兩會聚焦|夯實網路安全保障基礎，護航工業生產兩化融合程式

摘要：日前，十三屆全國人大四次會議在京開幕，國務院總理李克強向大會作了政府工作報告。政府工作報告中指出，要發展工業網際網路，搭建更多共性技術研發平臺，統籌新興產業佈局，加強質量基礎設施建設，以精工細作提升中國製造品質。事實上，工業網際網路的發展，離不開工業化和資訊化的融合，“十三五”期間，我國工業化和資訊化融合步伐已經迅速推進。本文將從新時期5G、人工智慧等新一代資訊科技應用背景出發，剖析作為資訊化與工業化主體的工業企業如何在新時期防範網路安全風險，護航工業生產兩化融合程式。

一 、兩化融合程式中凸顯的網路安全風險

新一代資訊科技與工業生產的持續融合，強化了物理世界與資訊世界的聯絡，我們在享受資訊化技術帶來的工業高速發展紅利之時，也面臨著嚴峻的網路安全挑戰。

首先，兩化融合不可避免地打破了工業控制系統原本封閉的網路邊界，攻擊者能夠從管理端、生產端、消費端等多個層面發起攻擊，增大了網路攻擊的可能性，將資訊世界的網路安全威脅引入到物理世界，加劇了工業企業遭受網路攻擊造成的後果，輕則導致工業生產線當機停擺帶來經濟損失，重則導致生產安全事故帶來人員傷亡，甚至危害國家安全。

其次，大量工業智慧裝置接入控制網路，降低了針對工業控制系統的網路攻擊門檻。工業智慧裝置基於開放化與標準化的技術架構不可避免地會產生安全漏洞，通訊與計算資源不足限制了自身的網路安全功能。同時，工業智慧裝置通常分佈廣泛且多數無人值守，遭受攻擊後無法及時被發現。

再次，工業資訊的跨網融合與流動，使得工業企業的核心資料資產面臨遭受竊取、濫用或破壞的風險。工業生產資料涉及企業的智慧財產權、商業秘密，甚至有關國家經濟安全等，具有高度的敏感性，發生資料安全事件會直接或間接造成重大經濟損失。

全球範圍內工業網路安全事件層出不窮。烏克蘭和委內瑞拉電力工業控制系統故障導致的大面積停電事件，導致數以百萬計的居民家中斷電。可以看出，在工業生產中的網路安全事件雖然形式不同，但所帶來的危害都不再僅僅停留在資訊世界的“軟攻擊”，而是對物理世界的“硬摧毀”，即對人民生活安定、經濟發展、社會穩定等帶來嚴重損害。因此，工業企業在推進兩化融合程式時面對的網路空間更加複雜，網路安全問題異常嚴峻。

二、 網路安全保障體系建設

網路邊界可控性

工業控制網路邊界的延伸與擴充套件增加了參與工業生產的物件種類與數量，但得益於工業生產環節相對的穩定性與可預見性，我們能夠根據資訊系統和工業控制系統參與生產作業的流程與範圍，按照生產製造邊界、價值傳遞邊界進行劃分，以便能夠在發生網路安全威脅告警時進行有針對性的安全防控，避免威脅範圍擴大。

同時，基於數字證書、身份標識、生物特徵、動態口令等多種手段，在區域邊界設定滿足相應安全要求的技術隔離與細粒度的訪問控制措施，可有效識別工業生產各個環節每一位參與者“是誰”、“能幹什麼”，並形成動態化威脅識別能力，實現對網路邊界行為識別、確權、報警以及安全阻斷。

聯網工業智慧裝置可控性

1.裝置安全

聯網工業智慧裝置透過採用安全可信、自主可控的處理器、儲存、記憶體、作業系統，應用密碼技術、安全演算法、安全協議等措施保障自身的本質安全。當條件受限時可以採用安全補償措施，透過應用層安全加固使工業智慧裝置具有一定的網路安全防護能力。

2.接入安全

工業智慧裝置在進行網路連線時要採取准入機制，只有經過安全驗證的裝置才允許接入工業控制網路，同時能夠主動識別未知接入裝置所使用的埠、協議、服務等，研判安全風險並採取報警、隔離與阻斷措施，避免未經檢驗授權的裝置將惡意程式碼引入工業控制網路。  

資料流轉可控性

工業生產企業的資訊系統和工業控制系統歸屬於不同部門建設與使用管理，大量的工業資料分散各處，無形中產生了資料順暢流動的斷點，影響了工作效率和知識資料的真實性。為保障資料流動“自由化”過程中的安全性，發揮資料的最大價值，針對工業生產資料應採取標記用途、資料加密、訪問控制、資料脫敏等多種防護措施，覆蓋包括資料採集、傳輸、儲存、處理等全生命週期的各個環節，實現資料拿不到、看不懂、改不了、賴不掉。

（1）採集安全

依據工業資料的屬性，按照工藝流程資料、裝置資料、業務資料、使用者個人資料的分類，依照一般資料、重要資料和敏感資料三種等級將分散在工業生產環節中零碎資料進行分類分級採集。

（2）傳輸安全

在資料傳輸過程中，採用相關技術手段來保證通訊過程中資料的機密性、完整性和有效性，防止資料被竊取或篡改。

儲存安全

依據資料的類別與安全等級，透過資料加密儲存、資料完整性保護、資料防洩漏、訪問控制等安全措施保障資料儲存安全。

（4）處理安全

資料處理和應用是工業資料價值再創造的核心環節，透過對工藝流程不斷迭代進而最佳化尋找最短、最經濟的生產路徑，將工業生產的關鍵技術、流程、知識、工藝積累沉澱，為工業高質量發展提供最核心的支撐。在高價值工業資料流轉過程中採取資料防洩漏、訪問控制、完整性保護等措施，保證合法使用者對資訊和資源的有效使用。

網路安全狀態可控性

保障工業控制系統的網路安全，是推進兩化融合程式的基礎。透過檢測工業網路流量獲取通訊行為資訊，藉助深度包過濾、終端安全檢測、日誌審計等掌握工業控制網路安全狀態，並透過聚合、關聯分析可形成全域性安全態勢與威脅預警。

三、結語

兩化融合帶給工業企業的是邊界的融合、資料的融合，資訊化能夠幫助工業企業快速應對市場需求。在藉助新興技術提升效率的同時，有效保障工業網路安全，是自動化和資訊化的共同期待。今年的政府工作報告指出，將繼續推進“兩新一重”建設，實施一批交通、能源、水利等重大工程專案，建設資訊網路等新型基礎設施，發展現代物流體系。因此，工業企業做好網路安全的工作顯得更加重要，兩化融合走實向深，資料價值的驅動方能蓬勃有力。