更多资讯可登录运营商世界网(telworld.com.cn),也可关注微信公众号tel_world
9月25日,2018中国信息通信业发展高层论坛在北京正式召开,会上,工信部网络安全管理局、网络与数据安全处袁春阳副处长针对工业互联网安全进行了深入探讨。
以下为袁春阳副处长讲话实录:
大家下午好!刚才武秘书长也做了非常精彩的报告,我也从安全的角度来阐释一下工业互联网安全的情况,给大家做一个汇报。从职责上来讲工信部网络安全管理局主要有几块工作,一是确保网络基础设施安全的防护作用,这也是跟咱们运营商做的检查等等这些。二是网络安全产业目前正在跟北京市也在签了协议,推动网络安全产业园等等的一些工作。三是重点的还有工业互联网安全,今天重点也是从工业互联网的安全角度,给大家做一个报告。
主要的内容先简单的说一下工业互联网总体发展的现状。因为刚刚武秘书讲了,后面还有王总要介绍整个工业互联网,我重点是从工业互联网的特性以及我们在工业互联网安全方面已经开展的工作和下一步的计划、安排,给大家讲一讲。
目前工业互联网虽然它的创新发展与新工业革命正在处于一个历史的交汇期,现在消费领域网络发展非常迅猛,成立了阿里巴巴等一些巨型企业,现在互联网业从消费领域逐步向生产领域快速延伸,工业经济由数字化向网络化、智能化深度拓展,工业互联网就是在这个背景下产生的,而且它也是作为新一代网络信息技术与制造业深度融合的产物应运而生。它不仅仅是互联网在工业领域的应用,更是互联网的演进和发展的一种新的阶段。当然了,与传统的互联网相比它也有自己的一些特点,包括从连接对象上原来是互联网连接的主要是人,满足人与人之间的信息通信,而工业互联网面向的对象更多,包括机器、车间、企业等等。而且从网络性能上,也是对网络性能也要求的更高。
党中央、国务院在去年发布了《关于深化互联网+先进制造业发展工业工业互联网的指导意见》,这个也是咱们国家工业互联网发展的一个纲领性的文件。实际上工业互联网对推进网络强国和制造强国的建设具有非常重要的意义。首先工业互联网是推进制造强国的重要引擎,习近平总书记也在党的十九大报告中强调,必须把发展经济的着力点放在实体经济上,而制造业是就是作为实体经济的主体。工业互联网实际上就融合了信息产业以及工业制造企业,它是一个融合的领域。
第二它也是建设网络强国的重要阵地,前面武秘书也讲了,实际上就是将我们传统的互联网向工业领域进行拓展,在连接实体的数量上,包括计算上都会呈指数级的增长,把网络空间进一步进行扩展和外延。同时,工业互联网它也是推动工业转型升级的主要抓手,也是希望通过工业互联网将实现企业跨领域、跨产业的广泛的互联互通,打破原来的信息孤岛,实现开放融通的发展,促进传统的工业制造体系和服务体系的再造,全面提升工业经济发展的质量和效益。
现在各个国家都在发展工业互联网,这个是大家可以从图上看到,像美国也一直在做,而且像欧洲其他我这些国家他们发展的速度也是非常的迅猛。正是现在目前是一个关键机遇期,当前工业互联网发展总体现状,首先在国家高度重视这一项工作,发了国务院的指导意见。工信部作为总体的牵头单位,也是在顶层设计上也不断地进行完善,印发了工业互联网发展的三年行动计划,就是2018-2020年,包括工业互联网专项工作组2018年工作计划,这个工作组也是我们跟相关的以及重要的一些单位,还有国家的一些知名的专家形成的专项工作组,专项工作组里边也明确提出了2018年整个工业互联网的一些工作计划,这个在我们部的网站上都有。
组织保障体系也是逐步健全,刚才提到成立了专项组,这个专项组主要是由苗圩任副组长,而且财政、发改、科技都在这个专项工作组里面。
另外我们也是今年积极推进了专项工作的顺利实施,开展工业互联网创新发展工程,这个项目也是在今年5、6月份的时候发布,有很多企业进行申请,国家设立了一笔专项经费,经费接近30亿,最后申请了有26个亿。通过这个我们也选出了91个项目来重点支持。明年我们还会再次选出一些项目,在后面我还会简单介绍。
