2021工业安全大会:拧紧工控系统“安全阀”
5月20日,由工业控制系统信息安全产业联盟主办的2021第四届工业安全大会(ISSC2021)在京召开,与会专家对如何提升工业企业核心技术能力,提高工业互联网企业网络安全防范水平,明确和落实企业网络安全主体责任,加快构建工业互联网安全保障体系等业内关注的话题进行了探讨。本次大会主题为“数据驱动安全 智能成就未来”。
“十四五”将是数字化战略的转型建设关键阶段,以工业互联网、 人工智能、大数据、云计算、边缘计算、密码、区块链等新兴技术作为先行举措,进一步加快了工业数字化转型步伐,全面深化数字经济。中央明确提出,要统筹发展和安全,将网络安全提到前所未有的高度。 展望“十四五”,全球网络空间冲突和对抗色彩加剧,全球医疗、 装备、能源、交通等关键信息基础设施领域频频遭受网络攻击,勒索病 毒、数据窃取等互联网威胁手段仍然常见,保障关键信息基础设施安全稳定运行成为各国政府工作的重中之重,加强工业安全防护已成为必然 选题。
会上,中国工程院院士沈昌祥指出,网络空间已经成为继陆、海、空、天之后的第五大主权领域空间。“没有网络安全就没有国家安全,安全是发展的前提。”他表示,经过长期军民融合攻关应用,我国形成了自主创新安全可信体系,完备的可信计算3.0产品链,将形成巨大的新型产业空间。
“考虑到工控系统的脆弱性和工业应用场景的特殊性,传统网络安全防护手段已经难以满足工业控制系统安全需求。”宁波和利时信息安全研究院有限公司方案总监穆雷霆表示。在他看来,工业网络安全应基于可信计算等主动防御技术,通过控制系统内嵌可信计算防护体系,实现主动识别、主动度量和主动保护功能,增强自身防护能力。通过基于可信计算3.0的静态启动和动态度量技术相结合,实现全生命周期安全防护,构筑工控系统主动免疫安全防御体系。
国家工业信息安全发展研究中心标准质量处处长陈雪鸿围绕工业互联网数据安全分类分级防护思路、政策要求和防护实践进行了分享。她谈到:“随着企业数字化转型逐步实现,工业互联网数据是驱动智能化生产的‘引擎’、实现智能化运营的动力、工业互联网创新发展的‘血液’,然而在开放海量互联的复杂环境下,工业互联网数据威胁不断加剧,对工业互联网数据进行分类分级防护刻不容缓。”
360政企安全集团助理总裁兼工业安全事业部总经理李航指出:“工业数字化转型带来了新模式,以工业互联网为核心的发展方向已成为业内的共识。我们在自动化技术与数字技术的融合方面仍需探索,其安全的基本理论和方法更需要改变。以数据为核心的安全融合已成为安全运营的基础。做好工业的业务安全必须融合IT和OT,不能两张皮。”
此外,国家信息技术安全研究中心总工程师王宏与中国电子技术标准化研究院高级工程师李琳分别从工控安全风险评估和贯标工作的角度进行了相关分享。王宏表示:“风险评估与等级保护互相支撑,是网络安全检查评估工作的‘一体两翼’。” 工业控制系统涉及领域广、业务场景丰富,系统类型差异巨大,因此,风险评估工作需要在网络安全法律法规和标准要求下,根据工业控制系统实际特点,针对性开展评估工作。”
李琳解读了工业控制系统信息安全贯标工作流程、平台工具及下一步工作规划布局。他指出,要进一步提升工业企业工业控制系统信息安全防护水平,服务制造业高质量发展,应该在学习借鉴两化融合贯标、数据管理能力成熟度评估等先进经验基础上,以贯标为抓手,推动工业企业工业信息安全防护工作的开展。
会上,西安交通大学网络空间安全学院副院长、教授刘烃,杭州立思辰安科科技有限公司咨询规划部总经理郭占先,百通赫斯曼网络系统国际贸易(上海)有限公司产品经理朱杰,北京理工大学教授胡昌振,北京网御星云信息技术有限公司副总裁韩明畅,水利部机电研究所高级工程师李小龙也发表了相关演讲。