工業(yè)互聯(lián)網(wǎng)安全服務平臺的認證工作發(fā)展方向探索

張斌 王新霞 陳意 胡謙 孔群

安全是工業(yè)互聯(lián)網(wǎng)健康發(fā)展的前提，工業(yè)互聯(lián)網(wǎng)安全服務平臺作為保障工業(yè)互聯(lián)網(wǎng)安全的重要工具，亟需開展安全服務平臺的相關認證工作。本文從開展安全服務平臺認證工作的背景、必要性、發(fā)展方向等方面進行研究，對工業(yè)互聯(lián)網(wǎng)安全服務平臺的認證工作進行了有益探索。

一、背景

工業(yè)互聯(lián)網(wǎng)滿足了工業(yè)智能化發(fā)展需求，是制造業(yè)數(shù)字化、網(wǎng)絡化、智能化的重要載體，通過新一代信息通信技術與先進制造業(yè)的融合發(fā)展，形成新的業(yè)態(tài)與應用模式。

工業(yè)互聯(lián)網(wǎng)安全服務平臺（以下簡稱安全服務平臺）是以工業(yè)互聯(lián)網(wǎng)安全分類分級為基礎，以安全監(jiān)測感知與分析、安全響應與處置恢復為核心，以安全服務為目標的管理與服務平臺。安全服務平臺針對工業(yè)互聯(lián)網(wǎng)中設備、控制、網(wǎng)絡、應用和數(shù)據(jù)等維度的安全需求，進行數(shù)據(jù)收集與處理，與業(yè)務場景相結合，搭建數(shù)據(jù)分析模型，實時動態(tài)地展示安全態(tài)勢與數(shù)據(jù)地圖，感知威脅并及時采取響應措施。

安全服務平臺為服務需求方提供規(guī)劃、加固、監(jiān)測、應急響應等安全服務，對其自身能力水平提出了更高要求。推動安全服務平臺的認證工作，既是服務供應商提高自身安全服務水平的需要，也是服務需求方安全需求得以滿足的保證。建立安全服務平臺的認證規(guī)范，明確安全服務水平的基線指標，保證安全服務質量，不斷提升安全服務水平。

二、必要性

（一）安全服務平臺的服務能力和水平參差不齊

隨著云計算、大數(shù)據(jù)等技術的發(fā)展，我國工業(yè)互聯(lián)網(wǎng)發(fā)展迅速，與此同時，相關組織和機構建立了工業(yè)互聯(lián)網(wǎng)安全服務平臺，以企業(yè)自用或對外提供安全服務。但不同的安全服務平臺其服務能力、服務水平、覆蓋范圍、響應速度各不相同，沒有相應的認證規(guī)范或標準對安全服務平臺進行評價和認證。

（二）各類機構無法選擇合適的安全服務平臺

當前，工業(yè)企業(yè)的IT（Information Technology，信息技術）側與OT（Operation Technology，操作技術）側進一步打通融合，使得工業(yè)企業(yè)的工業(yè)互聯(lián)網(wǎng)安全防護需求增加，但沒有安全服務平臺服務能力的認證規(guī)范；如果安全服務平臺的安全防護能力不足，安全廠商不能全面掌握工業(yè)企業(yè)的安全動態(tài)并及時對有關安全漏洞和威脅做出響應，使其不能提供高質量的安全產(chǎn)品和服務；相關的安全監(jiān)管機構通過某些安全服務平臺不能及時獲取工業(yè)企業(yè)的安全現(xiàn)狀，從而無法有效督促本區(qū)域內(nèi)的工業(yè)企業(yè)開展安全問題整改。因此亟需制定差異化的安全服務平臺認證規(guī)范，以滿足不同機構的需求，為各類機構選擇合適的安全服務平臺提供標準和依據(jù)。

（三）國內(nèi)安全服務平臺評價標準尚屬空白

針對智能制造、企業(yè)上云等方面的評價，國內(nèi)外已有相關的評價指標體系，也形成了典型案例；關于工業(yè)互聯(lián)網(wǎng)平臺與應用也建立了相關的標準，滿足企業(yè)數(shù)字化轉型的需要；但涉及安全服務平臺的安全服務能力、服務水平的認證規(guī)范和評價標準在國內(nèi)屬于空白。因此，需要開展安全服務平臺認證方面的探索，完善我國工業(yè)互聯(lián)網(wǎng)相關認證體系，更好地規(guī)范工業(yè)互聯(lián)網(wǎng)應用，加快我國智能制造的步伐。