三大体系也在加速创新发展,包括网络体系、平台体系、安全体系,这个就是在指导意见里面明确的三个体系,网络体系方面我们也在积极的建设工业互联网,二是平台体系,推进国家顶级节点的建设,有的同事也在知道,现在是五个节点。同时在安全体系方面我重点会介绍一下我们现在做的一些工作。
在工业互联网安全方面实际上从我们目前看到的情况,原来的工厂都是相对封闭的,不跟互联网相连的。目前工业互联网实际上就已经把工业网络和传统互联网进行了打通,这样工业互联网面临了来自于互联网的外部威胁,通过这个通道,一些黑客的攻击手段,也可以攻击到工厂内。
现在的安全风险我们认为还是非常严峻的,主要是体现的六个方面:一是攻击路径增多。大家做信息通信业的都很了解现在攻击的威胁非常泛滥,从网外可以攻击,哪怕内网现在也是有办法攻击的,通过U盘等等一些介质,也可以完全攻击到内网网络里面去。二是标识解析系统安全,标识解析体系实际上就相当于我们在互联网上的域名系统,而且这个体系也会做到DDOS、缓存感染、系统劫持等攻击威胁。三是网络安全,我们大力推动的IPV6、5G,本身在推动的过程中自身也会有一些安全风险,这些都需要进行考虑和全盘勾划。四是平台安全,以后大量的数据,大量的操作都需要依托平台,包括用户的入口、平台也是重要的依托。我们现在都知道在网上你有一个网站,或者某某系统都会有各种各样的黑客攻击,更不要说这些工业互联网,因为它可能会承载更多更有价值的信息。五是数据安全问题,现在大家都意识到数据的价值,包括我们调研的企业,比如一个做化工的,他的配方就是最重要的资产,配方就是数据,这是面临一系列的风险,甚至还有一些跨境数据流动的,因为咱们的企业现在对外开放比较多,一些数据要对外进行开放,要进行共享,这种跨境的数据流动是如何来进行评估,如何来进行处理,因为现在国家包括网信办在牵头出台数据跨境的评估办法,以后这类的数据我们怎么来进行评估?是否可以让它出境?这都是安全需要考虑的问题。六是工业控制系统与设备安全,实际上就到端了,云管端,到端这一块也有很多的安全隐患,例如说原来的一些设备在工业控制上提倡的是高可靠性、实时性,这样对安全考虑的比较少。一旦上了安全的防护措施肯定会对它的一些性能,它的时延都会造成一定的影响,包括它的操作方便性,这就是一个矛盾,这都需要共同来解决。如果你不把设备或者是控制系统的安全做好的话,有可能会出现生产事故,比如说核电站这些,还有其他方面的一些安全隐患。
目前我们也可以看看工业互联网安全的现状,从我们国家来讲整个工业互联网正在处于一个起步阶段,而且我们的管理体系,包括企业自身的防护能力也都显得比较弱,安全技术手段需要加强,产业支撑都不足。在管理体系方面现在我们也在积极构建,因为现在整个工业互联网在发展的过程中会跟安全生产有一些关联,通过网上进来之后产生了安全生产事故,私了人,爆炸了,这个生产的责任是谁的,谁来承担主要责任?包括现在责任义务也不是很明确,一些标准体系还没有健全,因为这里面涉及到大量的跟生产,跟企业交互的标准,接口标准、设备支撑标准、控制协议标准等等,另外一些企业安全意识淡薄。客观上来讲安全问题,用户口令、身份认证、通信加密等等都没有,中小企业缺乏配套资金及人力。甚至有的像汽车制造的就可以直接接入到他的网络里面,直接控制他生产制造的机器人,可以任意改变他生产的操作模式。另外科研这块相对来说投入比较少,国家手段比较缺失,美国建立了一些实验室,包括德国的,而我们国家在这块实际上还在一个起步阶段,特别是在国家级的手段方面还是比较弱。另外在技术产业支撑能力方面,因为大家也都知道,大量的特别是涉及到工厂内的制造这块,主要的核心的一些设备,协议,主要还是得由国外制造生产,我们现在真正高端产业生态还没有形成。
