三是工业互联网设备种类多、数量多,目前的安全防护能力和保障水平无法满足产业转型升级的需要 。对PLC、工业主机、工业防火墙等工业设备的安全运行要求不明确,设备在联网和数字化应用过程中的安全标准和规范相对缺乏,需要完善专门的评估规范和实施体系 。现有的网络安全测试认证体系无法满足实际应用、市场需求、其他国家网络安全审查等要求 。
四是与工业互联网设备和产品安全相关的国家标准很少,缺乏强制性网络安全标准,评估检测流程方法、机构人员和认证体系明显缺乏 。目前,工业互联网设备本身的安全性很难满足不同行业和市场水平的要求 。同时,国内工业互联网设备产品走向国际市场时也缺乏权威评价和认证,难以满足国际互认和其他国家网络安全审查的要求 。
五、我国工业互联网设备安全防护实施路径
针对工业互联网设备种类多、体积大、安全管理分散、行业自律水平不一的实际,应从国家、行业、应用角度统筹规划,加强国家监管、行业认证和网络安全工程应用 。论证了我国工业互联网设备网络安全管理与保护的具体实施路径(见图2),旨在提升工业互联网设备的自适应策略和能力,分层次实施安全评估和管理,完善标准、测试认证、风险管理和应急处置等机制 。
图2工业互联网设备安全防护实现路径示意图
首先,建立设备自身的安全策略和基本能力集,包括设备安全架构设计、安全基线配置、可信根验证和分类保护的基本要求 。建立设备本身的安全“基线”,强化设备的内生安全能力 。
二是结合设备的网络安全风险、防护价值和安全影响,对不同类型、不同应用场景的工业互联网设备进行分类分级评估 。建立分类目录,形成重点保护设备及其安全策略,纳入网络安全重点网络设备和专用产品目录,高效开展强制性安全测试、认证和审查 。
三是完善工业互联网设备安全防护规范和分类防护要求 。根据设备的不同类别和防护等级,做好应用开发安全、系统服务安全、硬件安全、网络通信安全、数据安全等技术防护要求,形成差异化、精细化的设备网络安全管理模式 。
四是建立工业互联网设备网络安全检测评估体系 。在设备进入市场前,加强应用过程中的网络安全测试验证、准入审核、测试认证和常态化安全风险评估,通过评估推动建设,形成设备安全防护闭环 。
五是加强工业互联网设备安全风险管理和应急响应,包括对重点工业互联网设备的网络安全态势感知、监测预警,行业/企业端应急响应和事件响应的工具平台、机制和方法 。实时掌握设备安全状况和风险视图,为风险预警和应急工作提供常态化技术手段 。
不及物动词对策和建议
(1)从国家层面完善工业互联网设备网络安全接入机制 。
建议主管部门研究制定工业互联网设备安全相关管理办法,颁布工业互联网设备强制性安全标准和行业规范 。强化工业互联网设备设计、开发、实施、运维等全生命周期过程的网络安全规范要求,为企业产品安全开发、第三方机构测试认证、设备部署运行提供依据 。《网络安全重点网络设备和专用产品目录(第一批)》公布后,目录内设备和产品的检验认证工作逐步开展,但工业互联网设备等尚未提及的设备仍处于监管盲区 。建议对工业互联网的关键设备进行研究和梳理,将其列为“网络关键设备和网络安全专用产品”,并对设备进行分类 。完善相关安全标准和规范,建立健全工业互联网设备安全监管体系和安全准入机制,确保设备进入市场销售或使用前进行严格的安全检查 。
(二)建立设备网络安全测试和认证制度
建议建立工业互联网设备安全测试认证体系,加强安全测试验证,特别是工业现场环境下工业设备的安全测试验证、无损检测和工业级安全防护应用 。推进工业互联网设备安全相关评估认证中心建设,围绕设备安全防护等级设计安全认证等级,对设备网络安全进行分类管理和差异化防护 。为不同部门、行业、企业提供安全等级选择,精准划分设备安全能力等级,促进良性市场竞争环境,促进厂商自身设备安全升级 。推进安全测试认证和设备能力提升,匹配工业互联网设备的工业环境适用性、硬件安全、系统/固件安全、应用安全、数据安全、接入安全等要求,构建设备安全功能、防渗透、防恶意代码、抗分布式拒绝服务攻击、漏洞防护等能力 。
(3)推进设备网络安全架构的研究和工程应用 。
推荐阅读
- 如何利用互联网思维经营餐饮业 互联网餐饮营销模式
- 我国深圳100强企业入围名单公布 深圳互联网企业100强
- 这些经典的互联网广告创意文案你看过几个? 网络推广经典广告语
- 移动网络卡怎么设置 移动上网设置
- 赚钱最快的三种商业模式? 移动互联网盈利模式
- 如何查询网络设备的ip地址? 如何查看DNS服务器地址以及IP地址
- 工厂安全管理:方案、制度、流程、标准模板 工业安全管理
- 十大网络营销公司排名 互联网推广公司排名
- 互联网支付牌照109家信息汇总 互联网支付牌照
- 电力设备检修维护工作要点 电厂设备检修