工業(yè)互聯(lián)網(wǎng)安全的基礎(chǔ)是什么

安全的本質(zhì)是“沒(méi)有不可接受的風(fēng)險(xiǎn)”。在工業(yè)領(lǐng)域，風(fēng)險(xiǎn)總是伴隨著技術(shù)的發(fā)展進(jìn)步而不斷出現(xiàn)。人類(lèi)有意識(shí)的風(fēng)險(xiǎn)防范可以追溯到中世紀(jì)時(shí)代。17世紀(jì)后半葉，蒸汽機(jī)的發(fā)明使生產(chǎn)進(jìn)入機(jī)械化時(shí)代，生產(chǎn)中的風(fēng)險(xiǎn)問(wèn)題隨之而來(lái)，機(jī)械傷人損物事故頻繁出現(xiàn);19世紀(jì)末，電的發(fā)明推進(jìn)了電氣時(shí)代的到來(lái)，電氣的巨大能量一旦應(yīng)用失誤或控制不力，就會(huì)轉(zhuǎn)化成極具破壞的力量。在沉痛的代價(jià)下，風(fēng)險(xiǎn)防范技術(shù)不斷發(fā)展進(jìn)步。

工業(yè)互聯(lián)網(wǎng)打破了過(guò)去人機(jī)物之間、工廠(chǎng)與工廠(chǎng)之間、企業(yè)上下游之間彼此相對(duì)獨(dú)立、純物理隔離狀態(tài)，構(gòu)建起開(kāi)放而全球化的工業(yè)網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)為工業(yè)帶來(lái)便利之時(shí)，也帶來(lái)了嚴(yán)峻風(fēng)險(xiǎn)問(wèn)題。尤其是網(wǎng)絡(luò)安全和工業(yè)自動(dòng)化控制系統(tǒng)信息安全問(wèn)題引發(fā)的事故案例正快速增加。傳統(tǒng)的工業(yè)安全保障措施已經(jīng)不能適應(yīng)網(wǎng)絡(luò)融合趨勢(shì)下的風(fēng)險(xiǎn)控制要求，轉(zhuǎn)型升級(jí)需求迫切。

工業(yè)互聯(lián)網(wǎng)安全保障應(yīng)以風(fēng)險(xiǎn)分析為基礎(chǔ)，提出風(fēng)險(xiǎn)管控目標(biāo)。不以風(fēng)險(xiǎn)分析為基礎(chǔ)的安全保障，往往存在以下現(xiàn)象：

過(guò)保護(hù)。不論風(fēng)險(xiǎn)大小或者是不是有必要關(guān)注的風(fēng)險(xiǎn)，即各種保護(hù)措施齊上或者直接使用最高安全級(jí)別的防護(hù)設(shè)施，造成資源浪費(fèi)、后期運(yùn)行維護(hù)負(fù)擔(dān)過(guò)重，甚至由于保護(hù)措施或管理程序本身不必要的復(fù)雜性帶來(lái)新的風(fēng)險(xiǎn)。

欠保護(hù)。對(duì)風(fēng)險(xiǎn)后果影響程度的估計(jì)嚴(yán)重不足，在人員素質(zhì)、管理規(guī)范、技術(shù)措施、應(yīng)急處置等等一個(gè)或多個(gè)方面未系統(tǒng)性規(guī)劃和落實(shí)，導(dǎo)致存在大量風(fēng)險(xiǎn)隱患。

錯(cuò)保護(hù)。對(duì)風(fēng)險(xiǎn)的根本原因沒(méi)有辨識(shí)清楚，認(rèn)識(shí)不充分，安全措施沒(méi)有針對(duì)性，保護(hù)效率不高。

技術(shù)受限下的保護(hù)空白。新技術(shù)發(fā)展在帶來(lái)產(chǎn)業(yè)變革和文明進(jìn)步的同時(shí)，不成熟條件下的應(yīng)用，設(shè)計(jì)制造缺陷、保護(hù)經(jīng)驗(yàn)缺失等，也容易造成生命喪失、健康危害、環(huán)境污染等各種惡劣問(wèn)題。

開(kāi)展風(fēng)險(xiǎn)分析，可以識(shí)別出受保護(hù)對(duì)象的風(fēng)險(xiǎn)點(diǎn)、風(fēng)險(xiǎn)事件、風(fēng)險(xiǎn)事件的起因、可能的影響后果、適合的保護(hù)措施、標(biāo)準(zhǔn)法規(guī)的符合性、貫徹實(shí)施的可行性等等，做到有的放矢。

開(kāi)展風(fēng)險(xiǎn)分析的好時(shí)機(jī)是在規(guī)劃設(shè)計(jì)階段，并應(yīng)貫穿整個(gè)生命周期。在我國(guó)，工業(yè)互聯(lián)網(wǎng)是近幾年發(fā)展起來(lái)的新興事物。當(dāng)前，正是國(guó)家大舉推進(jìn)工業(yè)互聯(lián)網(wǎng)規(guī)劃建設(shè)之初，深入貫徹風(fēng)險(xiǎn)分析的科學(xué)理念，做到可知、可管、可控，從根源上把控風(fēng)險(xiǎn)，是實(shí)現(xiàn)從本質(zhì)上提升工業(yè)互聯(lián)網(wǎng)安全的基礎(chǔ)。

