《一、前言》

一、前言

隨著計算機和網絡技術的發展,新一代互聯網、大數據、人工智能(AI)等技術正逐步與實體經濟進行融合。基于這種發展背景,工業互聯網已成為諸多傳統發達國家、新興發展中國家搶占發展機遇、加快戰略布局的關鍵支撐 [1,2]。我國高度重視工業互聯網的安全高效發展,2021 年政府工作報告提出,發展工業互聯網,搭建更多共性技術研發平臺。與傳統工業生產相對封閉可信的環境不同,隨著工業互聯網的發展,工業制造業的工作環境也在逐步開放,傳統互聯網安全威脅向工業領域逐步滲透,導致安全問題交織、安全形勢復雜、安全風險日益加大 [3,4]。

以美國、德國等為代表的工業發達國家和一些國際知名企業已在積極推進工業互聯網安全技術從戰略布局到部署實施轉變,聚焦工業互聯網安全技術的實際應用 [5,6]。美國為推動工業互聯網安全框架在產業中的應用,發布了一系列白皮書和使用指南,指導相關企業部署工業互聯網安全防護措施。德國、日本分別推出工業 4.0 參考架構、工業價值鏈參考架構,將工業互聯網安全作為重要內容進行整體設計。以色列工業網絡安全領域的 CyberX 公司推出了工業控制系統攻擊途徑預測的安全服務。卡巴斯基實驗室發布了 2019 年工業安全威脅預測,關注工業領域面臨的網絡安全挑戰 [7]

我國工業互聯網安全技術的研究起步較晚,但跟進較快,注重完善工業互聯網安全的頂層設計,引導安全技術和產業發展。2019 年,工業和信息化部等十部委聯合印發《加強工業互聯網安全工作的指導意見》,要求針對工業互聯網安全,加強攻擊防護、漏洞挖掘、態勢感知等安全產品研發,探索利用 AI、大數據、區塊鏈等新技術提升安全防護水平。我國除依托傳統網絡安全技術進行安全技術產品功能的拓展外,著重基于新興互聯網技術,開展新一代網絡安全技術產品的研發創新。相關研究主要有:工業互聯網邊緣端點的防護技術 [8]、工業防火墻技術 [9]、工業互聯網漏洞挖掘技術 [10]、滲透測試技術 [11]、安全態勢感知技術 [12] 等;多為針對某一種技術的分析及應用研究,缺乏對工業互聯網安全技術的系統梳理和分類研究。為此,本文通過深入剖析工業互聯網安全技術發展需求,系統梳理相關發展現狀,總結分析發展趨勢、存在問題及關鍵技術攻關路徑,據此提出對策建議。

《二、工業互聯網安全技術需求分析》

二、工業互聯網安全技術需求分析

傳統的工控系統處于封閉可信環境,采用“兩層三級”的防御體系、分層分域的隔離思路,對網絡攻擊防護能力普遍不足。隨著工業互聯網的發展,工業設備逐漸智能化,相關業務上云、企業協作等不斷推進,互聯網與工業企業中的生產組件和服務深度融合,使傳統的互聯網安全威脅如病毒、木馬、高級持續性攻擊等蔓延至工業企業內部(見圖 1)。不同于傳統互聯網中的信息安全防護,工業互聯網安全需要有機融合信息安全和功能安全,還要疊加交織傳統工控安全和互聯網安全,因而更顯復雜。

《圖 1》

圖 1 傳統工控系統向工業互聯網的轉化示意圖

注:SCM 表示軟件配置管理;ERP 表示企業資源計劃;CRM 表示客戶關系管理;MES 表示制造企業生產過程執行管理系統;OPC 表示用于過程控制的對象連接與嵌入(OLE);PLC 表示可編程邏輯控制器;DCS 表示分散控制系統;SCADA 表示數據采集與監視控制系統;IT 表示信息技術;HMI 表示人機交互界面; OT 表示運營技術。

《(一)網絡攻防對抗持續升級,工業互聯網成為重點攻擊目標》

(一)網絡攻防對抗持續升級,工業互聯網成為重點攻擊目標

工業互聯網相關系統被成功攻擊的概率為 12%,遠高于電子政務系統的 1% 和通信行業的 5% [13]。隨著網絡攻防對抗的不斷升級,網絡攻擊也呈現出一些新特性:①攻擊技術復雜化,從單一攻擊向多種復雜技術結合的方式轉變;②攻擊形式定向化,以往多為獲取利益、沒有固定目標,而現在高級可持續威脅攻擊(APT)成為主要攻擊方式,攻擊多為定向、長期潛伏難以發現;③攻擊行為國家化,國家層面的網絡攻擊安全隱患加劇,針對能源、電力等重要領域的攻擊行為頻繁發生,對工業生產、居民生活、經濟社會穩定運行乃至國家安全構成直接影響 [14]

