工業(yè)物聯(lián)網(wǎng)安全風(fēng)險分析及對策研究

1、 工業(yè)物聯(lián)網(wǎng)安全風(fēng)險分析及對策研究 近年來，工業(yè)物聯(lián)網(wǎng)在信息安全方面危機四伏，如工業(yè)核心數(shù)據(jù)泄露、互聯(lián)終端遭非法操控等，信息安全問題已經(jīng)成為工業(yè)物聯(lián)網(wǎng)推廣應(yīng)用一大障礙。我國亟須從完善相關(guān)政策法規(guī)、建立統(tǒng)一安全管理機制、突破核心技術(shù)限制、轉(zhuǎn)變企業(yè)思維模式等方面采取進一步的措施，提升工業(yè)物聯(lián)網(wǎng)信息安全保障能力。近年來，世界各國掀起了以工業(yè)物聯(lián)網(wǎng)為代表的第四次工業(yè)革命，智能工廠、產(chǎn)品“智造”更是引起了廣泛關(guān)注，工業(yè)物聯(lián)網(wǎng)向人們展示了一幅美好的畫面，并表現(xiàn)出強勁的市場發(fā)展勢頭。但與此同時，工業(yè)物聯(lián)網(wǎng)技術(shù)在信息安全方面存在的各種隱患也逐步暴露出來，如工業(yè)核心數(shù)據(jù)泄露、互聯(lián)終端遭非法操控等，甚至發(fā)生黑客通

2、過入侵電力能源工業(yè)網(wǎng)絡(luò)系統(tǒng)攻擊國家戰(zhàn)略基礎(chǔ)設(shè)施的事件，這又為工業(yè)物聯(lián)網(wǎng)的發(fā)展蒙上一層陰影。工業(yè)物聯(lián)網(wǎng)信息安全面臨的形勢系統(tǒng)漏洞頻發(fā)導(dǎo)致安全形勢進一步惡化近年來，工業(yè)物聯(lián)網(wǎng)領(lǐng)域在信息安全方面危機四伏，黑客通過系統(tǒng)漏洞對工業(yè)物聯(lián)網(wǎng)應(yīng)用進行攻擊，達到系統(tǒng)破壞或者數(shù)據(jù)竊取的目的。雖然工業(yè)物聯(lián)網(wǎng)概念較新，但是其依托的卻是現(xiàn)代成熟的工業(yè)自動化技術(shù)與通信技術(shù)，這就導(dǎo)致傳統(tǒng)黑客攻擊方法對工業(yè)物聯(lián)網(wǎng)系統(tǒng)是適用的。另外，由于工業(yè)物聯(lián)網(wǎng)系統(tǒng)中包含大量有價值數(shù)據(jù)，也吸引著各方去攻擊挑戰(zhàn)。截至2015年12月，中國國家信息安全漏洞共享平臺、美國CVE(公共漏洞庫)和ICS-CERT（工控系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組）共披露

3、工控系統(tǒng)相關(guān)漏洞達949個，涉及國內(nèi)外廠商120個，漏洞數(shù)量較2014年增長38%。根據(jù)ICS-CERT統(tǒng)計，工業(yè)領(lǐng)域網(wǎng)絡(luò)安全事件呈快速爆發(fā)趨勢，2010年僅為39件，而2013年竟高達256件。這些網(wǎng)絡(luò)安全事件多分布在能源（151件，59%）、關(guān)鍵制造業(yè)（52件，20%）、市政交通（15件，10%）等涉及國計民生的關(guān)鍵基礎(chǔ)行業(yè)。能源與關(guān)鍵制造業(yè)網(wǎng)絡(luò)安全事件占總數(shù)的80%，這與工業(yè)能源領(lǐng)域高度的自動化與信息化密切相關(guān)。如2012年8月，沙特Aramco石油公司生產(chǎn)管理平臺被曝出2個遠程登錄漏洞，黑客利用該漏洞使用“Shamoon”蠕蟲進行攻擊，造成該石油公司3萬多臺電腦受到影響；2016年1月

