当前，互联网技术逐渐同实业领域进行融合，并以其独特的理念影响着实体经济的发展，工业互联网作为互联网技术应用在工业场景融合发展的产物，是国家实体经济的能够蓬勃发展的新催化剂。近日工业和信息化部更是发布了《关于推动工业互联网加快发展的通知》，更是体现了国家要加快工业互联网发展的需求。为深入推进“供给侧”结构调整，近年来工业互联网产业迅速发展，在党中央的领导下，各相关部门协同推进，工业互联网相关标准体系逐步建立健全，产业生态环境逐步完善，国内传统工业企业更是孵化出了一批优秀的工业互联网平台企业，为我国经济稳定高效的发展提供了强有力的支持。

工业互联网在工业领域内绝大多数行业中发挥着至关重要的作用是国家关键信息基础设施的重要组成部分，在保证其业务稳定、持续运行的情况下，其安全工作也需要严格落实“三同步”原则。近两年来，在工业和信息化部的指导下，国家工业信息安全发展研究中心（以下简称“我中心”）积极参与工业互联网发展建设的相关工作，在工业互联网安全的标准文件研究制定、监测预警、应急处置和检测评估方面发挥了积极的作用。通过工业互联网安全检测评估等工作，发现企业存在一系列共性问题。

一、工业互联网相关企业存在的主要安全问题

通过对35个工业互联网平台安全评估分析发现：现阶段我国工业互联网相关企业安全防护工作基本到位，安全管理制度相对完善，技术防护手段较为完备，但仍存在安全痛点问题亟待解决，主要问题如下：

（一）企业安全管理保障体系亟需健全。多数企业网络安全管理保障体系存在以下三个方面的问题：首先是针对性管理制度缺失，大多数企业未建立结合生产应用场景的工业互联网安全管理制度，安全应急预案不完善；部分企业缺少数据管控制度，敏感数据缺乏安全管理办法。半数以上企业缺少有针对性的监督考核机制，无法起到有效的督促、激励、促进的作用；其次是针对性应急演练不到位，员工安全意识薄弱，企业虽然开展了应急演练工作，但是未针对工业互联网安全制定相关应急预案，开展应急演练工作，企业员工对工业互联网安全问题不敏感，一旦发生突发安全事件，员工的处置能力无法满足处置要求；再次是专业设备与人才的经费投入不足，多数企业对于安全防护设备和安全专业人才投入的经费较少，企业存在缺乏专业安全防护设备与技术支持的现象，安全防护手段的缺失会导致企业安全防护存在隐患。

（二）工业数据缺乏有效的管控防护措施。多数平台企业对数据安全的保护措施较欠缺，未对重要数据进行加密存储和传输、定期备份等；多数企业忽视对如弱口令、跨站脚本、命令注入、远程代码执行等常见漏洞的及时跟踪处理，导致存在漏洞的设备易被攻击者利用并获取权限，进而窃取重要工业数据。超过70%的平台企业缺乏对云服务外包的安全管控，缺乏对外包中涉及业务数据的相应防护举措；部分企业存在办公网和生产网互联互通现象，存在办公网病毒传播至生产网络，进而窃取工业数据影响工艺流程的风险。

（三）工业APP产品检测评估缺失。评估过程中，检测人员发现工业互联网企业普遍采取APP客户端直连工业控制系统模式，未部署网络边界防护设备，同时企业普遍缺少工业APP安全测试，无法及时发现信息交互过程中的数据明文传输和访问控制不受限等风险，导致大量生产控制指令、参数传输暴露于互联网，存在泄露重要工艺参数和工艺流程的风险。绝大多数工业APP产品还存在反编译和硬编码等安全漏洞，易被攻击者利用，进而获取功能调用权限尤其是对生产系统的控制功能调用，攻击者可通过篡改控制指令引发重大生产事故和财产损失。

二、工业互联网安全政策标准要求

为进一步提升工业互联网相关企业的安全保障能力，落实安全责任制，指导企业开展好网络安全工作，国务院、工业和信息化部连续印发了一系列文件标准，指导和规范工业互联网安全工作。

一是《关于深化“互联网+先进制造业”发展工业互联网的指导意见》。指导意见确定了构建起与我国经济社会发展相适应的工业互联网生态体系，提出从提升安全防护能力、建立数据安全保护体系、推动安全技术手段建设三个方面提升工业互联网安全保障能力。