為有效應對來自外部的網絡攻擊,工業互聯網需要不斷提升技術能力來進行防御。此外,工業互聯網安全防護技術在工業企業安全防護需求的驅動下創新發展,如邊界防護采用工業防火墻、白名單機制等邊界控制技術,工業主機防護需采取融合身份鑒別與訪問控制的主機加固技術等。鑒于工業互聯網數據存在泄露安全風險,應采用數據機密、數據防泄漏等工業互聯網數據安全防護技術。

《(二)聯網工業設備和平臺的漏洞數量多、級別高,潛在威脅不容忽視》

(二)聯網工業設備和平臺的漏洞數量多、級別高,潛在威脅不容忽視

網絡互通互聯之后,原來封閉的工控系統大多存在安全脆弱性、漏洞難以修補、安全問題短期難以解決等問題。截至 2020 年 6 月 30 日,國家工業互聯網安全態勢感知與風險預警平臺(簡稱“國家平臺”)累計監測發現聯網工控設備漏洞隱患共有 946 個,其中高危漏洞有 385 個,中危漏洞有 472 個,中、高危漏洞占漏洞總數的 90.6% [13]。此外,工業互聯網平臺與企業內大量關鍵設備之間的直連也存在嚴重的漏洞隱患,且安全漏洞大多為中高危漏洞。截至 2020 年 6 月,通過對 136 個重點工業互聯網平臺進行掃描,累計共發現漏洞為 3381 個,其中高危漏洞有 133 個,中危漏洞有 2852 個,中高危漏洞占比為 88% [12](見圖 2)。

《圖 2》

圖 2 工業企業中的網絡漏洞危害等級分布

工業設備和工業互聯網平臺中存在的漏洞數量多、級別高,需采用漏洞掃描、漏洞挖掘技術及時發現潛在威脅。工業互聯網平臺或相關系統在正式投入使用前,需進行安全評測。然而,目前工業互聯網資產眾多且不明晰、安全風險不可知;建設工業互聯網安全態勢感知平臺之后才能實現工業互聯網安全風險的可視、可知、可感。因此,在企業安全合規和政府監管需求的驅動下,亟需大力發展工業互聯網安全評測和監測技術。

《(三)工業互聯網安全架構改變與新技術應用不斷引入新的安全風險》

(三)工業互聯網安全架構改變與新技術應用不斷引入新的安全風險

關鍵工業設備入網、企業平臺云端化等措施使得安全風險的傳導與延展進一步加速,原有網絡安全邊界瓦解,傳統安全防護措施失效,遭受網絡攻擊的范圍由邊界向核心不斷擴大。標識解析體系面臨分布式拒絕服務攻擊(DDoS)、域名劫持等風險,而且不同標識體系如 Handle、OID、Ecode、GS1 等在兼容過程中也引入了新的安全風險。第五代移動通信(5G)、互聯網協議第六版(IPv6)等新技術在工業互聯網中的普及應用,也帶來了更多的網絡安全挑戰。

隨著信息通信技術(ICT)、AI、區塊鏈的不斷發展,IT 架構出現了顛覆性變革,為工業互聯網安全技術提供了底層技術支撐。例如,密碼技術經歷了古典密碼、近代密碼、現代密碼的發展歷程,未來將面臨由大數據、區塊鏈等新技術、新業務發展帶來的重大挑戰。安全技術自身發展到一定階段,面對新的應用環境和需求,將不斷追求技術瓶頸突破,進一步與新技術融合發展。

針對設備、控制、網絡、應用、數據等不同的工業互聯網防護對象,應分別采取相應的安全技術措施,對技術進行分類,形成工業互聯網安全技術視圖(見圖 3),主要分為底層技術、安全防護技術、安全評測技術、安全監測技術 4 類。①底層技術包括密碼算法、AI、區塊鏈等技術,通過提供基礎技術手段,為工業互聯網安全防護、安全評測、安全監測提供技術支撐。②工業互聯網安全防護技術是對工業互聯網各層級部署邊界控制、身份鑒別與訪問控制等的技術措施,覆蓋工業互聯網安全體系架構 4 個層級的五大安全防護對象(設備、控制、網絡、應用、數據),是工業互聯網安全技術的核心。③工業互聯網安全評測技術主要對工業設備和系統進行漏洞掃描、漏洞挖掘、滲透測試、上線測試等。④工業互聯網安全監測技術主要對工業互聯網防護對象采取資產安全管理、安全監測與審計、態勢感知等技術措施。