4、，烏克蘭電網(wǎng)遭黑客攻擊，導(dǎo)致3個地區(qū)數(shù)百家用戶供電遭到中斷。據(jù)調(diào)查，此次攻擊是利用應(yīng)用軟件的0day漏洞嵌入BlackEnergy木馬實現(xiàn)遠程入侵，再進行橫向傳播，最終達到破壞目的?？梢灶A(yù)見，隨著工業(yè)物聯(lián)網(wǎng)的快速發(fā)展，其面臨的安全形勢也將更加嚴峻。系統(tǒng)節(jié)點互聯(lián)導(dǎo)致安全問題影響范圍進一步擴大和以往工業(yè)自動化、信息化系統(tǒng)采用局域網(wǎng)不同，工業(yè)物聯(lián)網(wǎng)從一開始定義便是一個高度互聯(lián)互通的網(wǎng)絡(luò)。一個完整的工業(yè)物聯(lián)網(wǎng)系統(tǒng)往往擁有數(shù)萬個“數(shù)據(jù)節(jié)點”，一旦某個節(jié)點被攻破滲透，將對整個系統(tǒng)造成巨大影響且破壞將通過節(jié)點網(wǎng)絡(luò)高速擴散。2013年Black Hat大會上，有黑客展示了通過入侵某工業(yè)生產(chǎn)線網(wǎng)絡(luò)中某一數(shù)據(jù)節(jié)點

5、逐步奪取整個系統(tǒng)控制決策權(quán)，最終更改生產(chǎn)線生產(chǎn)流程決策的過程。包含物料采購子系統(tǒng)、生產(chǎn)子系統(tǒng)、銷售數(shù)據(jù)統(tǒng)計系統(tǒng)在內(nèi)的整個系統(tǒng)全部淪陷，而整個入侵過程只耗時不到2分鐘。2014年，俄羅斯Rosneft石油公司位于遠東地區(qū)某石油勘探節(jié)點被黑客攻擊，黑客通過該節(jié)點溯源獲得了該地區(qū)石油勘探網(wǎng)絡(luò)控制權(quán)，不但竊取了該地區(qū)石油勘探數(shù)據(jù)，還通過弱口令和身份欺騙登入俄羅斯能源部數(shù)據(jù)庫大肆瀏覽一番。這兩個案例都充分說明，隨著工業(yè)物聯(lián)網(wǎng)的發(fā)展，工業(yè)信息安全問題已不再局限于傳統(tǒng)工控系統(tǒng)所涉及的具體生產(chǎn)應(yīng)用范圍，極有可能擴大到整個工業(yè)物聯(lián)網(wǎng)系統(tǒng)的每個節(jié)點。新技術(shù)新應(yīng)用集成導(dǎo)致網(wǎng)絡(luò)安全問題更加突出工業(yè)物聯(lián)網(wǎng)系統(tǒng)是一個開放

6、的不斷兼容的系統(tǒng)。隨著業(yè)務(wù)不斷拓展，大量新技術(shù)與新應(yīng)用被集成進工業(yè)物聯(lián)網(wǎng)系統(tǒng)。受客觀條件限制，這些新技術(shù)、新應(yīng)用本身的安全防護強度并沒有經(jīng)過可靠性驗證，極易成為整個系統(tǒng)的“安全短板”。2013年9月，國內(nèi)某大型金融企業(yè)新上線一套內(nèi)部運營管理系統(tǒng)，該系統(tǒng)某些功能創(chuàng)新性實現(xiàn)了數(shù)據(jù)分散性存儲與控制，并將企業(yè)內(nèi)部各部門數(shù)據(jù)進行了互聯(lián)共享。企業(yè)隨后邀請國內(nèi)某知名安全廠商對該系統(tǒng)進行綜合安全評估，安全專家竟然從門禁系統(tǒng)入手，一步一步破解獲得系統(tǒng)權(quán)限，最終成功入侵核心數(shù)據(jù)庫。安全專家表示，整個系統(tǒng)的安全性具有明顯的“短板效應(yīng)”，雖然系統(tǒng)多個關(guān)鍵業(yè)務(wù)數(shù)據(jù)節(jié)點都進行了多重軟硬件加密，但是由于某些非核心業(yè)務(wù)的新功

