工業(yè)轉(zhuǎn)型，其實(shí)缺少一道“防火墻”。如今，工業(yè)互聯(lián)網(wǎng)已進(jìn)入發(fā)展快車道，但安全問(wèn)題卻給工業(yè)互聯(lián)網(wǎng)原本晴朗的天空蒙上了一層烏云。上個(gè)月，美國(guó)最大成品油管道運(yùn)營(yíng)商Colonial Pipeline因一次勒索軟件攻擊，致使燃油管道系統(tǒng)被迫關(guān)閉，并且讓美國(guó)17個(gè)州及華盛頓特區(qū)一度進(jìn)入緊急狀態(tài)，被迫支付440萬(wàn)美元的贖金以恢復(fù)系統(tǒng)正常；日本相機(jī)大廠富士膠片遭勒索軟件攻擊，使部分系統(tǒng)受到影響。有些據(jù)點(diǎn)的所有通信，包括電子郵件和經(jīng)由網(wǎng)絡(luò)系統(tǒng)打入的電話都受到了不同程度的影響。而國(guó)內(nèi)，許多企業(yè)也受到了不同程度的安全威脅。

轟動(dòng)一時(shí)的三一重工泵車失蹤案，因無(wú)法傳遞設(shè)備工況數(shù)據(jù)與正常鎖機(jī)，導(dǎo)致三一重工技術(shù)研發(fā)和售后服務(wù)大受影響，更有大量客戶惡意拖欠該公司貨款，失聯(lián)泵車價(jià)值高達(dá)10億元；臺(tái)積電三大制造廠區(qū)因電腦大規(guī)模勒索病毒現(xiàn)象，造成約17.6億元的營(yíng)收損失。在華為安全架構(gòu)師王雨晨看來(lái)，無(wú)論國(guó)內(nèi)企業(yè)還是國(guó)外企業(yè)，勒索軟件，蠕蟲，挖礦、APT等是最主要的高級(jí)安全攻擊且是威脅最大的。其中，勒索軟件是目前最常見的安全威脅手段。

顯然，工業(yè)互聯(lián)網(wǎng)安全問(wèn)題已成為工業(yè)企業(yè)發(fā)展過(guò)程中必要的考慮因素。

安全或成工業(yè)互聯(lián)網(wǎng)最大“絆腳石”

網(wǎng)絡(luò)是基礎(chǔ)，安全是保障，平臺(tái)是核心。工業(yè)互聯(lián)網(wǎng)是新一代信息通信技術(shù)與制造業(yè)深度融合所形成的新興業(yè)態(tài)與新模式。

自2018年，工業(yè)互聯(lián)網(wǎng)被首次寫入政府工作報(bào)告，到2020年被劃定為新基建的重要組成部分，經(jīng)過(guò)三年時(shí)間，工業(yè)互聯(lián)網(wǎng)已進(jìn)入發(fā)展快車道。據(jù)賽迪顧問(wèn)數(shù)據(jù)顯示，2020年，中國(guó)工業(yè)互聯(lián)網(wǎng)市場(chǎng)規(guī)模總量達(dá)到6712.7億元，同比增長(zhǎng)10.4%。

新技術(shù)帶來(lái)新機(jī)遇的同時(shí)，往往也會(huì)帶來(lái)新問(wèn)題。由于工業(yè)互聯(lián)網(wǎng)中各種設(shè)備互聯(lián)，設(shè)備種類多，漏洞后門資源多，攻擊路徑多，攻擊性強(qiáng)，所以新問(wèn)題主要聚焦在安全方面。

這與工業(yè)互聯(lián)網(wǎng)與生俱來(lái)的特性相關(guān)，在浪潮工業(yè)互聯(lián)網(wǎng)副總經(jīng)理宋志剛看來(lái)，工業(yè)互聯(lián)網(wǎng)先天具有的專業(yè)性、復(fù)雜性和技術(shù)起點(diǎn)高的特點(diǎn)，以及開放性和異構(gòu)性的特性，加劇了其面臨的安全風(fēng)險(xiǎn)。

