乃门坡戛网
当前位置:乃门坡戛网 > 科技 > 专家:风险分析是工业互联网安全的基础
正文

专家:风险分析是工业互联网安全的基础

发布时间: 2019-12-02 16:27:34     人气: 2914

近日,十部委联合发布了《关于加强工业互联网安全的指导意见》(以下简称《意见》),指导工业互联网安全体系顶层规划的实施,加快工业互联网安全体系建设,增强工业互联网安全能力,促进工业互联网高质量发展,为实施制造业强国和网络强国战略保驾护航。《意见》指出,应根据安全风险程度等因素对企业进行分类和管理,建立和完善关键设备设备和系统平台联网前后风险评估等制度,开展安全评估认证,促进产业互联网安全和产业发展的技术创新。

风险分析是工业互联网安全的基础

安全的本质是“没有不可接受的风险”。在工业领域,风险总是随着技术的发展和进步而出现。人类有意识的风险预防可以追溯到中世纪。17世纪下半叶,蒸汽机的发明将生产带入机械化时代。随之而来的是生产中的风险问题,机械伤害和损坏事故时有发生。19世纪末,电的发明推动了电时代的到来。一旦巨大的电能应用不当或控制不当,就会转化为破坏力。风险防范技术正以令人痛苦的代价不断发展和完善。

工业互联网打破了过去人与机器之间、工厂与工厂之间、企业上游与下游之间相对独立和纯粹物理隔离的状态,建立了一个开放的全球工业网络。互联网给行业带来便利的同时,也带来了严重的风险。尤其是工业自动化控制系统中由网络安全和信息安全问题引起的事故迅速增加。传统的产业安全措施已经不能满足网络融合趋势下的风险控制要求,迫切需要转型升级。

工业互联网安全应基于风险分析,提出风险控制目标。对于不基于风险分析的安全保证,通常存在以下现象:

过度保护。无论风险是什么,也无论是否需要注意,即综合各种保护措施或直接使用最高安全级别的保护设施,导致资源浪费、后期运行和维护负担沉重,甚至由于保护措施或管理程序本身不必要的复杂性而产生新的风险。

保护不足。对风险后果影响程度的估计严重不足,在人员素质、管理标准、技术措施、应急处理等一个或多个方面没有系统的规划和实施。,导致大量潜在风险。

错误的保护。风险的根本原因不明,认识不足,安全措施针对性不强,防护效率不高。

技术约束下的保护缺口。新技术的发展带来了产业转型和文明进步,但应用条件不成熟、设计制造缺陷、缺乏保护经验等。也容易引起各种不良问题,如生命损失、健康危害、环境污染等。

风险分析可以识别风险点、风险事件、风险事件的原因、可能的影响后果、适当的保护措施、符合标准和法规、实施的可行性等。以达到目标。

进行风险分析的最佳时间是在规划和设计阶段,应该贯穿整个生命周期。在我国,工业互联网是近年来发展起来的新事物。目前,它正处于全国大规模推进工业互联网规划和建设的开端。深入贯彻风险分析的科学理念,使风险分析变得可知、可管理、可控制,从根本上控制风险,是实现工业互联网安全本质提升的基础。

目前,工业互联网的安全风险分析主要集中在网络安全风险分析层面,对工业安全风险的需求仍然不足。工业安全风险分析和网络安全风险分析仍然是相对独立的运行系统。有必要尽快打破边界限制,建立统一的风险分析框架和方法,采取最坚定的步骤实施工业互联网安全。

统一的风险原则和评估标准是工业互联网安全的前提。

安全保证的根本目的是风险控制,即通过最佳手段(或手段组合)将风险控制在“合理可行的低水平”。因此,有必要制定风险接受原则和评估标准。

工业互联网安全风险分类和分级控制的前提是制定一套能够涵盖工业安全风险和网络安全风险的统一风险接受原则和评估标准。这极具挑战性,主要体现在:

首先,国内外对安全或风险的定义往往反映了应用领域的差异。例如,安全可以理解为安全或安保。广义而言,风险是某些可能影响人类价值观的事件或行为的不确定结果。在工业安全领域,风险是突发事件的可能性和后果严重性的结合。在网络安全领域,风险是使用特定漏洞的特定威胁所导致的特定后果的预期损失的概率表达式。