7、能（如門禁）本身存在漏洞導(dǎo)致整個系統(tǒng)的安全功虧一簣。案例中的這種情況在當前工業(yè)物聯(lián)網(wǎng)發(fā)展中尤為常見，因為企業(yè)的工業(yè)物聯(lián)網(wǎng)的建設(shè)是伴隨著企業(yè)發(fā)展而不斷進行的，不斷有新功能新技術(shù)新設(shè)備加入網(wǎng)絡(luò)，如果這些功能設(shè)備技術(shù)未經(jīng)過嚴格的安全評估，極有可能導(dǎo)致整個系統(tǒng)暴露于網(wǎng)絡(luò)風(fēng)險之中。國家級的網(wǎng)絡(luò)攻擊力量快速發(fā)展導(dǎo)致應(yīng)對難度顯著增加由于工業(yè)領(lǐng)域關(guān)系一國經(jīng)濟命脈，一旦遭受攻擊將造成重大損失。目前西方國家都積極建立“網(wǎng)絡(luò)安全部隊”，為本國國家戰(zhàn)略利益服務(wù)。美國是最早建立“網(wǎng)絡(luò)安全部隊”并進行網(wǎng)絡(luò)攻擊的國家。據(jù)有關(guān)方面估計，美國目前網(wǎng)絡(luò)部隊人數(shù)將達到6000人，其它具有政府背景的黑客更達到上萬人。日韓兩國近年來在

8、網(wǎng)絡(luò)部隊上投入加大。日本防衛(wèi)省于2011年建立了一支5000余人的“網(wǎng)絡(luò)空間防衛(wèi)隊”專門從事網(wǎng)絡(luò)攻防；韓國于2010年建立網(wǎng)絡(luò)司令部與網(wǎng)絡(luò)攻擊部隊，招募了一大批具備實戰(zhàn)經(jīng)驗的民間黑客，其網(wǎng)絡(luò)戰(zhàn)科目也多次出現(xiàn)在“關(guān)鍵決心”、“乙支自由衛(wèi)士”等軍演中。總之，隨著工業(yè)物聯(lián)網(wǎng)面臨的信息安全形勢越來越嚴峻，有必要對工業(yè)物聯(lián)網(wǎng)面臨的信息安全隱患進行梳理，研究提升工業(yè)領(lǐng)域信息安全保障能力的方法。工業(yè)物聯(lián)網(wǎng)面臨的信息安全隱患分析傳統(tǒng)的傳感器技術(shù)、數(shù)據(jù)采集技術(shù)、數(shù)據(jù)傳輸技術(shù)、數(shù)據(jù)處理技術(shù)構(gòu)成了工業(yè)物聯(lián)網(wǎng)底層核心技術(shù)。當前這些傳統(tǒng)技術(shù)仍存在許多亟待解決的問題和需要彌補的漏洞。但隨著工業(yè)物聯(lián)網(wǎng)“萬物互聯(lián)”的實現(xiàn)，傳

9、統(tǒng)技術(shù)的安全問題非但不會減少反而隨著互聯(lián)網(wǎng)應(yīng)用的結(jié)合進一步放大并產(chǎn)生一些新的問題。工業(yè)物聯(lián)網(wǎng)面臨的信息安全隱患可以分為三大類，第一類來源于工業(yè)物聯(lián)網(wǎng)自身結(jié)構(gòu)特點，第二類是源自于與互聯(lián)網(wǎng)結(jié)合而帶來的外部網(wǎng)絡(luò)風(fēng)險，第三類則是基于社會工程學(xué)的非技術(shù)類滲透。內(nèi)部結(jié)構(gòu)特點導(dǎo)致的安全隱患全面感知層的信息安全隱患全面感知層是整個工業(yè)物聯(lián)網(wǎng)的最底層，也是基礎(chǔ)層。該層由大量工業(yè)傳感器節(jié)點、RFID節(jié)點、智能終端組成。其安全隱患主要有以下兩點：一是物理安全隱患。全面感知層的設(shè)備節(jié)點目前正朝著微型化發(fā)展，硬件結(jié)構(gòu)簡單，綜合防護能力不足。同時這些節(jié)點一般又部署在工作環(huán)境極其惡劣的生產(chǎn)一線，處于監(jiān)控盲區(qū)。一旦這些感知設(shè)