《圖 3》

圖 3 工業互聯網安全技術視圖

《三、工業互聯網安全技術發展現狀》

三、工業互聯網安全技術發展現狀

《(一)工業互聯網安全防護技術》

(一)工業互聯網安全防護技術

工業互聯網安全防護技術是以攻防對抗為核心的基礎技術,主要包括白名單技術、網絡邊界防護、工業主機安全防護等關鍵技術 [15]

1. 安全機制

工業互聯網涉及工業生產的重要環節,對系統可用性和實時性要求高。原有的工控網絡相對封閉,工控設備缺乏靈活的安全策略,無法保證接入工業互聯網中的設備和運行軟件安全可信。在傳統 IT 網絡中,安全機制一般采取黑名單技術,可以有效阻止已知威脅,但不能阻止未知攻擊行為。在傳統工控系統中,工業業務流程相對固定,不需要頻繁升級,采取白名單技術允許信任且正確的內容通過;如果信任內容發生變化,則重新調整安全策略。在工業互聯網中,可采取以白名單技術為主、以黑名單技術為輔的安全防護機制。這是因為工業控制工藝流程、業務等相對固定,且對可用性和實時性的安全需求高,白名單技術更加適用,同時在開放網絡中引入黑名單技術進行輔助防護。

2. 邊界防護

傳統工控系統發展到網絡互通互聯的工業互聯網階段,OT 與 IT 不斷融合,OT 網絡不再封閉可信,涉及多種網絡邊界。在傳統 IT 網絡中,通常采用 IT 防火墻技術進行邊界防護,但傳統 IT 防火墻技術不支持 OPC 協議(用于過程控制的 OLE)的任何解析;為確保 OPC 客戶端可以正常連接 OPC 服務器,防火墻需要配置全部端口可訪問,使生產控制網暴露在攻擊者面前。在工控網絡邊界部署的工業防火墻,可以對 OPC 協議進行深度解析,跟蹤 OPC 連接建立的動態端口并對傳輸指令進行實時監測。因此,工業互聯網邊界防護需要針對不同網絡邊界的防護情況部署不同的防火墻。為適應工業環境下的部署要求,支持常見工業協議的深度解析,邊界防護產品應具有高可靠性和低時延。

3. 工業主機防護

工業主機是工業互聯網安全事件的突破口、眾多工業病毒的傳播載體。由于工業組態軟件等的穩定性要求高,工業主機若未及時更新系統補丁,將無法獲得全面的安全防護。在互聯網中,傳統 IT 主機通常采用防病毒技術,通過接入互聯網進行病毒庫升級;“云”查殺技術逐步推廣,新病毒發現和查殺的效率不斷提高,但需要實時更新升級病毒庫。在工業互聯網中,工業主機可以采取基于關閉無關端口、進行最小權限的賬號認證、設置強制訪問控制等措施的主機加固技術,提高主機操作系統的安全性。因此,以主機加固技術為基礎,以防病毒技術為重要補充手段,綜合利用防護技術來提高工業主機的安全防護水平。

《(二)工業互聯網安全評測技術》

(二)工業互聯網安全評測技術

工業互聯網安全評測技術指采取技術手段對工業互聯網安全防護對象進行測試和評價,了解其安全狀態;主要包括漏洞挖掘、滲透測試等技術。

1. 漏洞挖掘

隨著工控系統開放性的逐步提高,利用漏洞、后門等攻擊行為和竊密方式成為工業互聯網安全面臨的巨大威脅。傳統 IT 系統漏洞主要包括惡意軟件、密碼攻擊、拒絕服務等,而工控系統漏洞不同于傳統 IT 系統漏洞,具體原因為:①大部分工控系統來自國外進口,相關系統的運營維護無法實現自主可控;②工控系統漏洞來源范圍廣,涵蓋網絡安全中的安全計算環境漏洞、控制協議自身漏洞、應用系統漏洞、PLC 等控制器的自身漏洞與后門等;③工控系統相對封閉,系統通信協議相對私有,難以深度研究其通信協議和安全特性。因此,工業互聯網中的漏洞挖掘技術,需對工控系統網絡特性、生產過程控制及其控制協議進行分析,采取有針對性的模糊測試技術 [16]。在工業互聯網中,需采用 IT 和 OT 融合環境下的漏洞挖掘思維,運用多種組合且深度融合的漏洞挖掘技術。

