|
2017年11月27日,国务院正式印发《关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《意见》)。明确将安全作为工业互联网三大功能体系之一,要求把握好安全与发展的辩证关系,坚持工业互联网安全保障手段同步规划、同步建设、同步运行,提升工业互联网安全防护能力。此后的政策文件一直在不断跟进、贯彻落实《指导意见》的要求。2021年3月,工信部发布的《2021年工业和信息化标准工作重点》立足于制造强国、网络强国、质量强国和数字中国的建设全局,大力实施标准升级行动,提倡大力发展团体标准,统筹推进工业互联网、标识解析、平台和安全标准的制定,大力开展“5G+工业互联网”和工业互联网大数据中心的标准研究,支持工业互联网+安全生产等行业行动和安全标准的制定。 2021年4月10日,CITE2021 工业互联网发展与安全峰会在深圳召开,国家工业信息安全发展研究中心标准质量处处长陈雪鸿在会上做了《工业互联网安全标准进展简介》主题演讲。 国家工业信息安全发展研究中心标准质量处处长 陈雪鸿 “各种安全理念实际上在我们各种文件和标准中已经产生了一定的交叉”,陈雪鸿表示。如下图所示,工业信息安全是最大的概念,其子集是工业互联网安全。工业数据安全、工业平台安全、工业云安全、工业物联网安全、工业控制系统安全产生了一定的交叉。另外,工业互联网的两大属性是“工业”和“互联”,但在实际工业生产经营过程中,无论是离散工业还是流程工业中,均存在未连入工业互联网的工业系统和设备,其信息安全属于工业信息安全范畴,但尚不属于工业互联网安全。因此,还存在一种非联网工控系统安全。
陈雪鸿表示,想要了解清楚工业互联网安全需区分保障对象是什么,区分保障对象就要明白安全保障的重点。
工业互联网安全保障主要分为设备安全、控制安全、网络安全、标识解析安全、平台安全和数据安全,分别对应不同的保障对象。其中,设备安全主要指接入工业互联网的终端设备的安全,重点是加强设备自身安全、完善终端接入安全认证;控制安全主要指PLC、SCADA、DCS等工业控制系统安全,既要提升自主可控的工控系统比例,又要将安全问题考虑到生产设计中;平台安全主要指工业云平台的安全,重点是加强工业云服务网络安全管理,明确平台管理和运行主体责任;数据安全主要指工业生产业务活动中的数据安全问题,要建立数据分级分类管理制度,形成数据流动管理机制,解决数据流动方向和路径复杂导致的数据安全防护难度增大等问题;网络安全主要指工业企业管理网、控制网和外网的安全,确保传输安全和运行安全。 其中,我国控制安全的基础相对比较薄弱。由于我国自主可控能力较弱,对于控制安全而言即需要提升自主安全的可控体系。中国电子在自主可控安全方面做了很多尝试,同时将安全的问题考虑到生产设计中。由于很多工控系统是带病运行的,因此一旦上线运行之后再改造安全就会非常困难。另外,如下图所示,工业互联网的业态也涉及到多种安全责任主体。 谈及工业互联网安全标准体系的进展,陈雪鸿首先对比了国内外工业互联网标准体系的发展趋势。“国外工业互联网的安全标准最主要的特点是与其他的体系融合发展,”陈雪鸿如是说,“美国方面在工业互联网标准组织方面在国际比较领先,对于物联网、工业数据、工业云等方面的标准,专门成立工业互联网联盟(IIC)来开展工业互联网安全标准和行业实践研究;欧盟各国工业互联网安全相关标准以关键基础设施安全为重心。”
国内工业互联网的标准发展趋势主要表现在四个方面: 第一,推进完善各个领域的标准计划,构建“综合标准路线图”;第二,加快研制急需专用标准,比如说平台、标识解析、应用,主抓重点领域及易受威胁领域,如车联网、家电等工业互联网已得到应用的领域;第三,加强综合防护,加快关键信息基础设施安全标准研制;第四,瞄准新技术、新应用安全需求开展标准化工作。 国内工业互联网标准目前有三大现状:工业控制系统安全标准制定推进成效显著,工业互联网网络、数据、平台安全标准加紧研制(但是国际标准尚未形成),以及正在逐步推进工业互联网安全体系框架类标准的制定。从这样的现状中也体现出三大趋势:标准研制体系化、标准影响扩大化以及标准合作国际化。 之后,陈雪鸿为大家展示了具体标准体系的制定进展情况: // 工控安全标准体系框架 全国信息安全标准化技术委员会(TC260),开展工控安全标准研制,提出工控安全标准体系框架。 // 物联网安全标准体系 2019年10月,全国信息安全标准化技术委员会(TC260),发布《物联网安全标准化白皮书》(2019版),提出物联网安全标准体系框架。 // 数据安全标准体系 2020年5月,全国信息安全标准化技术委员会(TC260),大数据特别工作组年度第一次会议周讨论《数据安全标准体系研究报告》,提出数据安全标准体系。 // 云计算综合标准化体系 2015年11月,工信部发布《云计算综合标准化体系建设指南》(工信厅信软〔2015〕132号),提出云计算标准体系。 // 智能制造标准体系 2018年8月,工信部、国家标准化管理委员联合发布《国家智能制造标准体系建设指南(2018年版)》,提出智能制造标准体系。
// 工业互联网标准体系框架 2016年8月,工业互联网产业联盟,提出工业互联网标准体系框架。其中把工业互联网标准体系分为总体类标准、技术工信标准和应用标准,在基础工信标准里面提出安全标准,安全标准是有安全基础支撑的标准,管理级服务的标准,网络安全、控制安全、应用安全和数据安全的标准。 // 工业互联网标准体系 2019年1月,工业和信息化部、国家标准化管理委员会发布《工业互联网综合标准化体系建设指南》,提出工业互联网标准体系,把工业互联网标准体系分为基础、共性、总体、应用三大类。同时在总体标准里面提出安全标准。安全标准区分为设备安全、控制系统安全、网络安全、数据安全、平台安全、应用程序安全以及安全管理。
陈雪鸿之后介绍了国家工业信息安全发展研究中心在工业互联网安全标准化方面作出的工作,包括成立WG7(工业信息安全标准组),致力于研究推进标准的促进以及工业信息标准体系的推进;牵头参与的TC260标准研制工作;2019年12月,国家工业信息安全发展研究中心依托工业信息安全产业发展联盟,发布《工业信息安全标准化白皮书(2019版)》,提出工业信息安全标准体系框架。 目前国内已制定/发布主要工控安全标准如下表所示: 目前国内已制定/发布主要数据安全相关标准如下表所示: 目前国内已开展工业互联网安全国家标准研制的立项较少,主要标准如下表所示: 陈雪鸿最后分享了对于工业互联网安全标准体系下一步的工作思考: 第一, 定期更新,及时梳理新技术、新概念新标准,为制定工业互联网的安全标准提供体系化的思考; 第二, 加强沟通交流,在相关主管部门的指导和协调下,充分发挥各标准化技术委员会的作用,加强沟通合作。同时,标准承研单位在标准研制过程中积极与相关标准化技术委员会进行沟通确认,充分考虑标准的衔接性和实用性,避免出现标准重复、冲突等现象。 第三, 加快研制与落地,加快急需标准的研制,加强标准的宣贯、培训和试点的应用,发挥标准引导的作用。同时加强各个标委会的沟通与交流,在相关主管部门的指导和协调下,工信部给国标委专门致函要求工业互联网的相关标准一定要得到工信部的认同之后才能进行相应的发布。
|