下面汇报一下我们当前工作的进展,一是抓顶层,加快推进工业互联网安全保障体系建设。信通院等等一些专业机构的支撑下我们也是梳理了工业互联网它的体系架构,包括它的安全框架,从网络、数据、平台、控制、应用等五个方面提出了一些安全框架的标准,包括如何来进行防护、感知,发生事件之后如何能进行应急处置,从不同的维度提出了框架。
我们把这些内容也吸收到了文件政策中,正在组织制定的工业互联网安全标准的指导性文件,这个文件有望于今年年底会印发,过两天我们就会上会进行讨论,而且在这个文件里会规定相应的责任,谁来负主体责任。企业负主体责任,政府监督管理,包括企业从哪些层面上加强安全防护,包括建设哪些手段,都会在这个指导意见里进行明确。同时我们也同步开展了责任体系以及对企业分级分类的研究,现在据我们初步规范,中国大大小小的工业企业有两千多万家,有不同的行业,不同的领域非常复杂,对于这些企业他的网络安全如何进行管理,就需要按照分级分类的思路抓住重点。同时我们目前也在加快构建工业互联网安全标准体系,推动重点标准的研制,目前已经研制出来一个工业互联网标准体系框架,这个标准也是通过产业联盟进行了调研,包括宣贯,我们也希望近期能够印发。还有开展了工业互联网的安全检查,今年上半年我们检查了有26个工业企业,涉及到30多个系统,目前光查出来的漏洞就两千多个,这还不包括体系等等。两千多个基本都是技术漏洞,包括一些弱口令,包括一些能够被很容易控制的系统级的漏洞,这里面都有。
在建设手段方面我们也是在推动相关手段的建设,包括通过工业互联网安全项目,今年组织2018年工业转型升级方面,这些项目也是在构建国家级的、省级的、企业级的安全防护手段,项目涉及到国家资金6个多个,当然还有企业配套的,加起来大概有十几个亿,这是今年的投入。
强产业方面我们也是积极促进安全产业的发展,启动工业互联网安全试点示范工作,这里有两个试点示范,一个就是说我们在原来的电信和互联网行业网络安全试点示范的基础上今年把内容进行扩展,变成整个面向所有网络安全技术的试点示范,这个也希望大家积极的申报。还有编制一个指南,下一步上部长会,通过之后就会正式印发,今年下半年开展遴选,当然这个试点示范是没有经费的。前面我说的那个项目是有钱的。另外我们也在跟北京市联合共建网络安全产业园,初步想在海淀和通州这两个地方,也是邀请了一些企业入园入驻,而且也会提供一些政策支持,如果有意向也希望大家踊跃报名。
另外在育人才方面加强工业互联网安全宣传和人才培育选拔,开展护网杯的报名阶段,下个月开展追中的初赛和选拔赛。另外指导工业互联网产业联盟开展一些论坛等等,包括千百万人才创新大讲堂,长三角工业互联网峰会。
下一步的工作安排,第一还是进一步加快完善安全顶层设计,尽快出台工业互联网安全工作指导性文件,推动工业互联网安全标准体系建设指南。在建设安全技术保障能力方面也是推进建设国家级平台、安全基础资源库和安全测试验证环境。另外编制2019年工业互联网创新发展工程项目申报指南,如果大家有兴趣的话可以跟我们沟通,可能明年才能跟财政部沟通才能要经费,但是今年我们做项目储备,提前把项目做好项目库,以备明年的申报。强化数据安全保护,建立工业互联网全产业链安全管理体系,建立工业数据分级分类管理。
在推动工业互联网产业发展方面尽快组织工业互联网试点示范,推广工业互联网相关的产品解决方案和最佳实践,同时依托产业园,整合行业优势,推动技术创新形成工业互联网安全的市场服务能力。包括前面说到的推动市场的技术手段建设,我们也在推动像工业互联网、公共服务平台的建设,就是为广大中小企业提供一个安全的服务平台,他们上来之后就可以为他提供一些基本的安全服务,这样解决很多中小企业受制于成本的问题。同时还促进安全人才的培养,包括进一步组织论坛、宣传,开展攻防竞赛,包括打造人才库,资源库。
我的报告就到这里,谢谢大家!
运营商世界网(官方微信公众号tel_world)—— TMT行业知名新锐媒体,一家专注通信、互联网、家电、手机、数码的原创资讯网站。
