近日，網(wǎng)絡(luò)安全公司趨勢科技最新發(fā)布的報告稱，制造業(yè)企業(yè)已經(jīng)成為網(wǎng)絡(luò)犯罪分子、勒索軟件和國家黑客的首要目標(biāo)。其中，61％的企業(yè)工廠發(fā)生過網(wǎng)絡(luò)安全事件，其中3/4導(dǎo)致生產(chǎn)線下停擺。

此前，據(jù)IBM 2020年發(fā)布的威脅情報，2020年第一季度，勒索軟件攻擊在所有行業(yè)增長了25％，但針對制造業(yè)的攻擊增加了156％。Verizon發(fā)布的《2020 數(shù)據(jù)泄露調(diào)查報告》確認(rèn)了922 起針對制造企業(yè)的網(wǎng)絡(luò)攻擊，其中381起導(dǎo)致了敏感數(shù)據(jù)泄露。這一系列觸目驚心的數(shù)據(jù)給制造業(yè)安全防護敲響了警鐘。

三大原因，制造業(yè)成為網(wǎng)絡(luò)攻擊首要目標(biāo)

智能制造時代，工業(yè)大數(shù)據(jù)已經(jīng)成為制造業(yè)企業(yè)的核心資產(chǎn)，其重要性不言而喻。不法分子顯然也發(fā)現(xiàn)了這一點，因此紛紛逐利而來。“作為國民經(jīng)濟支柱產(chǎn)業(yè)，制造業(yè)擁有大量的工業(yè)數(shù)據(jù)，這些數(shù)據(jù)背后蘊藏的巨大經(jīng)濟利益對他們產(chǎn)生了難以抵御的吸引力。”業(yè)內(nèi)專家分析稱。根據(jù)Verizon發(fā)布的《2020數(shù)據(jù)泄露調(diào)查報告》，在針對制造業(yè)的攻擊活動中，出于經(jīng)濟目的的占75%，間諜竊密的則占27%。

與此同時，制造業(yè)數(shù)字化轉(zhuǎn)型加速帶來了全新的安全挑戰(zhàn)。“工業(yè)4.0”浪潮下，制造業(yè)企業(yè)加快了邁向“數(shù)字化”和“智能化”的步伐。以云計算、大數(shù)據(jù)、5G、人工智能等為代表的新興技術(shù)正在深度滲透至工業(yè)生產(chǎn)領(lǐng)域，在推動工業(yè)生產(chǎn)體系與運營模式升級的同時，也帶來了新的網(wǎng)絡(luò)安全挑戰(zhàn)。“工業(yè)互聯(lián)網(wǎng)相對消費互聯(lián)網(wǎng)而言會更復(fù)雜，應(yīng)用場景更多，海量設(shè)備、系統(tǒng)、生產(chǎn)服務(wù)都應(yīng)用在工業(yè)互聯(lián)網(wǎng)全環(huán)節(jié)，當(dāng)病毒等軟件安全風(fēng)險向工業(yè)互聯(lián)網(wǎng)領(lǐng)域滲透，一個環(huán)節(jié)出現(xiàn)漏洞會影響到企業(yè)的全流程發(fā)展。”來自樹根互聯(lián)的專家曾在采訪中談道。

此外，制造企業(yè)普遍都缺乏明晰的信息安全戰(zhàn)略與規(guī)劃、缺乏信息安全防護的技能與人才以及應(yīng)對信息安全風(fēng)險的體系與措施，尚未做好應(yīng)對信息安全風(fēng)險準(zhǔn)備。IBM Security曾針對370家擁有OT（操作技術(shù)）環(huán)境的工業(yè)企業(yè)進行了調(diào)研，結(jié)果顯示74%的受訪者沒有進行OT風(fēng)險評估，78%的受訪者沒有OT特定的安全策略，還有81%的受訪者沒有OT特定的安全事件響應(yīng)計劃。一旦遭遇網(wǎng)絡(luò)威脅和攻擊，很容易因此受到嚴(yán)重影響。

打開“安全防護傘”，為制造業(yè)高質(zhì)量發(fā)展保駕護航

事實上，針對制造業(yè)日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅問題，國家已經(jīng)在政策層面給出了方向指引，先后發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》、《工業(yè)控制系統(tǒng)信息安全防護指南》、《工業(yè)控制系統(tǒng)信息安全保障行動計劃》、《工業(yè)控制系統(tǒng)信息安全防護能力評估方法》、《關(guān)于加快推動制造服務(wù)業(yè)高質(zhì)量發(fā)展》等，為制造業(yè)健康、安全、高質(zhì)量發(fā)展?fàn)I造了良好政策環(huán)節(jié)。

