当今时代,世界经济数字化转型是大趋势。面对世纪大变局,我国面临的国际国内发展形势日趋严峻,统筹发展与安全已经成为国家可持续、高质量发展的抉择。5月7日,在“2023西湖论剑·数字安全大会-工业领域网络和数据安全论坛”上,国家工业信息安全发展研究中心总工程师黄鹏认为,当前新一代信息技术广泛应用于工业生产活动,制造业企业数字化、网络化、智能化水平不断提高,在为新型工业化带来巨大发展机遇的同时,带来了网络和数据安全方面的风险。
工业信息安全事关经济发展、社会稳定和国家安全,要提升我国工业信息安全的防护能力,必须加快工业信息安全产业的发展、加大工业信息安全的技术攻关,强化相应的产品和服务广泛应用。浙江省经济和信息化厅总工程师李永伟强调,构筑领先的工业领域的数据安全的阵营,加强对工业领域网络以及数据安全的创新投入,加快研究和应用社会工业场景的数据安防技术,提升数据安全产业的基础能力,对整个工业数字化改革具有十分重要的意义。
国家工业信息安全发展研究中心保障技术所所长李俊表示,工业领域数据安全虽然是新生事物在不断演进,但是处在未知大于已知、未来多于过去的时刻,工业领域数据安全事业大有可为。
我国工业信息安全市场较为活跃
作为工业领域数字化改革的“血液”,数据资源作为新的生产力以及竞争力的要素,已经成为了企业和区域提质增效、降本强力的关键支撑要素。与此同时,随着信息化推进,工业数据增长迅速、品种繁多、体量庞杂,数据安全已经成为保障工业发展、保障社会安全的重要节点。国家工业信息安全发展研究中心产业促进所研究部主任杨晓伟介绍说,2021年,在疫情席卷全球的情况下,世界工业领域相对技术和产品日趋成熟,主要表现为三个方面:一是全球工业企业仍采用传统安全技术为手段,提升企业相应的保障能力。二是云计算、安全运营中心等新兴技术和手段备受关注,30%的企业认为安全运营中心将是未来2~4年OT安全影响最大的技术。三是产品及解决方案的能力不断成熟,创新产品不断涌现。
中国工业报记者了解到,我国工业信息安全市场呈现出较为活跃的态势,2021年约有373家国内企业涉及工业信息安全领域的业务,较2020年增长了17.3%。其中,自动化厂商背景企业占26%,传统安全厂商占56%,仍以传统厂商为主。同时根据数据分析,我国工业信息安全资本市场呈现了几种态势:一是民营创新孵化机构不断涌现,多主体投资机构不断加码入局。二是PE投资聚焦初创企业,投早投小成为了行业投资新趋势。三是国有资本持续注入成熟企业,推动行业纵深发展。
值得注意的是,随着智能制造的深入包括数字化改造的普遍,工业领域网络和数据安全工作非常重要,同时带来了网络安全、数据安全、产业发展机会。目前,我国工业信息安全发展面临的主要问题:一是产业发展内部驱动不足,主要表现为两方面:企业内部缺乏体系化安全规划和工业信息安全布局,工业信息安全和相应体系建设、责任分布等与当前政策有一定差距。二是产业链各个环节缺乏互动,产业侧和供给侧相对来说交流比较少,难以保证产业侧能针对性提出工业信息安全相应产品和服务,同时测试、评估、验证相应技术有待加强,产品缺乏检验机会。三是人才培养机制尚未完善,缺乏工业信息安全结合联合培养机制,同时对相应的考试、认证等缺乏统一体系。四是企业发展脉络有待进一步梳理,特别是对于初期企业来讲技术和创新能力不足,缺乏差异化成长路线,同时面临着用户量爆炸式增长缺乏针对性解决措施。
我国全方位提升工业信息安全保障能力
