近年来，我国工业互联网的应用场景越来越丰富，模式创新也越来越活跃，高度智联所暴露出来的信息安全问题更加多样复杂。

在近日举行的“2020中国工业信息安全大会暨全国工控安全深度行（京津冀站）”上，与会的企业代表都表达了共同的呼声，随着工业信息化发展，安全的地位和重要性正不断前移，在新基建带动的工业互联网建设浪潮下，如果不能解决信息安全威胁问题，那么工业互联网的大规模普及也就无从谈起，因此工业信息安全短板需加速补齐。

工业企业信息安全不容忽视

在新基建的推动下，我国工业行业数字化升级正在快速发展，但与此同时信息安全风险也随之提升。在今年上半年媒体评出的十大信息安全事件中，超过半数都与生产企业直接相关。

“工业企业信息安全频发的原因主要在于：一方面工业企业以往与互联网相对较隔离，因此对网络安全重视程度不足；另一方面，工业企业的工业主机以及部分旧操作系统升级较为困难，普遍存在安全漏洞，一旦与互联网相连，系统就会立即成为攻击者的目标。”绿盟科技集团副总裁李晨表示。

据了解，自2010年开始，绿盟科技就一直深耕工业信息安全领域并将其作为公司重要的战略发展方向，多年来绿盟科技依托自身的专业技术优势，对工业控制系统及工业互联网安全领域进行了深入研究，并建立了完整的工业控制系统安全产品线。

“工业控制系统多被应用于电力、交通、石油化工等国家重要支撑产业，一旦出现安全问题将会直接威胁国家的安全和人民的生产生活，并造成不可估量的经济损失，其安全问题的解决刻不容缓。”李晨说。

六方云董事长任增强对此也提出，以往的20多年里，我们更多关注的是已知的安全风险，但随着新一代基础设施的大范围建设以及工业互联网在传统工业领域的不断普及，一些未知风险开始显现，这必须引起工业企业以及安全服务企业等的普遍关注，并将防范重点有所侧重。

“要补好工业互联网发展中的信息安全短板首先就是要转变思维，提高安全防范意识。”李晨认为，可以从工业企业内部入手，规划部署安全防护措施，如针对工业主机，通过主机安全卫士对主机进行加固，防止恶意代码的运行；在网络层面，部署工业隔离装置，避免受到勒索软件等恶意代码的感染；此外，建议在工业企业或者工业园区，部署工业互联网安全监测与态势感知平台，结合工业威胁情报系统，及时发现并处置安全威胁。

工业互联网数据安全也不容忽视。李晨建议，可按照数据的分类分级规范要求，保护工业环境下产生的各种数据，在数据存储、传输、使用、共享等各个环节进行安全部署，避免数据泄漏事件的发生。

供应链安全渐成高风险点

成立于1996年的启明星辰信息技术集团股份有限公司，是一家拥有自主知识产权的网络安全高新技术企业，也一直深耕于工业信息安全领域。

全国政协委员、启明星辰信息技术集团股份有限公司首席执行官严望佳博士表示，数字化时代的信息安全将由部署在工控网络安全设备为主的单点防护建设，转变为面向云、网、边、端的工业安全整体保障体系建设。但到目前为止，整体保障体系建设仍不足以应对大量数字化场景带来的安全挑战，因此我们需要在传统网络安全模式的基础上叠加场景化的安全思维模式，即构建围绕全业务流程和数据全生命周期的风险控制机制。

严望佳以智慧油库安全生产业务场景为例，提出可以从网络安全风险监测、预见性安全维护、风险通报、应急处置、网络安全KPI分析等方面，实现对销售公司总部和库区工控网络、办公网络全面监测。

事实上，严望佳口中所说的全数据流程和全生命周期安全问题也正是与会代表关心的重要话题——供应链安全。从当下工业信息安全来看，新的安全问题往往是企业的生产供应链各个环节之间的安全问题或者说整个供应链环节某个点的安全。以汽车生产为例，汽车是由主控机器加上多个电子配套期间组成，本身主控机器安全，但其他配件都有独立的供应商，供应产品是否符合安全标准，这也决定系统产品的安全性。

因此，李晨认为，要解决供应链之间的安全问题，首先就需要有明确的安全标准；另外，针对内生安全，在产品开发期间要引入安全开发的理念，将安全设计前置，在需求、设计、开发与测试阶段就考虑到安全问题，依据标准设计安全体系，保证产品安全性。

北京威努特技术有限公司首席技术官黄敏表示，应注重加强“白名单”技术、边缘设备可信接入技术、通信协议安全增强技术、人工智能算法等核心技术研发的投入力度，加快推动网络安全新技术在工业互联网领域的应用建设；同时要加强工业互联网企业与网络安全企业做好产业联合，建立涵盖设备安全、控制安全、网络安全、平台安全和数据安全的工业互联网多层次安全保障体系，提升安全防护能力。

专业安全人才缺口大仍是难题

相关咨询机构的数据显示，从IT投入角度来讲的话，中国和北美地区在量级上差不多，但是中国的网络安全行业规模只有北美的1/10，整个网络安全行业市场的潜力巨大。

在新基建的推动下，我国工业行业数字化升级快速发展，更是推动信息安全产业快速增长。从近日发布的《中国工业信息安全产业发展白皮书(2019—2020年)》来看，2019年我国工业信息安全产业规模为99.74亿元。预计2020年，我国工业信息安全市场增长率将达23.13%，市场整体规模将增长至122.81亿元。

如此大的需求与市场，也对工业企业自身以及信息安全服务商的安全技术和服务水平提出了更多的要求。这就要求工业企业自身以及安全服务商一方面要去满足国家的技术要求，加大技术研究，同时也要从服务企业视角出发，理解生产场景的一些变化，去提升产品、技术、服务等，但这些都离不开安全人才的培养和支撑。

但从目前来看，我国信息安全人才严重缺乏。“要加大培养工业互联网安全复合型人才。一方面工业企业可以自主培养一些行业内的安全人才，同时可以与安全服务公司合作，引入一些安全人才进入到行业里，逐步成为复合型的安全人才，以解决企业需求与人才输出‘两层皮’的问题。”威努特首席技术官黄敏表示。

李晨也认为，新基建加速了信息化进程，从企业自身来说，这就要求很多企业传统的OT运营人员不能仅限于做好设备维护，还要考虑信息系统，其中很重要的一个方面就是安全运维。这就需要举合力加强安全人才的培养，以应对未来工业信息安全的需求。