收藏我们|设为首页
首页>>研究成果
我国工业物联网信息安全保障体系存在的问题
发布时间:2016-09-22 08:54  来源:网络空间研究所  作者:张猛

       工业物联网目前仍存在较严重的信息安全风险,信息安全问题已经成为工业物联网推广应用一大障碍。然而,当前我国在发展工业物联网过程中,尚未建立完善的工业物联网信息安全保障体系,在政策法规、管理机制、核心技术、人才培养、企业责任意识等多方面存在不足。

(一)政策法规不健全
        随着信息安全形势的日益严峻,国家有关部门已经开始重视以物联网为代表的新兴产业的网络安全问题,并出台了相应政策与规范。如《物联网“十二五”发展规划》、《物联网发展专项行动计划(2013-2015年)》都明确提出了“建立信息安全保障体系,做好物联网信息安全顶层设计,加强物联网信息安全技术的研究开发,有效保障信息采集、传输、处理等各个环节的安全可靠”等要求。然而上述文件仅对物联网众多应用领域做出了基本安全要求,而并未对细分领域作出明确要求。国家尚未对工业物联网安全做明确的顶层设计,这就为工业物联网后期发展埋下安全隐患。此外,国家没有出台针对工业物联网信息安全的法律法规,一旦出现工业物联网信息安全事件,将出现无法可依的局面。
(二)管理机制不统一
      由于我国当前工业物联网应用尚未全面铺开,针对工业物联网信息安全的管理体系仍未建立,相关工作仍未开展。
      一是缺少统一管理。工业物联网是跨部门的,涉及设计、采购、生产、销售、管理等诸多部门,没有一个统一的主管协调部门,也没有确定管理主体,难以实现统一管理;
      二是缺少管理标准。工业物联网信息安全检测、评估、准入等都没有具体的标准,而且由于缺乏统一管理,相关标准也不是一个行业的主管部门可以制定的,这就导致具体实施没有依据,工业企业只能根据自身业务需要自行设计、验证相关安全接口,最终导致产品安全标准不一,漏洞频发。
      三是缺少统一的信息安全预警与重大事件应急响应机制。目前我国工业物联网建设仍处在摸索阶段,缺乏相应的安全预警及应急响应机制,导致不能及时发现系统内异常节点并进行威胁评估与预警、发生重大网络安全事故后不能及时控制事态降低损失。
(三)核心技术及标准受制于人
       我国在工业信息化领域追赶西方发达国家的过程中,对其先进技术往往全盘接收,缺乏创新性消化吸收。目前工业物联网建设所依托的核心传感器技术、芯片设计制造技术、操作系统技术、大数据与云计算技术的核心专利都由国外掌握,一旦国际局势紧张或贸易摩擦升级,这些关键领域就会受到重大影响。在芯片设计制造领域,根据中国社科院发布的2014年《经济蓝皮书》披露国内应用芯片90%以上来自进口。另据国家统计局发布数据显示,截至2015年12月,中国集成电路进口总数为3140亿片,进口总金额达到2299.28亿美元,同比增长5.7%,超过了石油;在桌面操作系统领域,据Net Applications统计,截至2016年2月,微软Windows操作系统仍占据桌面操作系统的最大份额,总计达到90.45%;在智能设备操作系统领域,据Gartner统计,2016年一季度谷歌Android系统占据智能设备操作系统84.1%份额,苹果IOS占14.8%,二者几乎垄断智能设备操作系统市常IOS系统完全封闭,Android系统虽然是开源,但其核心技术和技术路线仍受到谷歌公司严格控制,中国手机操作系统研发企业也时刻面临谷歌的商业歧视如延迟代码共享时间、通过商业协议制约终端企业等。基于以上原因,我国对各种工业物联网产品的开发设计、安全性评估均受制于人,难以保证其信息安全工作的有效性。
       此外,工业物联网是一个层次性架构体系,每层均有相对应信息采集传输安全标准,目前这些标准的制定几乎由国外把持。如规定了传感器节点组网方式及数据加密转发的ZigBee协议栈是基于IEEE802.15.4开发,由美国IEEE掌握其核心专利技术;传输层采用的主流安全传输协议如TCP/IP、HTTP、FTP协议也均由美国设计主导;工业物联网应用层网络安全采用的openSAFETY协议栈也由国际电工协会IEC制定。这些标准中很多信息安全规则并不完全适合我国工业发展国情,为工业物联网的进一步发展埋下安全隐患。
(四)人才培养体系不完善
      我国工业物联网信息安全人才培养体系不健全,从高校教育看,信息安全专业刚刚获批成为一级学科,探索初期存在课程体系设置不科学、教师水平参差不齐等突出问题;从高职教育看,工业信息安全教育的定位不够清晰,没有突出信息安全职业导向所重视的实操能力培养;从社会培训看,存在涉及内容不深入、体系性差、培训费用较高的问题。这些问题综合导致了工业物联网信息安全领域人才供需失衡,特别是优秀人才匮乏。
(五)企业信息安全意识淡薄
      目前工业物联网正处于发展初期,其短期经济效益不明显,同时其本身架构与传统工业自动化系统结构不同,对其改造升级需要投入大量资金,这就造成很多工业企业与信息安全厂商都处于观望状态。一些企业为了尽快抢占市场也只注重核心产品功能开发而忽略信息安全建设投入,这就导致一旦工业物联网系统建设完成,系统漏洞频发,后续信息安全维护工作将困难重重。
 
智库介绍

        赛迪智库是中国工业和信息化领域的知名思想库,直属于国家工业和信息化部中国电子信息产业发展研究院。自成立二十余年以来,秉承“面向政府,服务决策”的宗旨,赛迪智库专业从事软科学研究工作....[详细]

免费空间赞助商: VPS测评 | VPS技巧 | LocVPS | 51IDC | YardVPS | SEO | MD5 | 网赚 | HHVM | DreamSpark | SiteMap | noFrev |
组织机构