10、備被非法操作就可能引發(fā)連鎖反應(yīng)對整個工業(yè)物聯(lián)網(wǎng)系統(tǒng)造成破壞。二是軟件安全隱患。全面感知層的設(shè)備節(jié)點功能較為單一，MCU（中央控制器）處理能力較弱，非授權(quán)用戶極易通過暴力字典攻擊或堆棧溢出方式控制終端設(shè)備，偽造認證身份，潛入工業(yè)物聯(lián)網(wǎng)內(nèi)部?；ヂ?lián)傳輸層的信息安全隱患工業(yè)物聯(lián)網(wǎng)由于是多系統(tǒng)、多平臺、多設(shè)備的整合，這就決定了其必須協(xié)調(diào)使用多種不同的數(shù)據(jù)傳輸方式和傳輸協(xié)議并開放相關(guān)端口。其安全隱患主要體現(xiàn)在以下兩點：一是感知層節(jié)點數(shù)據(jù)的調(diào)度與認證問題。工業(yè)物聯(lián)網(wǎng)體系要求感知層具有大量數(shù)據(jù)采集節(jié)點，這些節(jié)點以集群方式組成無線傳感器網(wǎng)絡(luò)，如果系統(tǒng)調(diào)度產(chǎn)生問題，就會造成數(shù)據(jù)擁塞、丟失、拒絕服務(wù)；同時傳遞層每個

11、終端節(jié)點的身份認證也會消耗大量網(wǎng)絡(luò)資源，降低傳輸效率。二是底層數(shù)據(jù)的加密傳輸與通信問題。由于傳感器數(shù)據(jù)多種多樣，很多無線傳感器接口數(shù)據(jù)采用自定義格式，數(shù)據(jù)加密也僅采用逐條加密方式；為了保證組件之間兼容性，網(wǎng)絡(luò)端口開放過多。這些因素造成了數(shù)據(jù)在傳輸過程中易被竊取。智能處理層信息安全隱患智能處理層主要由信息物理系統(tǒng)（CPS）整合多種運算存儲平臺對底層原始數(shù)據(jù)進行深入分析處理，然后根據(jù)上層應(yīng)用需要實現(xiàn)同一感知數(shù)據(jù)在不同工業(yè)應(yīng)用系統(tǒng)間的數(shù)據(jù)共享，同時還能接受上層指令，處理協(xié)調(diào)各子系統(tǒng)和感知設(shè)備運行。其安全風(fēng)險主要體現(xiàn)在以下兩點：一是非法人為干預(yù)導(dǎo)致數(shù)據(jù)處理失控。由于智能處理層在整個工業(yè)物聯(lián)網(wǎng)層次結(jié)構(gòu)中

12、屬于核心，其被人為惡意干預(yù)的概率大大增加，一旦硬件被入侵，將對其上層應(yīng)用和下層感知產(chǎn)生重大影響。二是病毒等惡意軟件攻擊導(dǎo)致系統(tǒng)穩(wěn)定性降低。智能平臺由于需要處理整個工業(yè)物聯(lián)網(wǎng)系統(tǒng)的數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)量、計算量極大，其對拒絕服務(wù)攻擊和病毒代碼的防護能力就顯得捉襟見肘。一旦被攻破，就會導(dǎo)致系統(tǒng)處于不可控狀態(tài)。綜合應(yīng)用層信息安全隱患綜合應(yīng)用層直接面向管理人員或者客戶，為不同應(yīng)用需求提供多種定制化應(yīng)用程序。其安全隱患主要體現(xiàn)在以下幾點：一是綜合應(yīng)用層的多樣性與不確定性導(dǎo)致系統(tǒng)漏洞頻發(fā)。由于該層是根據(jù)不同應(yīng)用需求定制而成，各應(yīng)用程序之間數(shù)據(jù)接口與標準不一，導(dǎo)致系統(tǒng)出現(xiàn)安全漏洞。二是數(shù)據(jù)共享與訪問控制沖突導(dǎo)致的