第二,根据生产企业的网络、平台、系统和设备的具体情况,不同行业的风险可接受性有不同的标准。

三、工业互联网属于跨学科领域,具有鲜明的新技术整合特征。然而,新技术在学科间的渗透还存在许多问题。目前在基础研究、方法和模型建立、可信度等方面都处于竞争研究阶段。风险标准不确定。

四、工业互联网属于新兴技术领域,要达到安全风险验收标准和评价标准的科学性、实用性、技术可行性、应用可操作性,还需要时间。

五、工业互联网仍处于建设的初级阶段,公众价值观的渗透仍然不足,容灾预测需要经验积累。

六是在现有的工业互联网分级控制框架下,需要建立评价标准的价值平衡和迭代优化机制。

现阶段,对工业互联网生产企业进行风险评估和安全评估认证,可以从以下几个方面入手:

功能安全性评估。

网络信息安全评估。

工业自动化和控制系统的风险评估。

网络信息安全保护措施对安全相关系统的影响评估。

智能技术和产品的风险评估和安全认证。

对于工业互联网平台和网络企业,当为工业企业提供的产品或服务具有安全生产相关内容时,应进一步扩展风险和安全评估。

安全集成是工业互联网安全发展的必然趋势

功能安全对于互联网时代的工业发展是不可或缺的。网络技术的工业应用安全应该从功能安全和信息安全的结合来考虑。

首先,开放和互联环境中的功能安全性。

二、报警、连锁、消防和瓦斯监控等功能安全系统功能层层到位,保障生产安全。每个系统不再只是一个被动的触发器,而是有能力分析和预测基于信息互联的主动防御。它能够可靠地将风险保持在合理且可接受的水平。

三.工业场景中的网络安全。网络攻击变得越来越多样化和复杂,工业系统也越来越处于开放的网络环境中。传统的it信息安全技术远远不能满足高风险和复杂工业生产应用的需求。构建纵深防御、内置安全、安全管理和应急响应相结合的综合集成防护体系,在保持工业生产稳定运行的同时,提高工业系统的安全性。

四、功能安全与网络安全协调防控。功能安全系统、工业网络安全设施和其他安全技术措施共同实现内部安全控制和外部安全保护,而不会因它们之间的冲突而导致生产安全风险事件。

五、人机交互与合作。通过物联网技术的深入感知、广泛互联和深度智能,健康、安全、环境和信息管理的触角延伸到“人类不安全行为、事物不安全状态、工艺流程不安全操作、设备不安全操作、环境不安全状态和信息不安全环境”的实时管控层面。构建工业互联网智能安全综合管控系统,实现安化建信的综合感知、智能分析和实时管控。

六、安全集成生命周期。从工业互联网风险管控的实际需求出发,在需求分析阶段准确定义安全功能、安全功能、安全完整性级别、安全防护能力和安全完整性级别等安全集成目标,并在设计、实施、运行、维护、变更和退出等各个阶段采取管控措施,确保目标的实现和维护。

《意见》的发布将有力促进工业安全与网络安全的融合

工业互联网安全是一个新兴的跨学科整合领域,不仅涉及能源、交通、医疗、机械和电子等许多关键行业,还涉及技术、设备、测试、通信、控制、信息、安全、管理、经济等许多技术专业。同时,要从产业链中的理论、研发、工程、运营、人才、监管、第三方服务等多个环节进行开放。任何不足或不足都会影响系统的构建和实施。现在,10个部委联合签署并发布了一份文件,使工业互联网得以安全整合。

新领域的发展离不开一整套系统支持。《意见》广泛推广试点项目和标准指导,探索评价体系建设,为整合创新开辟新技术领域。一套基于集成特征的工业互联网安全体系正在形成。(机械工业、仪器仪表综合技术经济研究所所长欧阳劲松)

资料来源:新华社

关注通化顺金融微信公众号(ths518),获取更多金融信息

河北快三投注 五湖四海全讯网 四川快乐十二开奖结果 湖北11选5投注

上一篇:数据透视70年 看工业通信业的历史蝶变
下一篇:支持民营企业发展新政将再迎升级 鼓励进入更多垄断领域