党的二十大报告指出,我国到2035年基本实现新型工业化,强调“要坚持把发展经济的着力点放在实体经济上,推动新型工业化,加快建设制造强国、网络强国、数字中国”。李永伟认为,我国大力推进工业领域数字化转型及以及改革发展的同时,必须牢固树立国家总体安全观,产业安全、数字安全非常重要。但是,近年来工业领域网络和数据安全高危漏洞层出不穷,大量低防护工业设备接入了互联网,工业企业敏感数据泄漏、勒索病毒攻击等安全事件频发。
浙江大学求是特聘教授王文海分析,安全事件不断频发、APT攻击态势日益严峻,核心原因是智能制造的发展、工业的发展。目前,我国国内工控系统自主可控率相对低,大量使用国外的“有毒带菌”元器件,轻易“被后门、被漏洞、被渗透”现象长期无法解决。他认为,工业追求的是智能,追求的是效率,追求的是收益,但安全是满足收益的约束。因此,工业首先要解决工业安全问题,然后才能解决物理安全、网络安全等功能安全问题,涉及到不同层面。
中国联合网络通信有限公司数字科技有限公司数据智能事业部安全合规部总经理林海表示,针对工业数据差异性和“难点痛点”,每个工业企业的处理水平参差不齐,目前工业领域数据普遍存在或者比较聚焦的四大类“痛点”问题:第一,针对全局性、战略性数据安全意识相对还是有欠缺。第二,在数据安全治理和分类分级防护能力行业属性差异,还是会造成“难点痛点”。第三,数据安全技术手段欠缺的是如何在整个生命周期里,针对不同环节的防护手段进行横向的拉通和纵向的贯通。第四,工业数据在发挥数据要素价值过程中,如何把握数据安全和数据共享、开放、流通之间的“杠杆”问题。
杨晓伟介绍说,2021年,我国持续完善工业信息安全领域顶层设计,全方位提升工业信息安全保障能力,为我国工业信息安全产业发展提供了新的契机和更有力的支撑:一是全面提升工业互联网信息安全要求,加强完善信息安全保障体系。二是强化工业领域数据安全管理,重点提升工业领域重点企业和大型平台企业数据安全和处置能力。三是持续加强产品、设备、网络安全管理相应的管理要求,健全网络安全产品相关漏洞管理、关键基础设施管理的相应制度。
我国工业数据安全首先从试点开始
党的二十大报告提出到2035年基本实现新型工业化,强调坚持把发展经济的着力点放在实体经济上,推进新型工业化,加快建造制造强国。据介绍,新型工业化的主要特征就是:知识化、信息化、全球化、生态化,实现工业知识的汇聚分析、网络化协同、个性化定制、服务化的延伸、数字化管理。安恒信息副总裁井柯认为,下一阶段的工业领域网络和数据安全一定是全场景化,是指在具备监管、合规、业务、数据等方面,面向监管、企业、第三方安全厂商等对象,通过安全数据聚合、安全能力编排、安全联动处置等方式所实现的以安全能力建设为导向,构建新型工业化数字安全新生态。
实际上,根据国家工业信息安全发展研究中心产业促进所研究部研判:第一,我国政策导向不断增强。国家和地方不断出台工业领域信息安全相关领域安全标准,加大产业扶持力度。第二,产业内生需求将进一步扩大。企业自身安全防护体系、防护能力不断加强,主要岗位人员防护意识不断加强,防护应用不断加强,相应的体系化布局和规划也相应加强。第三,自主可控技术和产品持续涌现。行业积极研发具有自主知识产权的产品和技术,提高了工控系统的自主可靠性,摆脱了受人控制的情况。第四,专业细分领域获得更多重视。相应的安全评估、安全培训、应急处置、安全运维、研究咨询等典型信息服务逐步深入应用于工业企业,并获得广泛认同。
李俊表示,《工业和信息化领域数据安全管理办法(试行)》自2023年1月1日起实施,工业数据安全首先从试点开始。因此,下一步的工作考虑:一是完善行业数据安全管理制度。二是健全行业数据安全标准规范。三是开展数据安全法律政策培训。四是建立数据安全风险评估机制。五是开展数据安全能力提升专项行动。六是推进数据安全产业工作。
