新基建背景下工业互联网安全形势与发展对策

工业互联网作为国家“新基建”战略的重点领域之一，是新一代信息技术与工业经济深度融合的全新经济生态、关键基础设施和新型应用模式，主要包括网络、平台及安全三大部分。其中，安全作为工业互联网的发展前提和保障，事关经济发展、社会稳定和国家安全。

工业互联网安全形势

一是工业互联网安全事件影响巨大，对工业企业造成严重影响。具体包括破坏设备运行、工厂停产、熔炉爆炸、工序异常、企业生产次品增加等。例如，阿塞拜疆政府和能源部门遭受黑客攻击，恶意代码旨在感染广泛用于能源和制造业的监督控制和数据采集（SCADA）系统，涉及一种前所未见的远程访问木马（RAT），黑客可窃取足够的信息、凭据和重要文件等。

二是勒索软件在工业互联网领域的攻击行为猖獗，成黑客主要营利方式之一。主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。可能导致PLC等工业控制主机/终端无法正常进行数据交互，从而影响企业生产经营造成停产事件，并且勒索病毒在没有安全防护的工业网络中，也极易通过互通的内网在站与站之间、供应链上游与下游之间造成大面积传播，尤其在石油、电力、智能制造等关键信息基础设施领域爆发明显。

三是智能汽车领域成网络攻击重灾区，造成大量用户数据和个人隐私泄露。作为车联网的重要代表，智能汽车与人们的日常生活紧密相关，随着智能化和网联化的不断深入，针对车联网系统的安全威胁事件日益剧增，一旦发生安全事件，将会威胁人身安全、财产安全，乃至国家经济安全。

四是工业互联网设备成黑客瞄准的主要对象，频频遭受网络安全攻击。近年来，越来越多工业控制系统和关键基础设施成了网络攻击的受害者，安全形势严峻，全球工业互联网设备安全漏洞呈现连年高发的态势。

五是在新冠肺炎疫情影响下，针对医疗卫生领域的网络攻击初现。自新冠肺炎疫情爆发以来，针对参与新冠肺炎疫情响应相关的医疗组织和基础设施的勒索软件攻击数量大大增加。网络犯罪分子通过使用勒索软件攻击医院和医疗服务系统，达到获取数据或者勒索赎金的目的。

六是工业互联网安全得到前所未有的重视，安全企业通过融资或与工业企业合作的方式强化安全保障。伴随着近年来网络安全风险的攀升，国内工业企业对于网络安全的需求也呈现出爆发式增长，安全企业为了更好地拓展工业互联网安全业务，积极通过融资的模式扩大规模，进一步强化安全技术产品研发和安全服务输出。

我国工业互联网安全发展对策

近年来，我国工业互联网安全保障体系建设虽已取得了一定的成效，但鉴于全球工业互联网安全事件频发，形势严峻复杂，依然需敲响警钟，引起高度重视。政产学研用各方需凝聚共识，形成工作合力，共同为工业互联网安全保障体系建设贡献力量。

一是提升行业企业工业互联网安全防护意识。鉴于近期工业互联网安全事件的发生对工业企业、制造企业等造成了不同程度的安全损失，轻则无法登录企业内网进行正常的办公，重则导致企业重要信息系统遭破坏，敏感信息大量外泄，从一定程度上足以说明企业工业互联网安全防护意识薄弱，安全防护体系不足以应对常见的网络安全攻击。因此，国家应加紧制定并完善工业互联网安全相关法规政策，加强对工业互联网相关企业的安全监管力度，并督促企业全面落实工业互联网安全防护主体责任，加大在安全方面的投入力度，鼓励企业通过开展内部培训等方式带动员工不断提升工业互联网安全防护意识。

二是加强行业企业工业互联网安全防护水平。通过以上频繁发生的工业互联网安全事件，不难发现很多工业互联网相关企业自身安全防护体系建设仍存在薄弱环节，黑客能够轻易入侵企业的重要系统和关键设备，并窃取企业相关运营数据，足以说明工业互联网相关企业在安全防护体系建设方面还任重道远。此外，还缺少专业机构、网络安全企业、网络安全产品服务的信息渠道和有效支持，工业企业风险发现、应急处置等网络安全防护能力普遍较弱。因此，国家层面应加大力度，督促企业落实工业互联网安全主体责任，设立网络安全责任部门和责任人。企业层面应结合自身实际情况，建设企业级工业互联网安全监测平台，及时发现安全隐患和安全事件，并上报至国家级平台，实现安全信息共享，最大程度降低安全损失。此外，还应加大在安全方面的投入，通过与安全企业合作等模式提高企业安全防护水平，增强抵御网络安全攻击的能力。

三是政产学研用各方共同推动工业互联网安全人才培育。伴随工业互联网在各领域各行业的落地深耕，安全保障工作重要性凸显，而安全人才又是做好工业互联网安全工作的灵魂所在。但目前，工业领域实践型和复合型安全人才大量短缺，不难发现，现有网络安全人才水平还不足以满足工业互联网发展的迫切需求。因此，工业互联网安全人才培育工作亟须提速，而安全人才培育工作需要政产学研用各方的共同努力，持续培养工业互联网安全战略人才、安全管理人才、安全技术人才，为工业互联网健康有序发展提供基本保障。具体包括高等院校、专业机构和安全企业可通过建立联合培养机制的方式，加快培养工业互联网安全复合型人才；持续开展工业互联网安全攻防演练、工业互联网安全技术技能大赛、工业互联网安全实操培训等，选拔和培养工业互联网安全实践型人才。（刘晓曼）

声明：本文来自保密科学技术，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。