13、數(shù)據(jù)及隱私泄露。整個工業(yè)物聯(lián)網(wǎng)系統(tǒng)上層應(yīng)用是基于同一套底層傳感數(shù)據(jù)。不同應(yīng)用程序之間對數(shù)據(jù)的訪問容易造成數(shù)據(jù)泄露。此外由于工業(yè)物聯(lián)網(wǎng)的目標是連接產(chǎn)品與客戶，這就不可避免對客戶個人信息、使用習(xí)慣等隱私數(shù)據(jù)進行搜集。如果應(yīng)用層處理不當，極易造成客戶隱私數(shù)據(jù)泄露。外部網(wǎng)絡(luò)攻擊隱患工業(yè)物聯(lián)網(wǎng)的核心是節(jié)點互聯(lián)，Internet仍是實現(xiàn)工業(yè)物聯(lián)網(wǎng)的重要工具，這就導(dǎo)致當前互聯(lián)網(wǎng)所面臨的一些安全威脅也都會在工業(yè)物聯(lián)網(wǎng)中有所體現(xiàn)，這些網(wǎng)絡(luò)威脅甚至?xí)鶕?jù)工業(yè)物聯(lián)網(wǎng)應(yīng)用的特殊性進行一些調(diào)整，增強其破壞性。系統(tǒng)破壞型網(wǎng)絡(luò)攻擊行為這種網(wǎng)絡(luò)攻擊行為多是通過端口掃描，發(fā)現(xiàn)系統(tǒng)漏洞然后進行拒絕服務(wù)攻擊、洪泛攻擊，最終耗盡服務(wù)

14、系統(tǒng)網(wǎng)絡(luò)資源造成系統(tǒng)宕機?；蚴峭ㄟ^系統(tǒng)漏洞潛入系統(tǒng)，對系統(tǒng)核心服務(wù)、數(shù)據(jù)進行破壞，干擾服務(wù)運行。數(shù)據(jù)竊取型網(wǎng)絡(luò)攻擊行為這種網(wǎng)絡(luò)攻擊主要利用木馬或系統(tǒng)漏洞潛入服務(wù)系統(tǒng)，以竊取企業(yè)核心機密或用戶隱私數(shù)據(jù)為目的，而不一定對系統(tǒng)造成較大破壞，隱蔽性較高。目前這種網(wǎng)絡(luò)攻擊形式呈增長態(tài)勢，攻擊多涉及經(jīng)濟利益。有報道某廠家推出的智能家居套裝，被黑客利用App漏洞，控制了包括網(wǎng)絡(luò)攝像頭、智能插座、智能冰箱、智能空調(diào)等多種設(shè)備的整套系統(tǒng)，嚴重侵犯用戶隱私?？刂平┦途W(wǎng)絡(luò)攻擊行為控制僵尸型網(wǎng)絡(luò)攻擊行為主要是通過節(jié)點入侵控制工業(yè)物聯(lián)網(wǎng)系統(tǒng)來實施進一步的惡意行為。由于節(jié)點的脆弱性以及網(wǎng)絡(luò)拓撲結(jié)構(gòu)的多變性，攻擊者通過分

15、析節(jié)點數(shù)據(jù)包獲取身份、密碼信息，然后篡改軟硬件配置，進而俘獲更多僵尸節(jié)點，一旦控制整個僵尸網(wǎng)絡(luò)，黑客就可以進行各種攻擊，如：監(jiān)聽用戶信息、發(fā)布虛假信息、發(fā)起DDoS攻擊等。釣魚偽裝型網(wǎng)絡(luò)攻擊行為在眾多互聯(lián)網(wǎng)安全威脅中，釣魚網(wǎng)站已經(jīng)成為發(fā)展最為迅猛的一個。日常生活中的釣魚網(wǎng)站主要是以騙取客戶信用卡卡號和密碼、手機驗證碼等手段盜取客戶資金。當前黑客的釣魚手段已經(jīng)逐漸滲透進工業(yè)領(lǐng)域，通過偽裝的釣魚頁面黑客可以輕易獲得系統(tǒng)管理員密碼、下載安裝后門木馬、更改系統(tǒng)運行設(shè)置等。員工往往對工作環(huán)境下的信息安全威脅警惕性不高導(dǎo)致系統(tǒng)中招。其他非技術(shù)類網(wǎng)絡(luò)攻擊隱患利用社會工程學(xué)等非技術(shù)手段進行的網(wǎng)絡(luò)攻擊與傳統(tǒng)暴力

