工業自動化和信息化系統是工業的核心組成部分,是支撐國民經濟的重要設施,是工業各行業、企業的神經中樞,保障工業發展須保障工業信息安全。當前,以移動互聯網、云計算、大數據、物聯網和人工智能等為代表的新一代信息技術與制造技術加速融合,推動著制造業向數字化、網絡化、智能化、服務化的方向和路徑發展工業信息安全 成為推動經濟轉型升級、新舊發展動能接續轉換的強勁引擎。
新一代信息技術在加速信息化與工業化深度融合發展的同時工業信息安全 也帶來了日趨嚴峻的信息安全問題。“震網”病毒造成伊朗上千臺離心機報廢,烏克蘭電網被攻擊導致140余萬家庭斷電,“WannaCry”勒索軟件導致雷諾、日產等汽車制造廠商被迫停產,“Petrwrap”勒索病毒影響多個國家的電力、軌道交通、石油等重點領域并對工業生產運行造成威脅等一系列事件充分說明,工業信息系統一旦遭受攻擊,可對現實世界造成直接的、實質性的危害,甚至威脅國家安全和經濟社會穩定。
工業信息安全事關經濟發展、社會穩定和國家安全。加快推進工業信息安全,是保障互聯網與制造業相向而行、融合創新的重要舉措,是保障制造強國順利實施的基礎支撐。
眾志成城 多措并舉
工業信息安全取得實際成效
一是加強政策引導,建立基本政策體系。近年來,為貫徹落實《中華人民共和國網絡安全法》、《中國制造2025》、《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28號)等文件,工業和信息化部圍繞風險發現、檢查評估、應急處置等工業信息安全管理的重點領域和重要環節,出臺了一系列政策文件,初步構建了工業信息安全政策體系。其中,2011年出臺的《關于加強工業控制系統信息安全管理的通知》(工信部協〔2011〕451號)是工業信息安全領域的首部專門政策,該文件明確了重點領域工業控制系統信息安全管理要求,提出要建立測評檢查和漏洞發布制度。2016年10月發布的《工業控制系統信息安全防護指南》,則從管理、技術兩方面提出了安全軟件選擇與管理、配置和補丁管理、邊界安全防護等11項工控安全防護要求,為工控安全防護工作提供了基本依據。2017年6月出臺的《工業控制系統信息安全事件應急管理工作指南》,對工控安全風險監測、信息報送與通報、應急處置、敏感時期應急管理等工作提出了具體管理要求,明確了責任分工、工作流程和保障措施,為工控安全事件應急管理與處置工作提供了依據與方法。此外,工業和信息化部還組織國家工業信息安全發展研究中心等機構研究編制《工業控制系統信息安全防護能力評估工作管理辦法》、《關于促進工業信息安全產業發展的指導意見》等文件,不斷完善工業信息安全政策體系。
二是組建國家隊伍,提供專業人才支撐。工控安全技術團隊是工控安全服務保障工作的基礎,按照《國務院關于深化制造業與互聯網融合發展的指導意見》文件要求,工業和信息化部依托部屬單位電子一所重組建設了“國家工業信息安全發展研究中心”,使其作為支撐我國工業領域信息安全的國家級研究與推進機構,主要負責開展工業信息安全及相關領域的戰略研究、技術研發、監測預警、檢查評估、應急處置和產業推進等工作,提升工業領域信息安全能力,維護工業領域信息安全。國家工業信息安全發展研究中心建設以“小核心,大外圍”為原則,充分利用現有工控安全技術能力,積極引導高校、科研機構、社會組織、企業等社會各界力量廣泛參與,為打造工控安全人才隊伍奠定堅實基礎。
三是成立產業聯盟,促進跨界資源整合。2017年6月8日,在工業和信息化部的指導下,國家工業信息安全發展研究中心牽頭成立了國家工業信息安全產業發展聯盟,廣泛吸納工業企業、高等院校、科研院所、工業控制系統生產企業及安全服務商等,致力于構建科學的工業信息安全產業推進體系。聯盟首批會員單位超過百家,涵蓋了工業領域的領軍企業,工業控制系統和信息安全領域的“佼佼者”,以及科研實力雄厚的研究院所和高等院校,有效整合了各界資源,目標是逐步帶動形成工業信息安全的“產、學、研、用”生態。