圖源：《2020年工業(yè)信息安全態(tài)勢(shì)報(bào)告》

在工業(yè)互聯(lián)網(wǎng)專有特點(diǎn)的基礎(chǔ)上，百度相關(guān)負(fù)責(zé)人認(rèn)為，工業(yè)互聯(lián)網(wǎng)安全威脅事件頻發(fā)是由于云計(jì)算、人工智能、大數(shù)據(jù)等技術(shù)仍處于不斷創(chuàng)新和高速迭代階段，工業(yè)互聯(lián)網(wǎng)仍處于摸索階段，諸如工業(yè)互聯(lián)網(wǎng)安全等許多難題有待進(jìn)一步攻克。目前，工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊事件、工業(yè)設(shè)備、系統(tǒng)安全漏洞數(shù)量呈現(xiàn)逐年遞增之勢(shì)。

據(jù)《2020年工業(yè)信息安全態(tài)勢(shì)報(bào)告》顯示，工業(yè)領(lǐng)域因運(yùn)營(yíng)成本大、數(shù)據(jù)價(jià)值達(dá)、社會(huì)影響廣成為了首要攻擊目標(biāo)，僅2020年工業(yè)相關(guān)勒索軟件攻擊事件就有33起，遠(yuǎn)超2017年至2019年兩年的總合。

除去工業(yè)互聯(lián)網(wǎng)專有特性和發(fā)展速度來(lái)看，華為安全架構(gòu)師王雨晨認(rèn)為，工業(yè)互聯(lián)網(wǎng)安全和傳統(tǒng)IT安全的差異也是安全威脅事件頻發(fā)的重要原因。

首先，補(bǔ)丁、殺毒軟件等侵入式安全技術(shù)不可實(shí)施，終端安全不可接受，漏洞處于開放狀態(tài)；

其次，互聯(lián)網(wǎng)是統(tǒng)一架構(gòu)，而工業(yè)系統(tǒng)架構(gòu)、業(yè)務(wù)類型、設(shè)備組合千差萬(wàn)別，通用的威脅情報(bào)作用很??；

再者，工業(yè)互聯(lián)網(wǎng)系統(tǒng)是高度自動(dòng)化，低交互的，基于安全專家的人工運(yùn)維不可實(shí)施。

而且，工業(yè)互聯(lián)網(wǎng)中一旦發(fā)生事情就是大事，事后處置的損失不可接受，安全手段也絕對(duì)不能在業(yè)務(wù)系統(tǒng)中造成新增故障點(diǎn)，不能引入“安全悖論”。

所以說(shuō)，對(duì)于工業(yè)互聯(lián)網(wǎng)安全來(lái)說(shuō)，傳統(tǒng)IT安全架構(gòu)早已不適用，亟需構(gòu)建新型的工業(yè)互聯(lián)網(wǎng)安全架構(gòu)。

百度相關(guān)負(fù)責(zé)人也表示，傳統(tǒng)互聯(lián)網(wǎng)時(shí)代，人們對(duì)網(wǎng)絡(luò)安全習(xí)慣于采取“事后補(bǔ)救”的措施，而這些措施往往是“頭痛醫(yī)頭、腳痛醫(yī)腳”，不能徹底、全面地解決問(wèn)題，也無(wú)法滿足新型工業(yè)互聯(lián)網(wǎng)的安全需求。

工業(yè)互聯(lián)網(wǎng)不止網(wǎng)絡(luò)和平臺(tái)，安全也是重要的一環(huán)

停留在口頭上的安全，也只是空中樓閣。雖然，安全威脅事件頻發(fā)，但工業(yè)互聯(lián)網(wǎng)的熱度仍吸引了不少企業(yè)的入局。根據(jù)IDC中國(guó)工業(yè)互聯(lián)網(wǎng)調(diào)研數(shù)據(jù)顯示，80.3%的受訪用戶表示已經(jīng)部署或計(jì)劃在未來(lái)1~3年內(nèi)部署工業(yè)互聯(lián)網(wǎng)，包括傳統(tǒng)制造企業(yè)海爾、美的等，互聯(lián)網(wǎng)巨頭BAT，新興獨(dú)角獸企業(yè)AI四小龍等，還有一些不起眼的小型企業(yè)。

據(jù)不完全統(tǒng)計(jì)，標(biāo)識(shí)解析體系方面，我國(guó)已擁有5個(gè)國(guó)家頂級(jí)節(jié)點(diǎn)，90多個(gè)二級(jí)節(jié)點(diǎn)平臺(tái)已上線，成為三級(jí)節(jié)點(diǎn)的企業(yè)超一萬(wàn)家；工業(yè)互聯(lián)網(wǎng)平臺(tái)方面，我國(guó)多層級(jí)工業(yè)互聯(lián)網(wǎng)平臺(tái)體系初步形成，國(guó)內(nèi)已涌現(xiàn)出100余個(gè)工業(yè)互聯(lián)網(wǎng)平臺(tái)，其中跨行業(yè)跨領(lǐng)域平臺(tái)達(dá)到15個(gè)；

