海口资讯网

海口资讯网

是领先的中文新闻门户网站,也是互联网中文新闻资讯重要的原创内容供应商之一。依托中新社遍布全球的采编网络,每天24小时面向广大网民和网络媒体,快速、准确地提供文字、图片、视频等多样化的资讯服务。在新闻报道方面,中新网动态新闻及时准确,解释性报道角度独特,稿件被国内外网络媒体大量转载。

菜单导航
主页 > 政策法规 > 正文

专家:风险分析是工业互联网安全的基础

作者: 海口资讯网 发布时间: 2020年07月05日 15:06:46

  近日,十部委联合印发《加强工业互联网安全工作的指导意见》(以下简称《意见》),以指导工业互联网安全体系顶层规划的贯彻落实,加快工业互联网安全保障体系构建,提升工业互联网安全保障能力,促进工业互联网高质量发展,护航制造强国和网络强国战略实施。《意见》指出,应根据安全风险程度等因素,对企业实施分类分级管理,建立健全重点设备装置和系统平台联网前后的风险评估等制度,开展安全评估认证,推动工业互联网安全科技创新与产业发展。

  风险分析是工业互联网安全的基础

  安全的本质是“没有不可接受的风险”。在工业领域,风险总是伴随着技术的发展进步而不断出现。人类有意识的风险防范可以追溯到中世纪时代。17世纪后半叶,蒸汽机的发明使生产进入机械化时代,生产中的风险问题随之而来,机械伤人损物事故频繁出现;19世纪末,电的发明推进了电气时代的到来,电气的巨大能量一旦应用失误或控制不力,就会转化成极具破坏的力量。在沉痛的代价下,风险防范技术不断发展进步。

  工业互联网打破了过去人机物之间、工厂与工厂之间、企业上下游之间彼此相对独立、纯物理隔离状态,构建起开放而全球化的工业网络。互联网为工业带来便利之时,也带来了严峻风险问题。尤其是网络安全和工业自动化控制系统信息安全问题引发的事故案例正快速增加。传统的工业安全保障措施已经不能适应网络融合趋势下的风险控制要求,转型升级需求迫切。

  工业互联网安全保障应以风险分析为基础,提出风险管控目标。不以风险分析为基础的安全保障,往往存在以下现象:

  过保护。不论风险大小或者是不是有必要关注的风险,即各种保护措施齐上或者直接使用最高安全级别的防护设施,造成资源浪费、后期运行维护负担过重,甚至由于保护措施或管理程序本身不必要的复杂性带来新的风险。

  欠保护。对风险后果影响程度的估计严重不足,在人员素质、管理规范、技术措施、应急处置等等一个或多个方面未系统性规划和落实,导致存在大量风险隐患。

  错保护。对风险的根本原因没有辨识清楚,认识不充分,安全措施没有针对性,保护效率不高。

  技术受限下的保护空白。新技术发展在带来产业变革和文明进步的同时,不成熟条件下的应用,设计制造缺陷、保护经验缺失等,也容易造成生命丧失、健康危害、环境污染等各种恶劣问题。

  开展风险分析,可以识别出受保护对象的风险点、风险事件、风险事件的起因、可能的影响后果、适合的保护措施、标准法规的符合性、贯彻实施的可行性等等,做到有的放矢。

  开展风险分析的最佳时机是在规划设计阶段,并应贯穿整个生命周期。在我国,工业互联网是近几年发展起来的新兴事物。当前,正是国家大举推进工业互联网规划建设之初,深入贯彻风险分析的科学理念,做到可知、可管、可控,从根源上把控风险,是实现从本质上提升工业互联网安全的基础。

  目前,工业互联网的安全风险分析主要还是集中在网络安全风险分析层面,对于工业安全风险的需求考虑尚欠缺。工业安全风险分析和网络安全风险分析还是相对独立的两套体系在运行,需尽快打破边界限制,建立统一的风险分析框架和方法论,迈出工业互联网安全贯彻落实最坚定的一步。

  统一的风险原则和评价标准是工业互联网安全的前提

  安全保障的根本目的是风险管控,即通过最优的手段(或者手段的组合)将风险控制在“合理可行的低”。为此,需要制定风险接受原则和评价标准。

  工业互联网安全风险定级和分级管控的前提,是制定一套可覆盖工业安全风险和网络安全风险的统一的风险接受原则和评价标准,这极具挑战性,主要体现在:

  一、国内外对安全或者风险的定义往往体现出应用领域的差异性。比如安全可理解为Safety或者Security。在广义上,风险是某个事件或行为的不确定结果,这些事件或行为有可能影响人类的价值。在工业安全领域,风险是不期望事件发生的可能性和后果严重性的组合。在网络安全领域,风险是特定威胁利用特定脆弱性造成特定后果的预期损失的概率表达。

  二、风险可接受程度对于不同行业,根据网络、平台、生产企业的系统、装置的具体条件不同,有着不同的准则。

  三、工业互联网属于跨学科领域,具有鲜明的新技术融合特征,而学科间新技术渗透还存在不少问题,在基础研究、方法和模型建立、可信度等多方面目前都处于竞争研究阶段。风险准则不确定。

  四、工业互联网属于新兴技术领域,要做到安全风险可接受准则和评价标准的科学、实用,技术上可行,应用上可操作,尚需要时间。

  五、工业互联网尚在初期建设阶段,对于公众价值观的渗透还不足,对灾害的承受能力的预估还需要经验积累。

  六、现有工业互联网分级管控架构下,评判标准的价值平衡和迭代优化机制需建立。

  当前阶段,对工业互联网生产企业开展风险评价和安全评估认证,可以从以下几个方面着手:

  功能安全评估。

  网络信息安全评估。

  工业自动化和控制系统风险评估。

  网络信息安全防护措施对安全相关系统的影响评估。

  智能化技术和产品的风险评估和安全认证。

  对于工业互联网平台和网络企业,当为工业企业提供的产品或服务有生产安全相关的内容时,应做进一步的延伸风险和安全评估。

  安全一体化是工业互联网安全发展的必然趋势

  互联网时代的工业发展,功能安全保障是不可或缺的,网络化技术的工业应用安全问题应从功能安全与信息安全一体化考虑。

  一、开放互联环境下的功能安全。

本文地址:/zcfg/81639.html

请遵守互联网相关规定,不要发布广告和违法内容