16、破解型、強制攻擊型攻擊方式不同，其充分利用人性弱點進行攻擊，比如免費贈送捆綁軟件、付費網(wǎng)絡(luò)調(diào)查、各種巨額中獎郵件、來路可疑的填表資料等。社會工程學(xué)網(wǎng)絡(luò)攻擊是非傳統(tǒng)網(wǎng)絡(luò)攻擊行為，其攻擊目標不是機器而是人，難于防范。工業(yè)領(lǐng)域由于包含了大量有價值數(shù)據(jù)，已經(jīng)成為社會工程學(xué)攻擊的主要目標。2014年9月，安全公司Trustwave下SpiderLabs安全小組在對多家鋼鐵、石油公司安全管理系統(tǒng)進行測試時，通過偽造可信任發(fā)件人名單，向公司普通員工發(fā)送信息調(diào)查表和木馬測試程序，并聲稱其電腦存在安全風(fēng)險需要進行反病毒升級，若同時填寫調(diào)查表則可以獲得現(xiàn)金獎勵。很多員工出于小利益誘惑，未經(jīng)仔細核驗便填寫了信息表并

17、執(zhí)行了程序。當前社會工程學(xué)理念已經(jīng)充分融入到多種網(wǎng)絡(luò)攻擊形式中，對其防范也愈加困難。我國工業(yè)物聯(lián)網(wǎng)信息安全保障體系存在的問題通過上述分析可見，工業(yè)物聯(lián)網(wǎng)目前仍存在較嚴重的信息安全風(fēng)險，信息安全問題已經(jīng)成為工業(yè)物聯(lián)網(wǎng)推廣應(yīng)用一大障礙。然而，當前我國在發(fā)展工業(yè)物聯(lián)網(wǎng)過程中，尚未建立完善的工業(yè)物聯(lián)網(wǎng)信息安全保障體系，在政策法規(guī)、管理機制、核心技術(shù)、人才培養(yǎng)、企業(yè)責任意識等多方面存在不足。政策法規(guī)不健全隨著信息安全形勢的日益嚴峻，國家有關(guān)部門已經(jīng)開始重視以物聯(lián)網(wǎng)為代表的新興產(chǎn)業(yè)的網(wǎng)絡(luò)安全問題，并出臺了相應(yīng)政策與規(guī)范。如物聯(lián)網(wǎng)“十二五”發(fā)展規(guī)劃、物聯(lián)網(wǎng)發(fā)展專項行動計劃(2013-2015年)都明確提出了

18、建立信息安全保障體系，做好物聯(lián)網(wǎng)信息安全頂層設(shè)計，加強物聯(lián)網(wǎng)信息安全技術(shù)的研究開發(fā)，有效保障信息采集、傳輸、處理等各個環(huán)節(jié)的安全可靠等要求。然而上述文件僅對物聯(lián)網(wǎng)眾多應(yīng)用領(lǐng)域做出了基本安全要求，而并未對細分領(lǐng)域作出明確要求。國家尚未對工業(yè)物聯(lián)網(wǎng)安全做明確的頂層設(shè)計，這將為工業(yè)物聯(lián)網(wǎng)后期發(fā)展留下安全隱患。此外，國家沒有出臺針對工業(yè)物聯(lián)網(wǎng)信息安全的法律法規(guī)，一旦出現(xiàn)工業(yè)物聯(lián)網(wǎng)信息安全事件，將出現(xiàn)無法可依的局面。管理機制不統(tǒng)一由于我國當前工業(yè)物聯(lián)網(wǎng)應(yīng)用尚未全面鋪開，針對工業(yè)物聯(lián)網(wǎng)信息安全的管理體系仍未建立，相關(guān)工作仍未開展。一是缺少統(tǒng)一管理。工業(yè)物聯(lián)網(wǎng)是跨部門的，涉及設(shè)計、采購、生產(chǎn)、銷售、管理等諸

