央广网北京11月2日消息(记者吕红桥)很多人可能不知道,网络犯罪每年给全球造成的损失比自然灾害大得多,这足以说明信息安全有多重要。而工业作为国民经济的命脉,信息安全更不容忽视。我国工业信息安全形势如何?如何更好保障工业信息安全?由国家工业信息安全发展研究中心、工业信息安全产业发展联盟主办的2023年工业信息安全大会今天(2日)开幕,专家回应了这些问题。
根据工信部网络安全管理局提供的数据,今年以来,工信部数据安全风险信息报送与共享平台累计报告3700多起风险,其中80%以上的风险涉及工业领域。如何保障工业信息安全?传统的思路是哪里有漏洞和风险,就在哪里打补丁。而中国工程院院士邬江兴认为,这种“叠罗汉”式的安全防御体系,很难从源头上解决信息安全问题。
邬江兴说:“在这种打补丁的过程中,我们可以看到,不管是封门补漏还是内嵌内置、各种附加认证和附加安全的检测技术,都无法保证补丁内或者打补丁后,不会导入新的内生安全问题。所以因为存在基因缺陷,无论对你堆砌多少附加或类似的安全技术,有量变,但不会有质变。”
邬江兴还表示,通过持续打补丁的方式维护信息安全,可能会导致网络安全责任失衡。具体来说,就是信息安全保护的责任集中在了用户侧,他们购买硬件或服务后,需要持续打补丁,防风险。而向他们提供硬件或服务的主体,很多时候都不需要关注信息安全。邬江兴建议,用一种新的思维模式,应对信息安全风险。
邬江兴说:“需要一种消费者可以信任他们每天使用的技术的安全性和完整性的模式。别跟我来谈要加什么东西,你卖给我的手机,拿出来就应该是开箱即用,默认安全,而不是说你让我添这个加那个。所以,平衡网络安全风险与责任要从数字产业的源头,也就是底层驱动技术抓起,无论是数字产业化还是产业数字化,都必须以网络安全为第一要务。”
对于工业信息安全保障工作,工信部表示,将加强工业领域数据安全监管,赋能新型工业化数据要素流通和价值释放。工信部网络安全管理局副局长杜广达说:“要紧盯重点企业、重要场景,做好重要数据和核心数据目录的动态管理,加强数据分类分级防护。要依法组织数据安全风险评估和监督检查,加强风险信息的报送共享和研判处置,及时防范化解重大风险,为数据安全有序流动奠定坚实基础。”
工信部还明确,要推动网络和数据安全产业做大做强,提升新型工业化发展所需的安全技术产品和服务供给能力。工业信息安全产业发展联盟统计显示,2022年我国工业信息安全产业规模为204.86亿元,市场增长率达到21.62%。国家工业信息安全发展研究中心副主任李丽表示,企业对工业信息安全防护提出更加专业化和细分化的能力要求。
李丽说:“相关产品服务在提升产品标准化水平、降低运营成本与增强产品灵活性、贴合企业业务需求之间,不断在探寻平衡,呈现出更强的行业属性。2022年电力、智能制造、交通和石油石化等关键信息基础设施领域的工业信息安全投入占比依然保持在较高的水平。”