2. 滲透測試

滲透測試通過模擬來自網絡外部的惡意攻擊者常用的攻擊手段和方法,檢測并評估工業互聯網的網絡系統安全性。工業互聯網中的滲透測試技術,要以工控系統中滲透測試的實際需求為出發點,輔以滲透測試執行標準(PTES)、《信息安全測試評估技術指南》(NIST SP800-115)、開源安全測試方法(OSSTMM)、《開放式網頁應用程序安全項目測試指南》(OWASP Test Guide)等滲透測試和安全測試流程指南,完成對工控系統滲透測試的檢測與分析,提取關鍵流程、步驟、技術。工業互聯網安全滲透測試并不是將多種滲透測試安全工具進行拼裝應用,而是將多種滲透工具高度融合后進行使用。

《(三)工業互聯網安全監測技術》

(三)工業互聯網安全監測技術

工業互聯網安全監測技術通過技術手段實現對安全威脅的發現識別、理解分析、響應處置,主要包括安全監測審計、安全態勢感知等關鍵技術。工業互聯網的設備資產和軟件系統眾多,生產人員的管理運維工作復雜且繁重,相關設備和平臺存在安全漏洞多、安全威脅難以掌握、易受網絡攻擊等問題。工業互聯網安全態勢感知技術在網絡空間搜索引擎的基礎上,添加工業控制系統及設備的資產特征,利用軟件代碼的形式模擬常見的工業控制系統服務或工控專用協議(如 Modbus、Profinet、FINS 等),利用深度包檢測(DPI)技術,對網絡及應用層協議(如工控專用協議、通用協議等)進行逐層解析與還原工作,最終完成訪問日志合成、工控設備資產檢測、工控漏洞及安全事件識別等安全檢測工作 [17]。后續,工業互聯網安全態勢感知技術在傳統在線監測、蜜罐仿真、網絡流量分析技術的基礎上,加強對工業互聯網協議與設備的識別能力,構建對工業互聯網安全事件監測預警、處置溯源、安全態勢分析等能力。

《四、工業互聯網安全技術發展趨勢》

四、工業互聯網安全技術發展趨勢

《(一)工業互聯網安全架構從邊界安全向零信任安全方向發展》

(一)工業互聯網安全架構從邊界安全向零信任安全方向發展

傳統的工廠網絡邊界安全架構默認邊界內部是安全的,防火墻、殺毒軟件、入侵檢測系統(IDS)、數據泄露防護系統(DLP)等邊界設備作用在物理邊界上,根據在邊界上的行為開展防護和監視。隨著工業互聯網在計算能力下沉、業務上云等方面的不斷發展,工業互聯網安全邊界發生改變,需要重構網絡安全架構(見圖 4)。后續,工業互聯網安全架構著重構建以身份為基石,以業務安全訪問、持續信任評估、動態訪問控制為主要關鍵能力的“云管邊端”一體化零信任安全架構。

《圖 4》

圖 4 工業互聯網安全邊界的變化

《(二)工業互聯網安全防護理念從被動防護向主動前瞻防護轉變》

(二)工業互聯網安全防護理念從被動防護向主動前瞻防護轉變

工控系統雖已設置了相關安全設備來提升系統安全性,但網絡攻擊手段不斷增多,被動防御存在一定的局限性。主動防御可以在惡意入侵行為對工業互聯網中信息系統產生影響之前來避免、降低或轉移風險,體現一對多防御特征;結合主動探測、流量分析、被動誘捕等技術,可以支持工業互聯網的安全態勢感知和風險預警,最終實現從被動安全防護向主動防御轉變。