19、多部門，沒有一個統(tǒng)一的主管協(xié)調(diào)部門，也沒有確定管理主體，難以實現(xiàn)統(tǒng)一管理。二是缺少管理標準。工業(yè)物聯(lián)網(wǎng)信息安全檢測、評估、準入等都沒有具體的標準，而且由于缺乏統(tǒng)一管理，相關(guān)標準也不是一個行業(yè)的主管部門可以制定的，這就導(dǎo)致具體實施沒有依據(jù)，工業(yè)企業(yè)只能根據(jù)自身業(yè)務(wù)需要自行設(shè)計、驗證相關(guān)安全接口，最終導(dǎo)致產(chǎn)品安全標準不一，漏洞頻發(fā)。三是缺少統(tǒng)一的信息安全預(yù)警與重大事件應(yīng)急響應(yīng)機制。目前我國工業(yè)物聯(lián)網(wǎng)建設(shè)仍處在摸索階段，缺乏相應(yīng)的安全預(yù)警及應(yīng)急響應(yīng)機制，導(dǎo)致不能及時發(fā)現(xiàn)系統(tǒng)內(nèi)異常節(jié)點并進行威脅評估與預(yù)警、發(fā)生重大網(wǎng)絡(luò)安全事故后不能及時控制事態(tài)降低損失。核心技術(shù)及標準受制于人我國在工業(yè)信息化領(lǐng)域追趕西

20、方發(fā)達國家的過程中，對其先進技術(shù)往往全盤接收，缺乏創(chuàng)新性消化吸收。目前工業(yè)物聯(lián)網(wǎng)建設(shè)所依托的核心傳感器技術(shù)、芯片設(shè)計制造技術(shù)、操作系統(tǒng)技術(shù)、大數(shù)據(jù)與云計算技術(shù)的核心專利都由國外掌握，一旦國際局勢緊張或貿(mào)易摩擦升級，這些關(guān)鍵領(lǐng)域就會受到重大影響。在芯片設(shè)計制造領(lǐng)域，中國社科院2014年發(fā)布的經(jīng)濟藍皮書披露國內(nèi)應(yīng)用芯片90%以上來自進口。另據(jù)國家統(tǒng)計局發(fā)布數(shù)據(jù)，截至2015年12月，中國集成電路進口總數(shù)為3140億片，進口總金額達到2299.28億美元，同比增長5.7%，超過了石油；在桌面操作系統(tǒng)領(lǐng)域，據(jù)Net Applications統(tǒng)計，截至2016年2月，微軟Windows操作系統(tǒng)仍占據(jù)桌面

21、操作系統(tǒng)的最大份額，總計達到90.45%；在智能設(shè)備操作系統(tǒng)領(lǐng)域，據(jù)Gartner統(tǒng)計，2016年第一季度谷歌Android系統(tǒng)占據(jù)智能設(shè)備操作系統(tǒng)84.1%份額，蘋果iOS占14.8%，二者幾乎壟斷智能設(shè)備操作系統(tǒng)市場。iOS系統(tǒng)完全封閉，Android系統(tǒng)雖然是開源，但其核心技術(shù)和技術(shù)路線仍受到谷歌公司嚴格控制，中國手機操作系統(tǒng)研發(fā)企業(yè)也時刻面臨谷歌的商業(yè)歧視如延遲代碼共享時間、通過商業(yè)協(xié)議制約終端企業(yè)等?；谝陨显颍覈鴮Ω鞣N工業(yè)物聯(lián)網(wǎng)產(chǎn)品的開發(fā)設(shè)計、安全性評估均受制于人，難以保證其信息安全工作的有效性。此外，工業(yè)物聯(lián)網(wǎng)是一個層次性架構(gòu)體系，每層均有相對應(yīng)信息采集傳輸安全標準，目前這些

