型的安全人才，以解決企業需求與人才輸出‘兩層皮’的問題。”威努特首席技術官黃敏表示。

李晨也認為，新基建加速了信息化進程，從企業自身來說，這就要求很多企業傳統的OT運營人員不能僅限于做好設備維護，還要考慮信息系統，其中很重要的一個方面就是安全運維。這就需要舉合力加強安全人才的培養，以應對未來工業信息安全的需求。