工业互联网安全服务落地要点有哪些

工业互联网安全服务落地要点如下：

• 企业认知：部分企业和基层部门对工业互联网的认识理解、实施路径、发展方向等存在认知偏差，对工业互联网的基本认识都不到位，更别提应用工业互联网赋能产业和企业发展。从企业层面看，作为工业互联网建设和应用的主体，受技术发展水平和企业家认知限制，不少工业企业对工业互联网的认识，还停留在买自动化设备、上ERP和MES软件的层面，在打通和利用设计、开发、生产、销售等全流程数据方面还存在很大不足。从政府层面看，不少基层从事工业和信息化建设工作的人员对“什么是工业互联网”“如何做工业互联网”的理解不深不透，有些认为“工业互联网”就是互联网在工业中的应用，可以直接参考消费互联网的发展路径。

• 安全顾虑：工业互联网安全包括网络安全、设备安全、控制安全、应用安全、数据安全，比一般的“网络安全”更加复杂。大量企业，特别是中小企业还处于解决上云用云阶段，对网络安全的重视程度和投入都不够。大多数企业都谈到安全方面的顾虑，认为接入其他企业搭建的工业互联网平台，在数据确权、知识产权、信息安全等方面存有隐忧，担心自己的生产数据、客户关系等商业秘密被泄露。目前数据安全监管滞后，企业上云上平台后的数据资产是属于平台方还是企业方没有依据，数据开放程度只能协商，缺少政府信用背书，“上”还是“不上”很矛盾。企业信息安全、商业安全、数据安全得不到保障，成为当前企业“不敢上”的主要障碍。

• 专业人才数量质量：工业互联网横跨信息技术和制造业两大领域，需要大量既懂工业机理又懂信息技术的专业人才，沉入企业生产一线提炼管理、生产、工艺等行业知识，完成系统搭建和技术迭代升级。无论是在平台服务端还是企业端，都需要IT与OT（运营技术）结合的复合型人才。现实情况是，这样的人才极其稀缺，存在巨大缺口。人才短板既存在于工业企业中也表现在平台方。一些平台企业由于缺少懂工业机理的人才，搭建的平台只能为企业提供订单、销售功能，无法为企业生产制造赋能。

• 协议：一些主流工控协议本身存在一些缺陷，同时主流工控协议总体数量也相对较多，不同的生产商的设备会采用不同的协议，这就给安全防护带来了极大的难度。大部分工业互联网安全厂商都能做到对协议的识别，但是落实到安全能力的实现时，就需要对协议进行深度的识别——而大量不同的协议无疑是对厂商协议研究、分析能力的一大挑战。除了主流协议以外，还存在一些私有协议，就更需要安全厂商有能力对陌生的工控协议有学习协议规则和行为的能力，从而建立新的安全模型。

• 底层防护：工业互联网另一个难点在于底层防护更为困难。工业设备往往使用年限会很长，会积累大量没有修复的漏洞。同时，由于受限于工业互联网本身的业务可持续性要求，以及过去缺乏的安全意识，使得对这些漏洞的全面修复几乎成为不可能。如果无法从底层对工业设备和系统进行防护，就只能将安全能力附加在设备和系统之上，难以给底层赋予安全能力，通过自身的安全性提升对威胁的抵抗能力。最终，安全无法从最佳位置开始赋能。

• 企业是否适合接入工业互联网：企业工业设备老旧带来的另一个问题，在于老旧设备与当下的IT以及OT能力的不兼容，这些老旧设备不具备接入工业互联网的条件。但是，对于相当数量的企业而言，替换这批设备需要高额的成本，带来极大的经济负担，因此会继续使用这些工业设备，导致这些企业本身也不适合接入工业互联网。