22、標準的制定幾乎由國外把持。如規(guī)定了傳感器節(jié)點組網(wǎng)方式及數(shù)據(jù)加密轉(zhuǎn)發(fā)的ZigBee協(xié)議棧是基于IEEE802.15.4開發(fā)，由美國IEEE掌握其核心專利技術(shù)；傳輸層采用的主流安全傳輸協(xié)議如TCP/IP、HTTP、FTP協(xié)議也均由美國設(shè)計主導(dǎo)；工業(yè)物聯(lián)網(wǎng)應(yīng)用層網(wǎng)絡(luò)安全采用的openSAFETY協(xié)議棧也由國際電工協(xié)會IEC制定。這些標準中很多信息安全規(guī)則并不完全適合我國工業(yè)發(fā)展情況，為工業(yè)物聯(lián)網(wǎng)的進一步發(fā)展埋下安全隱患。人才培養(yǎng)體系不完善我國工業(yè)物聯(lián)網(wǎng)信息安全人才培養(yǎng)體系不健全，從高校教育看，信息安全專業(yè)剛剛獲批成為一級學(xué)科，探索初期存在課程體系設(shè)置不科學(xué)、教師水平參差不齊等突出問題；從高職教育看，

23、工業(yè)信息安全教育的定位不夠清晰，沒有突出信息安全職業(yè)導(dǎo)向所重視的實操能力培養(yǎng)；從社會培訓(xùn)看，存在涉及內(nèi)容不深入、體系性差、培訓(xùn)費用較高的問題。這些問題綜合導(dǎo)致了工業(yè)物聯(lián)網(wǎng)信息安全領(lǐng)域人才供需失衡，特別是優(yōu)秀人才匱乏。企業(yè)信息安全意識淡薄目前工業(yè)物聯(lián)網(wǎng)正處于發(fā)展初期，其短期經(jīng)濟效益不明顯，同時其本身架構(gòu)與傳統(tǒng)工業(yè)自動化系統(tǒng)結(jié)構(gòu)不同，對其改造升級需要投入大量資金，這就造成很多工業(yè)企業(yè)與信息安全廠商都處于觀望狀態(tài)。一些企業(yè)為了盡快搶占市場也只注重核心產(chǎn)品功能開發(fā)而忽略信息安全建設(shè)投入，這就導(dǎo)致一旦工業(yè)物聯(lián)網(wǎng)系統(tǒng)建設(shè)完成，系統(tǒng)漏洞頻發(fā)，后續(xù)信息安全維護工作將困難重重。提升我國工業(yè)物聯(lián)網(wǎng)信息安全保障能力

24、的對策為了有效解決工業(yè)物聯(lián)網(wǎng)發(fā)展的瓶頸問題，掃清安全障礙，需要從完善相關(guān)政策法規(guī)、建立統(tǒng)一安全管理機制、突破核心技術(shù)限制、健全相關(guān)人才培養(yǎng)體系、轉(zhuǎn)變企業(yè)思維模式增加資金投入等方面采取進一步的措施。健全政策法規(guī)體系一是針對工業(yè)物聯(lián)網(wǎng)的應(yīng)用特點，研究制定、修改、完善相關(guān)法律法規(guī)，改變政策替代法律的局面。深入梳理分析當前已有的信息安全法律法規(guī)，并根據(jù)當前工業(yè)物聯(lián)網(wǎng)發(fā)展形勢提出修改建議。二是進行工業(yè)物聯(lián)網(wǎng)應(yīng)用下企業(yè)數(shù)據(jù)安全保護和資源共享立法研究，建立企業(yè)核心數(shù)據(jù)保護規(guī)則，明確在工業(yè)物聯(lián)網(wǎng)應(yīng)用各個階段對基礎(chǔ)數(shù)據(jù)的采集、傳輸、處理、存儲和使用過程中各相關(guān)方的權(quán)利義務(wù)。三是全面加強工業(yè)物聯(lián)網(wǎng)體系下個人數(shù)據(jù)隱私的防護，建立隱私保護機制，防止企業(yè)在未經(jīng)授權(quán)情況下對客戶數(shù)據(jù)進行采集、傳輸、存儲與使用。統(tǒng)一安全管理機制一是建立完善工業(yè)物聯(lián)網(wǎng)信息安全管理體系，以政府為主體，第三方測試機構(gòu)為參與單位，制定統(tǒng)一標準，設(shè)立準入制度，開展工業(yè)物聯(lián)網(wǎng)行業(yè)的安全評估