四是發展技術手段,構建技術支撐平臺。技術支撐平臺是工控安全技術研究和安全服務的重要基礎設施。工業和信息化部十分重視工業信息安全技術能力建設工作,2016年就認定了3家工業信息安全領域的實驗室作為工業和信息化部重點實驗室,分別為工業信息安全感知與評估技術實驗室、工業互聯網安全技術試驗與測評實驗室以及工業控制系統安全標準與測評實驗室,涵蓋了工業信息安全態勢感知技術、工業互聯網安全技術、工業控制系統安全標準測評等研究方向,為工業信息安全相關技術研發與測試提供良好的科研環境。此外,在工業和信息化部的指導支持下,國家工業信息安全發展研究中心組建了國家工業控制系統與產品安全質量監督檢驗中心,建設了重要工業控制系統在線安全監測平臺、互聯網工控威脅誘捕分析系統、國家工業控制系統安全信息共享平臺,為質檢評估、監測預警、信息通報、應急響應等重要工業信息安全工作提供有力技術支撐。
積極進取 銳意創新
不斷提升工業信息安全保障能力
保障工業信息安全是一項具有戰略意義的系統工程,需要多方參與、協同推進、創新發展。要牢固樹立網絡安全與信息化發展并重的理念,堅持“積極防御、有效應對、自主發展、安全可控”原則,在工業信息安全技術、產業、人才培養等方面采取行動,不斷提升工業信息安全保障能力。
一是大力推動關鍵核心技術攻關。“核心技術受制于人是我們最大的隱患”,當前,我國工業信息安全相關關鍵產品和核心技術依賴于人的現象十分普遍,短期內無法有效改變被動局面。核心技術的自主可控是工業信息安全保障工作的重中之重,將直接影響到我國工業健康發展的命脈。未來,必須加大投入、加強工業信息安全關鍵核心技術研發和應用,重點支持仿真測試、在線監測等技術支撐平臺建設,不斷強化態勢感知、風險預警、應急處置、檢測評估等技術保障能力。
二是加快發展工業信息安全產業。為確保工業信息安全,迫切需要強大的工業信息安全產業。雖然近年來我國工業信息安全技術和應用水平逐步提高,但我國工業信息安全產業發展面臨一系列問題:工業信息安全產品和服務未成體系,專用產品和專業服務匱乏;重發展、輕安全的現象依然存在,工業信息安全市場沒有充分釋放;關鍵核心技術積累不足,工業生產的實時性、關鍵性使自主可控產品的推廣應用存在困難。下一步,亟須加快發展工業信息安全產業,大力提高工業信息安全防護和保障能力。要推動創新技術產品,著力構建安全可控的工業信息安全技術產品體系;要培育一批核心技術能力突出、集成創新能力強、引領產業發展的骨干企業;要優化產業發展環境,發揮產業聯盟作用,增強上游技術研發與下游推廣應用的協同互動效應,打造協同發展的產業生態系統;要面向工業信息安全產業鏈,建立涵蓋共性技術、標準制定、知識產權、成果轉化、產業投融資、人才服務、測試驗證、市場開拓和品牌建設等內容的公共服務體系。
三是持續加強人才隊伍建設。制造強國戰略目標實現與工業信息安全保障離不開人才和智力的支撐,一個國家的工業信息安全實力很大程度上取決于它能否批量產出杰出的技術人才。然而,當前我國在工業信息安全領域還存在較大的人才缺口,亟須加快人才隊伍建設。首先,要營造培養人才、吸引人才和用好人才的良好環境,建立企業、高校、科研院所人才交流平臺,優化人才流動和管理機制。其次,應特別重視領軍人才的培養,采取多種形式大力引進國際高端人才,培養培訓高層次、急需緊缺和骨干專業技術人才。最后,要重視打造國家級工業信息安全高端智庫,為工業信息安全戰略部署、規劃制定、決策咨詢、重大問題研究提供智力支持和技術支撐。