工業(yè)APP方面，截至3月底，工業(yè)互聯(lián)網(wǎng)平臺(tái)連接工業(yè)設(shè)備總數(shù)達(dá)7300萬(wàn)臺(tái)，工業(yè)App突破59萬(wàn)個(gè)。

雖然，目前在工業(yè)互聯(lián)網(wǎng)領(lǐng)域我國(guó)已經(jīng)取得了顯著的成就。但是，三一重工泵車失蹤案、臺(tái)積電工廠大面積勒索病毒等事件也說(shuō)明了企業(yè)在安全方面的嚴(yán)重缺失。

據(jù)相關(guān)調(diào)研數(shù)據(jù)顯示，僅有36.5%的工業(yè)企業(yè)認(rèn)為自己的工控系統(tǒng)遭受網(wǎng)絡(luò)攻擊的可能性很大，57.4%的企業(yè)認(rèn)為基本不會(huì)，甚至有6.1%的受調(diào)研企業(yè)認(rèn)為，自己完全不會(huì)遭到工控網(wǎng)絡(luò)攻擊。

六方云總裁李江力表示，這主要是源于各企業(yè)對(duì)工業(yè)互聯(lián)網(wǎng)安全的認(rèn)知水平不一，有的企業(yè)是經(jīng)歷了安全威脅之后才引起重視，有的企業(yè)是根據(jù)工信部下發(fā)的文件進(jìn)行著安全實(shí)踐，還有一批沒(méi)有接入網(wǎng)絡(luò)的小型企業(yè)并沒(méi)有工業(yè)互聯(lián)網(wǎng)安全方面的考慮。

李江力坦言，國(guó)內(nèi)的工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)超過(guò)500家，這些平臺(tái)企業(yè)在設(shè)計(jì)時(shí)都會(huì)有安全因素的考慮，但不同的平臺(tái)對(duì)安全的理解、設(shè)計(jì)實(shí)現(xiàn)與投入都不一樣，整體看，工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全防護(hù)能力還需要提高。

雖然做的工業(yè)安全的企業(yè)多越來(lái)越多，但是參差不齊的安全認(rèn)知水平現(xiàn)象愈發(fā)嚴(yán)重?，F(xiàn)如今，從事工業(yè)互聯(lián)網(wǎng)安全的企業(yè)，大部分只重視信息安全，側(cè)重于政府、金融行業(yè)等傳統(tǒng)領(lǐng)域，但是關(guān)于工業(yè)領(lǐng)域的生產(chǎn)保護(hù)，卻很少有企業(yè)專注。

奇安信工業(yè)互聯(lián)網(wǎng)安全事業(yè)部產(chǎn)品總監(jiān)王弢這樣說(shuō)，從調(diào)研結(jié)果可以看出，表示非常重視工業(yè)互聯(lián)網(wǎng)安全的企業(yè)，僅為40.9%。近六成的企業(yè)表示較少重視或完全不關(guān)心。這也成為了國(guó)內(nèi)工業(yè)互聯(lián)網(wǎng)安全建設(shè)始終發(fā)展較慢的重要原因之一。

“軟”安全里的“硬”實(shí)力

目前，工業(yè)互聯(lián)網(wǎng)安全究竟做的怎么樣？經(jīng)綜合研判，數(shù)據(jù)顯示，預(yù)計(jì)2020年我國(guó)工業(yè)信息安全市場(chǎng)增長(zhǎng)率將達(dá)23.12%，市場(chǎng)整體規(guī)模將增長(zhǎng)至122.81億元。

圖源：《2020-2021年度工業(yè)信息安全形勢(shì)分析》

反觀去年工業(yè)安全事件發(fā)生情況，據(jù)數(shù)據(jù)顯示，我國(guó)2020年公開報(bào)道的工業(yè)信息安全事件約70件，裝備制造、能源等行業(yè)為遭受網(wǎng)絡(luò)攻擊最嚴(yán)重領(lǐng)域，占比分別達(dá)到27%、22%；2020年新增工業(yè)控制系統(tǒng)安全漏洞數(shù)達(dá)682個(gè)，增長(zhǎng)率為20%。其中高危漏洞272個(gè)，中危漏洞364個(gè)，中高危漏洞占比高達(dá)93.3%。