目前，工業(yè)互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)分析主要還是集中在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析層面，對(duì)于工業(yè)安全風(fēng)險(xiǎn)的需求考慮尚欠缺。工業(yè)安全風(fēng)險(xiǎn)分析和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析還是相對(duì)獨(dú)立的兩套體系在運(yùn)行，需盡快打破邊界限制，建立統(tǒng)一的風(fēng)險(xiǎn)分析框架和方法論，邁出工業(yè)互聯(lián)網(wǎng)安全貫徹落實(shí)最堅(jiān)定的一步。

統(tǒng)一的風(fēng)險(xiǎn)原則和評(píng)價(jià)標(biāo)準(zhǔn)是工業(yè)互聯(lián)網(wǎng)安全的前提

安全保障的根本目的是風(fēng)險(xiǎn)管控，即通過(guò)好的手段（或者手段的組合）將風(fēng)險(xiǎn)控制在“合理可行的低”。為此，需要制定風(fēng)險(xiǎn)接受原則和評(píng)價(jià)標(biāo)準(zhǔn)。

工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)定級(jí)和分級(jí)管控的前提，是制定一套可覆蓋工業(yè)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的統(tǒng)一的風(fēng)險(xiǎn)接受原則和評(píng)價(jià)標(biāo)準(zhǔn)，這很具挑戰(zhàn)性，主要體現(xiàn)在：

一、國(guó)內(nèi)外對(duì)安全或者風(fēng)險(xiǎn)的定義往往體現(xiàn)出應(yīng)用領(lǐng)域的差異性。比如安全可理解為Safety或者Security。在廣義上，風(fēng)險(xiǎn)是某個(gè)事件或行為的不確定結(jié)果，這些事件或行為有可能影響人類(lèi)的價(jià)值。在工業(yè)安全領(lǐng)域，風(fēng)險(xiǎn)是不期望事件發(fā)生的可能性和后果嚴(yán)重性的組合。在網(wǎng)絡(luò)安全領(lǐng)域，風(fēng)險(xiǎn)是特定威脅利用特定脆弱性造成特定后果的預(yù)期損失的概率表達(dá)。

二、風(fēng)險(xiǎn)可接受程度對(duì)于不同行業(yè)，根據(jù)網(wǎng)絡(luò)、平臺(tái)、生產(chǎn)企業(yè)的系統(tǒng)、裝置的具體條件不同，有著不同的準(zhǔn)則。

三、工業(yè)互聯(lián)網(wǎng)屬于跨學(xué)科領(lǐng)域，具有鮮明的新技術(shù)融合特征，而學(xué)科間新技術(shù)滲透還存在不少問(wèn)題，在基礎(chǔ)研究、方法和模型建立、可信度等多方面目前都處于競(jìng)爭(zhēng)研究階段。風(fēng)險(xiǎn)準(zhǔn)則不確定。

四、工業(yè)互聯(lián)網(wǎng)屬于新興技術(shù)領(lǐng)域，要做到安全風(fēng)險(xiǎn)可接受準(zhǔn)則和評(píng)價(jià)標(biāo)準(zhǔn)的科學(xué)、實(shí)用，技術(shù)上可行，應(yīng)用上可操作，尚需要時(shí)間。

五、工業(yè)互聯(lián)網(wǎng)尚在初期建設(shè)階段，對(duì)于公眾價(jià)值觀(guān)的滲透還不足，對(duì)災(zāi)害的承受能力的預(yù)估還需要經(jīng)驗(yàn)積累。

六、現(xiàn)有工業(yè)互聯(lián)網(wǎng)分級(jí)管控架構(gòu)下，評(píng)判標(biāo)準(zhǔn)的價(jià)值平衡和迭代優(yōu)化機(jī)制需建立。

當(dāng)前階段，對(duì)工業(yè)互聯(lián)網(wǎng)生產(chǎn)企業(yè)開(kāi)展風(fēng)險(xiǎn)評(píng)價(jià)和安全評(píng)估認(rèn)證，可以從以下幾個(gè)方面著手：

· 功能安全評(píng)估。

· 網(wǎng)絡(luò)信息安全評(píng)估。

· 工業(yè)自動(dòng)化和控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估。

· 網(wǎng)絡(luò)信息安全防護(hù)措施對(duì)安全相關(guān)系統(tǒng)的影響評(píng)估。

· 智能化技術(shù)和產(chǎn)品的風(fēng)險(xiǎn)評(píng)估和安全認(rèn)證。

對(duì)于工業(yè)互聯(lián)網(wǎng)平臺(tái)和網(wǎng)絡(luò)企業(yè)，當(dāng)為工業(yè)企業(yè)提供的產(chǎn)品或服務(wù)有生產(chǎn)安全相關(guān)的內(nèi)容時(shí)，應(yīng)做進(jìn)一步的延伸風(fēng)險(xiǎn)和安全評(píng)估。