《(三)工業互聯網安全技術從傳統分析向智能感知發展》

(三)工業互聯網安全技術從傳統分析向智能感知發展

在發展初期,態勢感知技術主要通過采集和分析海量安全數據,發現其中有價值的信息,匯總成易于理解的報告和圖表,從而明確可能會對系統安全造成威脅的漏洞 [18]。當前,安全技術與大數據、 AI 技術不斷融合,增強了系統的安全檢測和分析能力,推動了安全態勢感知的發展,主要表現在 APT 截獲、威脅感知、威脅情報共享等。工業互聯網安全技術朝著智能感知方向發展,開展基于邏輯和知識的推理,從已知威脅推演未知威脅,實現對安全威脅事件的預測和判斷。未來借助 AI、大數據分析等新興技術,不斷提升安全風險精確預警與準確處置的水平,實現網絡攻擊和重大網絡威脅的可知化、可視化、可控化。

《五、工業互聯網安全技術難點及面臨的挑戰》

五、工業互聯網安全技術難點及面臨的挑戰

《(一)工業互聯網安全技術難點》

(一)工業互聯網安全技術難點

整體來看,目前我國工業互聯網安全技術的發展處于在傳統網絡安全技術基礎上加以改進和融合的階段,存在的技術難點有:①工業協議復雜多樣,深度解析難度大;工業安全防護產品在深度感知工業互聯網業務流量、深度解析流量中的工業協議的基礎上,才能實現對工業協議指令級別和值域級別的安全防護。②行業壁壘明顯,難以形成覆蓋面廣的安全模型;工業行業領域眾多,甚至同一行業的業務也會千差萬別,工業互聯網安全技術產品要與具體工業場景緊密結合,必要時需進行定制化開發。③針對 5G 等新技術的安全技術儲備不足,存在利用 5G 相關協議、終端漏洞控制工業互聯網終端和工廠等風險。

《(二)工業互聯網安全技術面臨的挑戰》

(二)工業互聯網安全技術面臨的挑戰

工業互聯網的深入應用,增加了工業企業聯網設備遭受網絡攻擊、病毒傳播的安全風險;加之部分企業安全意識薄弱、防護水平普遍較低、安全產業支撐能力不足等客觀因素,工業互聯網安全技術面臨諸多挑戰。①工業企業安全意識不足,對工業互聯網安全的投入不充分;普遍重發展、輕安全,只關注對傳統生產系統、制造模式的升級改造,而對網絡安全風險認識不足,安全投入低;較少整體考慮建設IT與OT安全,多為分開建設,不利于工業互聯網安全防護。②工業互聯網安全產業在工業互聯網核心產業中占比較低,存量規模雖由 2017 年的 13.4 億元增長至 2019 年的 27.2 億元(年復合增長率為 42.3%),但在工業互聯網核心產業中的占比僅為 0.5% [19];同時缺乏龍頭企業引領,相關產品和服務較為松散,多以邊界和終端安全防護為主。③安全復合人才緊缺,不足以支撐以工業和信息化深度融合為特征的工業互聯網發展需求;這些安全人才不僅要掌握網絡安全專業知識,還要熟悉工廠環境的應用場景,相應人才缺口較大。

《六、工業互聯網安全關鍵技術攻關路徑》

六、工業互聯網安全關鍵技術攻關路徑

工業互聯網安全關鍵技術主要由工控核心安全技術、在工業領域應用的互聯網安全核心技術兩部分構成,具體包括密碼技術、安全編排與自動化響應(SOAR)技術、工業高交互仿真技術等。

《(一)應用密碼技術》

(一)應用密碼技術

在工業互聯網領域,國外密碼技術起步早、應用廣、成本低。國內密碼技術起步較晚,部分工業產品盡管預先集成了國外密碼算法(如更換密碼技術),但存在更換成本高、市場接受周期長等問題。為此,國內信息安全企業提出了基于國產密碼技術的工業互聯網安全解決方案,即通過使用 SM9 國產密碼算法,實現工業終端數據、云端服務器數據的加密傳輸和存儲;建設相應的工業信息安全密碼支撐系統,為工業互聯網平臺提供安全可靠的網絡環境、數據加密服務的整體解決方案。針對工業互聯網標識解析體系的身份認證、敏感數據保護、隱私保護等應用需求,研究攻關基于 SM9/SM2 算法的密碼模塊、數字簽名、隱私數據脫敏等技術,構建基于數字認證、基于身份標識的密碼系統(IBC)、無證書技術等體制融合的工業互聯網標識解析安全體系。

《(二)應用 SOAR 技術》

(二)應用 SOAR 技術

SOAR 是人員、流程、技術融合的智能協作系統,核心是實現跨產品、跨組件的安全能力編排,縮短安全事件響應時間,提高安全事件響應的準確率。SOAR 技術在工業領域面向異構企業、異構安全設備,構建統一化、標準化的安全接口體系,打破各個安全企業安全設備的孤島形態,建立可信任的安全聯動體系。