三、認證工作發(fā)展方向探索

（一）制定完善的安全服務平臺認證體系

目前，我國安全服務平臺認證工作尚處于空白階段，沒有統(tǒng)一的認證規(guī)范和工作流程。安全服務平臺認證工作的開展有賴于統(tǒng)一的認證規(guī)范與認證流程，國家相關部門應積極協(xié)調安全服務平臺服務供應商、服務需求方、認證機構、科研單位等，形成“政、產(chǎn)、學、研、用”的認證生態(tài)圈，共同開展安全服務平臺認證規(guī)范制定與完善工作，形成符合安全需求與未來發(fā)展方向的動態(tài)化安全服務平臺認證規(guī)范體系。同時，建立規(guī)范化、動態(tài)化、體系化的認證機構管理機制，定期對相關認證機構進行考核與抽查，對不符合要求的機構給予警告甚至取消資質的懲罰；針對認證專業(yè)人員，需經(jīng)過專業(yè)培訓后由具有資質的機構頒發(fā)資質證明后才可執(zhí)證上崗，保障認證工作的權威性與科學性。

（二）探索形成自主性認證與強制性認證相結合的模式

安全服務平臺作為國內(nèi)工業(yè)互聯(lián)網(wǎng)安全領域的新興產(chǎn)品，目前在認證領域方面還屬于空白，在認證工作的開展和推廣方面應當以自主性認證為主，充分發(fā)揮市場的調節(jié)作用，同時相關主管部門應積極引導安全服務平臺開展認證工作，調動企業(yè)積極性與安全意識，不斷完善認證規(guī)范。隨著認證工作的不斷開展與完善以及安全服務平臺在工業(yè)互聯(lián)網(wǎng)中的重要性不斷增加，逐步探索安全服務平臺的強制性認證工作，切實保障服務需求方的自身利益。

（三）安全服務平臺認證范圍應重點關注安全，兼顧功能與性能

沒有網(wǎng)絡安全就沒有國家安全，安全服務平臺作為保障工業(yè)互聯(lián)網(wǎng)安全的重要手段，其自身的安全性應放在首位，只有保障安全服務平臺自身安全，才能充分發(fā)揮安全服務平臺為工業(yè)互聯(lián)網(wǎng)安全保駕護航的作用。安全服務平臺的認證工作應將其安全認證作為首要工作，圍繞安全服務平臺的安全架構，提出針對安全服務平臺的安全認證定級方法、認證模型、認證指標。同時針對安全服務平臺功能、性能提煉關鍵指標，對關鍵指標開展認證。首先保障安全服務平臺自身安全性，開展安全服務平臺的安全認證工作，同時兼顧安全服務平臺主要功能與性能的相關認證，將是現(xiàn)階段安全服務平臺認證工作的主要發(fā)展方向。

（四）積極推動相關的認證規(guī)范國際化

目前，我國的認證工作從行業(yè)和區(qū)域性布局向全球性布局延伸的進程不斷加快，相關認證規(guī)范的國際互認不斷推進。通過積極推進認證規(guī)范的制定工作和典型企業(yè)的認證實踐，對認證規(guī)范不斷提煉完善，將安全服務平臺的認證規(guī)范國際化，不僅能加快服務平臺的技術與管理的進步，同時也是勢在必行的趨勢。

四、總結

網(wǎng)絡、平臺、安全是工業(yè)互聯(lián)網(wǎng)三大組成部分，安全服務平臺是保障工業(yè)互聯(lián)網(wǎng)安全的重要工具。安全服務平臺的服務能力和水平參差不齊，各類機構無法選擇合適的安全服務平臺，如何對其進行認證成為保障工業(yè)互聯(lián)網(wǎng)安全的關鍵環(huán)節(jié)。本文從建立認證體系、探索認證模式、界定認證范圍和推動認證規(guī)范國際化等方面對工業(yè)互聯(lián)網(wǎng)安全服務平臺的認證工作發(fā)展方向進行了研究，提出了相關建議。但本次的研究工作仍存在許多不足，工業(yè)互聯(lián)網(wǎng)安全服務平臺的認證研究工作是一項長期而艱巨的工程，需要在總結成功經(jīng)驗的基礎上動態(tài)地進行修正補充，下一步將在認證體系完善、試點驗證、推廣應用等方面做進一步研究，為篩選安全服務平臺提供有效依據(jù)，助力工業(yè)互聯(lián)網(wǎng)健康發(fā)展。

作者單位：張斌 中國網(wǎng)絡安全審查技術與認證中心王新霞、陳意、胡謙、孔群 山東省電子信息產(chǎn)品檢驗院（中國賽寶（山東）實驗室）