安全一體化是工業(yè)互聯(lián)網(wǎng)安全發(fā)展的必然趨勢(shì)

互聯(lián)網(wǎng)時(shí)代的工業(yè)發(fā)展，功能安全保障是不可或缺的，網(wǎng)絡(luò)化技術(shù)的工業(yè)應(yīng)用安全問(wèn)題應(yīng)從功能安全與信息安全一體化考慮。

一、開(kāi)放互聯(lián)環(huán)境下的功能安全。

二、報(bào)警、連鎖、火氣監(jiān)測(cè)等功能安全系統(tǒng)層層作用保護(hù)生產(chǎn)安全。各系統(tǒng)不再只是被動(dòng)的觸發(fā)，而是具備基于信息互聯(lián)的分析預(yù)判主動(dòng)防御能力，其可靠的工作以保持風(fēng)險(xiǎn)在合理可接受水平。

三、工業(yè)場(chǎng)景下的網(wǎng)絡(luò)安全。網(wǎng)絡(luò)攻擊日趨多樣化、復(fù)雜化，工業(yè)系統(tǒng)越來(lái)越處于開(kāi)放的網(wǎng)絡(luò)環(huán)境中。傳統(tǒng)IT信息安全技術(shù)手段遠(yuǎn)不能滿(mǎn)足高危復(fù)雜多變的工業(yè)生產(chǎn)應(yīng)用需求。構(gòu)建縱深防御、內(nèi)建安全、安全管理和應(yīng)急為一體的綜合整體防護(hù)體系，提高工業(yè)系統(tǒng)安全性的同時(shí)，維持工業(yè)生產(chǎn)安穩(wěn)運(yùn)行。

四、功能安全和網(wǎng)絡(luò)安全協(xié)同防控。功能安全系統(tǒng)、工業(yè)網(wǎng)絡(luò)安全設(shè)施等各類(lèi)安全技術(shù)措施協(xié)同作用，即共同實(shí)現(xiàn)對(duì)內(nèi)安全控制和對(duì)外安全防護(hù)，又不會(huì)因彼此間存在沖突而導(dǎo)致生產(chǎn)安全風(fēng)險(xiǎn)事件發(fā)生。

五、人機(jī)物交互協(xié)同。通過(guò)物聯(lián)網(wǎng)技術(shù)的透徹感知、廣泛互聯(lián)互通和深入智能化，把健康、安全、環(huán)境、信息等管理的觸角延伸到“人的不安全行為、物的不安全狀態(tài)、工藝過(guò)程的不安全運(yùn)行、設(shè)備的不安全運(yùn)轉(zhuǎn)、環(huán)境的不安全狀態(tài)、信息的不安全環(huán)境”的實(shí)時(shí)管控層面。構(gòu)建工業(yè)互聯(lián)網(wǎng)智能安全一體化管控系統(tǒng)，實(shí)現(xiàn)安環(huán)健信的全面感知、智能分析和即時(shí)控制管理。

六、安全一體化生命周期 。從工業(yè)互聯(lián)網(wǎng)風(fēng)險(xiǎn)管控實(shí)際需求出發(fā)，在需求分析階段就準(zhǔn)確定義Safety 功能、Security功能、安全完整性等級(jí)、安全防護(hù)能力、安全完善度等級(jí)等安全一體化目標(biāo)，并在設(shè)計(jì)、實(shí)施、運(yùn)行、維護(hù)、變更、退役等各個(gè)階段采取管控措施以保證目標(biāo)得以實(shí)現(xiàn)和維持。

《意見(jiàn)》出臺(tái)，將有力推動(dòng)工業(yè)安全和網(wǎng)絡(luò)安全的融合落地

工業(yè)互聯(lián)網(wǎng)安全是一個(gè)多學(xué)科交叉融合的新興領(lǐng)域，既涉及能源、交通、醫(yī)療、機(jī)械、電子等多個(gè)重點(diǎn)行業(yè)，又需融合工藝、裝備、檢測(cè)、通信、控制、信息、安全、管理、經(jīng)濟(jì)等多類(lèi)技術(shù)專(zhuān)業(yè)，同時(shí)還要從理論、研發(fā)、工程、運(yùn)營(yíng)、人才、監(jiān)管、第三方服務(wù)等產(chǎn)業(yè)鏈上多環(huán)節(jié)打通。任何一方面的缺失或不足，都會(huì)影響體系構(gòu)建和貫徹實(shí)施。如今，十部委聯(lián)合署名發(fā)文，協(xié)同發(fā)力，使工業(yè)互聯(lián)網(wǎng)安全融合落地成為可能。

一個(gè)新興領(lǐng)域的開(kāi)拓離不開(kāi)一套完善的體系支撐?！兑庖?jiàn)》廣泛推進(jìn)試點(diǎn)先行、標(biāo)準(zhǔn)引領(lǐng)，探索構(gòu)建評(píng)估體系，布局新技術(shù)領(lǐng)域融合創(chuàng)新。一套基于融合特征的工業(yè)互聯(lián)網(wǎng)安全保障體系初現(xiàn)雛形。