二是《工业控制系统信息安全防护指南》。防护指南指出工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任等11个方面做好工控安全防护工作。

三是《工业控制系统信息安全应急工作管理指南》。管理指南旨在加强工控安全事件应急管理，提高工控安全事件应急处置能力，预防和减少工控安全事件造成的损失和危害，保障工业生产正常运行。该指南对工控安全风险监测、信息报送与通报、应急处置、敏感时期应急管理等工作提出了一系列管理要求，明确了责任分工、工作流程和保障措施。

四是《工业控制系统信息安全防护能力评估工作管理办法》。管理办法旨在规范工控安全防护能力评估工作，切实提升工控安全防护水平。该办法以规范针对工业企业开展的工控安全防护能力评估活动为重点，加强工控安全防护能力评估机构、人员和工具管理，明确工控安全防护能力评估工作程序。

五是《工业控制系统信息安全行动计划（2018-2020年）》。行动计划突出落实企业主体责任，从提升工业企业工控安全防护能力，促进工业信息安全产业发展，加快工控安全保障体系建设出发，进一步明确了部门、地方和企业做什么和怎么做，部署了五大能力提升行动，为下一步开展工控安全工作提供了依据和指导。

六是《关于加强工业互联网安全工作的指导意见》。指导意见提出在2020年底初步建立工业互联网安全保障体系的目标，明确了7大任务，明确了企业安全保护的主体责任，提出了建立分类分级管理机制，明确提出了平台与工业应用程序（APP）保护要求、工业数据保护要求等。

七是《工业互联网企业网络安全分类分级指南（试行）》。指南给出了工业互联网企业网络安全分级评定参考规则，针对不同级别企业，在组织管理、安全防护、风险评估、应急管理等方面提出了更为细化、具体的要求。

八是《工业数据分类分级指南（试行）》。指南发布目的在于通过分类梳理工业企业海量数据资产，明确基础数据类型，通过分级确定各类工业数据的敏感程度，明确数据的范围边界和使用方式，为加强数据安全管理，推动数据开放共享和最大化挖掘利用提供支撑。

九是《推动工业互联网加快发展的通知》。通知明确提出加快新型基础设施建设、加快拓展融合创新应用、加快健全安全保障体系、加快壮大创新发展动能、加快完善产业生态布局、加大政策支持力度等6个方面20项具体举措推动工业互联网加快发展。

三、企业下一步应加强的几个方面

为进一步促进工业互联网高质量发展，提高工业互联网企业网络安全防范能力和水平，建议企业可以从以下几个方面进行整改加强：

（一）落实政策法规，建立健全工业互联网安全管理制度。企业可依据《网络安全法》、《关于印发加强工业互联网安全工作的指导意见的通知》、《工业控制系统信息安全防护指南》、《工业互联网企业网络安全分类分级指南》、《工业数据分类分级指南》、等保2.0等国家指导性文件建立健全安全管理体系，按照组织管理逐层落实企业网络安全责任，有效施行企业网络安全监督考核机制，积极开展应急预案与演练、工业数据分类分级等工作，通过组织培训等措施增强员工安全意识和突发事件处理能力。

（二）持续开展检查评估，逐步提升工业互联网网络安全保障能力。企业可邀请专业机构的检测评估队伍进行评估和经验交流，开展针对工业互联网相关平台、应用、设施的评估工作，检验企业在安全保障措施、安全管理制度、安全应急预案、安全设备配置、外包服务等方面工作是否有效落实，及时发现存在的风险隐患，在专业机构的指导下对存在问题查漏补缺，提升企业自身的网络安全保障能力。

（三）加强安全检测，全面提高关键核心技术应用的数据安全性。企业在运营中可加强与网络安全厂商、外包服务商等的协同联动，部署有效安全技术防护手段，积极对工业互联网设备、网络、平台、工业APP等工业数据的载体进行安全检测，对存在的安全风险及时进行整改修复，建立从设备安全配置到边界安全防护再到网络安全态势感知的闭环管控，防止工业数据被窃取。积极引入专业人才对数据载体进行管理和安全加固，做到专人专岗，专事专做。

来源：工业菜园