國外已在工業安全領域實際應用了 SOAR 技術,如西門子股份公司實現了不同業務場景的安全策略定制、不同安全需求及業務的安全策略選擇和部署,以色列 Cyberbit 公司的 SOAR 產品也在工控安全領域得到應用。目前,我國以制造業為代表的各大企業雖已部署相關安全設備,但沒有統一、標準的安全接口,無法整合設備和產品的安全能力以實施自動化的響應和處置。因此,亟需應用 SOAR 技術,通過各類安全能力的協同,為網絡安全領域的一體化響應奠定基礎。

《(三)應用工業高交互仿真技術》

(三)應用工業高交互仿真技術

工業高交互仿真技術指對工業互聯網主機、控制及邊緣設備、工業協議、工業互聯網平臺、相關業務和應用進行高交互虛擬仿真;提供更真實的攻擊系統,采集和分析攻擊數據,準確掌握工業互聯網攻擊行為特征,為開展安全防護工作提供決策支撐。國外在工業互聯網設備和協議仿真方面已有相關成熟產品的部署應用,如 CryPLH、Xpot 等高交互工控蜜罐,支持監管部門有效掌握威脅情報信息。我國相關技術處于研發和產品試點應用階段,但成熟產品仍為空白。

工業互聯網設備參與的協議種類繁多、技術性壁壘強,如設備多采用無線協議進行通信而難以進行高交互仿真。工業高交互仿真技術的核心在于支持 Modbus、Dnp3、Siemens S7 等多種工控協議以及 SCADA、DCS、PLC 等工控設備的高交互模擬能力;相對全面地捕獲攻擊者的訪問流量,分析取證攻擊行為,為工業互聯網安全事件的預警、預測提供數據支撐。

《七、對策建議》

七、對策建議

《(一)結合工業特點及場景,開展定制化服務》

(一)結合工業特點及場景,開展定制化服務

工業互聯網安全技術應結合工業場景特點,借鑒傳統互聯網安全技術的相關方法,定制適合工業互聯網防護對象的安全技術。建議實行工業協議指令級防護,部署于企業管理網和生產控制網邊界處的指令級工業防火墻;深度解析 OPC 協議并拓展至指令級別,跟蹤 OPC 服務器和 OPC 客戶端之間協商的動態端口;最小化開放生產控制網的端口,提升基于 OPC 協議的工業控制系統的網絡安全。針對不同行業和工業場景,定制適合的安全技術。例如,電力行業安全技術的部署遵循“安全分區、網絡專用、橫向隔離、縱向認證”的總體原則;在石油煉化工業控制系統中對網絡邊界、區域、主機等進行安全防護,提升生產網防攻擊、抗干擾能力,保護生產系統的安全、穩定運行。

《(二)不斷融合新技術,實現主動防御》

(二)不斷融合新技術,實現主動防御

區塊鏈、AI、大數據、可信計算等技術的發展,為工業互聯網安全助力賦能,在發現高級威脅、檢測惡意文件、判定惡意家族、監測加密攻擊、主動發現威脅、輔助快速調查,保障工業互聯網安全等方面具有潛在優勢。工業互聯網安全技術應與這些新技術進行有機融合,定制適用的安全策略。建議快速發展基于技術大數據的工業互聯網安全態勢感知技術,通過海量工業數據檢索、日志采集、流量分析、自動定位、可視回溯等環節實現工業互聯網安全態勢感知;利用 AI 等技術智能化、自動化地發現高級威脅和潛在安全問題,保障工業互聯網安全。

《(三)打造內生安全能力,助力工業互聯網安全建設》

(三)打造內生安全能力,助力工業互聯網安全建設

傳統局部與外掛的安全防護能力已不能滿足安全需求,亟需提升工業互聯網的內生安全能力,實現網絡安全能力和工業信息化環境的融合。建議在工業互聯網系統規劃、建設、運維的過程中考慮安全能力的同步建設;網絡安全企業與系統設備提供商、工業龍頭企業強強聯合,打造具備內嵌安全功能的設備產品,更好實現工業生產系統和安全系統的聚合;企業結合業務特性,立足自身安全需求開展安全能力建設,實現工業互聯網安全的自適應與自成長,動態提升工業互聯網安全能力。