政策如何實現(xiàn)真正落地？賽迪智庫網(wǎng)絡(luò)安全研究所所長劉權(quán)在接受《中國電子報》記者采訪時表示：“制造業(yè)門類豐富，網(wǎng)絡(luò)應(yīng)用場景各異，對于網(wǎng)絡(luò)安全防護的需求也各不相同，網(wǎng)絡(luò)安全管理體系建設(shè)有賴于主管部門、制造業(yè)企業(yè)和行業(yè)組織等的多方共同努力。”

在他看來，主管部門應(yīng)當(dāng)注重引導(dǎo)，加強支持力度。加快實施網(wǎng)絡(luò)安全分類分級保護措施，對不同行業(yè)、領(lǐng)域的制造業(yè)企業(yè)進行分類施策，差異化、精細(xì)化管理。對制造業(yè)網(wǎng)絡(luò)共性的設(shè)備、控制、平臺、應(yīng)用、數(shù)據(jù)安全問題制定相應(yīng)的安全管理制度和規(guī)定并逐步深入落實；推動網(wǎng)絡(luò)安全技術(shù)自主創(chuàng)新能力提升，針對重點領(lǐng)域制造業(yè)關(guān)鍵生產(chǎn)過程網(wǎng)絡(luò)設(shè)施，鼓勵研發(fā)自主可靠的網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)安全產(chǎn)品，逐步推動制造業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施國產(chǎn)化替代；組織做好制造業(yè)網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點示范，深入推行虛擬網(wǎng)技術(shù)、防火墻技術(shù)、病毒防護技術(shù)、入侵監(jiān)測技術(shù)、認(rèn)證和數(shù)字簽名技術(shù)等在制造業(yè)領(lǐng)域的安全實踐，加快網(wǎng)絡(luò)安全技術(shù)在制造業(yè)領(lǐng)域的應(yīng)用進程；加大政策力度和財政投入，引導(dǎo)制造業(yè)提高對網(wǎng)絡(luò)安全威脅影響的重視程度，鼓勵培養(yǎng)懂制造業(yè)的網(wǎng)絡(luò)安全專業(yè)人才。

作為網(wǎng)絡(luò)安全的主體，制造業(yè)企業(yè)應(yīng)承擔(dān)主體責(zé)任，主動構(gòu)建起針對企業(yè)運行、生產(chǎn)管理、過程監(jiān)控、現(xiàn)場控制各環(huán)節(jié)的網(wǎng)絡(luò)安全防御能力。根據(jù)工業(yè)企業(yè)行業(yè)特性以及安全整體需求，從設(shè)備、主機、網(wǎng)絡(luò)、數(shù)據(jù)等方面入手，形成包括邊界防護、資產(chǎn)管理、漏洞及入侵檢測、態(tài)勢感知、病毒防范、數(shù)據(jù)保護等的一體化動態(tài)綜合防御體系，及時發(fā)現(xiàn)、處置、阻斷各類網(wǎng)絡(luò)安全隱患風(fēng)險，并支撐溯源取證，提高企業(yè)安全綜合防護能力。

作為支撐與服務(wù)力量，行業(yè)組織應(yīng)充分發(fā)揮行業(yè)優(yōu)勢與紐帶作用，通過制定通用行業(yè)網(wǎng)絡(luò)安全防護標(biāo)準(zhǔn)，推進網(wǎng)絡(luò)安全規(guī)范化管理；以舉辦不同行業(yè)的網(wǎng)絡(luò)安全論壇培訓(xùn)等形式，增加制造業(yè)企業(yè)人員對網(wǎng)絡(luò)安全重要性的認(rèn)識；積極推動建立行業(yè)級網(wǎng)絡(luò)安全威脅信息共享和通報、應(yīng)急處置機制和威脅資源庫，幫助行業(yè)、企業(yè)提高面對網(wǎng)絡(luò)安全威脅的應(yīng)對能力。

步入工業(yè)4.0時代，制造業(yè)數(shù)字化轉(zhuǎn)型趨勢已經(jīng)非常明顯，網(wǎng)絡(luò)安全問題迫在眉睫。業(yè)內(nèi)專家指出：“這不是可以一件可以一勞永逸的事情，而是一個長久的、持續(xù)的過程。在數(shù)字化推動下，企業(yè)網(wǎng)絡(luò)與外界的邊界已基本消失，傳統(tǒng)的安全方式手段逐步失效，制造業(yè)面臨更多、更為復(fù)雜的攻擊和風(fēng)險，是時候重新考慮網(wǎng)絡(luò)安全的重要性了。”