工業(yè)自動化和信息化系統(tǒng)是工業(yè)的核心組成部分,是支撐國民經(jīng)濟的重要設施,是工業(yè)各行業(yè)、企業(yè)的神經(jīng)中樞,保障工業(yè)發(fā)展須保障工業(yè)信息安全。當前,以移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和人工智能等為代表的新一代信息技術與制造技術加速融合,推動著制造業(yè)向數(shù)字化、網(wǎng)絡化、智能化、服務化的方向和路徑發(fā)展,成為推動經(jīng)濟轉(zhuǎn)型升級、新舊發(fā)展動能接續(xù)轉(zhuǎn)換的強勁引擎。
新一代信息技術在加速信息化與工業(yè)化深度融合發(fā)展的同時,也帶來了日趨嚴峻的信息安全問題。“震網(wǎng)”病毒造成伊朗上千臺離心機報廢,烏克蘭電網(wǎng)被攻擊導致140余萬家庭斷電,“WannaCry”勒索軟件導致雷諾、日產(chǎn)等汽車制造廠商被迫停產(chǎn),“Petrwrap”勒索病毒影響多個國家的電力、軌道交通、石油等重點領域并對工業(yè)生產(chǎn)運行造成威脅等一系列事件充分說明,工業(yè)信息系統(tǒng)一旦遭受攻擊,可對現(xiàn)實世界造成直接的、實質(zhì)性的危害,甚至威脅國家安全和經(jīng)濟社會穩(wěn)定。
工業(yè)信息安全事關經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全。加快推進工業(yè)信息安全,是保障互聯(lián)網(wǎng)與制造業(yè)相向而行、融合創(chuàng)新的重要舉措,是保障制造強國順利實施的基礎支撐。
眾志成城 多措并舉
工業(yè)信息安全取得實際成效
一是加強政策引導,建立基本政策體系。近年來,為貫徹落實《中華人民共和國網(wǎng)絡安全法》、《中國制造2025》、《國務院關于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》(國發(fā)〔2016〕28號)等文件,工業(yè)和信息化部圍繞風險發(fā)現(xiàn)、檢查評估、應急處置等工業(yè)信息安全管理的重點領域和重要環(huán)節(jié),出臺了一系列政策文件,初步構建了工業(yè)信息安全政策體系。其中,2011年出臺的《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)〔2011〕451號)是工業(yè)信息安全領域的首部專門政策,該文件明確了重點領域工業(yè)控制系統(tǒng)信息安全管理要求,提出要建立測評檢查和漏洞發(fā)布制度。2016年10月發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護指南》,則從管理、技術兩方面提出了安全軟件選擇與管理、配置和補丁管理、邊界安全防護等11項工控安全防護要求,為工控安全防護工作提供了基本依據(jù)。2017年6月出臺的《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》,對工控安全風險監(jiān)測、信息報送與通報、應急處置、敏感時期應急管理等工作提出了具體管理要求,明確了責任分工、工作流程和保障措施,為工控安全事件應急管理與處置工作提供了依據(jù)與方法。此外,工業(yè)和信息化部還組織國家工業(yè)信息安全發(fā)展研究中心等機構研究編制《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》、《關于促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展的指導意見》等文件,不斷完善工業(yè)信息安全政策體系。
二是組建國家隊伍,提供專業(yè)人才支撐。工控安全技術團隊是工控安全服務保障工作的基礎,按照《國務院關于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》文件要求,工業(yè)和信息化部依托部屬單位電子一所重組建設了“國家工業(yè)信息安全發(fā)展研究中心”,使其作為支撐我國工業(yè)領域信息安全的國家級研究與推進機構,主要負責開展工業(yè)信息安全及相關領域的戰(zhàn)略研究、技術研發(fā)、監(jiān)測預警、檢查評估、應急處置和產(chǎn)業(yè)推進等工作,提升工業(yè)領域信息安全能力,維護工業(yè)領域信息安全。國家工業(yè)信息安全發(fā)展研究中心建設以“小核心,大外圍”為原則,充分利用現(xiàn)有工控安全技術能力,積極引導高校、科研機構、社會組織、企業(yè)等社會各界力量廣泛參與,為打造工控安全人才隊伍奠定堅實基礎。
三是成立產(chǎn)業(yè)聯(lián)盟,促進跨界資源整合。2017年6月8日,在工業(yè)和信息化部的指導下,國家工業(yè)信息安全發(fā)展研究中心牽頭成立了國家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟,廣泛吸納工業(yè)企業(yè)、高等院校、科研院所、工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)及安全服務商等,致力于構建科學的工業(yè)信息安全產(chǎn)業(yè)推進體系。聯(lián)盟首批會員單位超過百家,涵蓋了工業(yè)領域的領軍企業(yè),工業(yè)控制系統(tǒng)和信息安全領域的“佼佼者”,以及科研實力雄厚的研究院所和高等院校,有效整合了各界資源,目標是逐步帶動形成工業(yè)信息安全的“產(chǎn)、學、研、用”生態(tài)。
四是發(fā)展技術手段,構建技術支撐平臺。技術支撐平臺是工控安全技術研究和安全服務的重要基礎設施。工業(yè)和信息化部十分重視工業(yè)信息安全技術能力建設工作,2016年就認定了3家工業(yè)信息安全領域的實驗室作為工業(yè)和信息化部重點實驗室,分別為工業(yè)信息安全感知與評估技術實驗室、工業(yè)互聯(lián)網(wǎng)安全技術試驗與測評實驗室以及工業(yè)控制系統(tǒng)安全標準與測評實驗室,涵蓋了工業(yè)信息安全態(tài)勢感知技術、工業(yè)互聯(lián)網(wǎng)安全技術、工業(yè)控制系統(tǒng)安全標準測評等研究方向,為工業(yè)信息安全相關技術研發(fā)與測試提供良好的科研環(huán)境。此外,在工業(yè)和信息化部的指導支持下,國家工業(yè)信息安全發(fā)展研究中心組建了國家工業(yè)控制系統(tǒng)與產(chǎn)品安全質(zhì)量監(jiān)督檢驗中心,建設了重要工業(yè)控制系統(tǒng)在線安全監(jiān)測平臺、互聯(lián)網(wǎng)工控威脅誘捕分析系統(tǒng)、國家工業(yè)控制系統(tǒng)安全信息共享平臺,為質(zhì)檢評估、監(jiān)測預警、信息通報、應急響應等重要工業(yè)信息安全工作提供有力技術支撐。
積極進取 銳意創(chuàng)新
不斷提升工業(yè)信息安全保障能力
保障工業(yè)信息安全是一項具有戰(zhàn)略意義的系統(tǒng)工程,需要多方參與、協(xié)同推進、創(chuàng)新發(fā)展。要牢固樹立網(wǎng)絡安全與信息化發(fā)展并重的理念,堅持“積極防御、有效應對、自主發(fā)展、安全可控”原則,在工業(yè)信息安全技術、產(chǎn)業(yè)、人才培養(yǎng)等方面采取行動,不斷提升工業(yè)信息安全保障能力。
一是大力推動關鍵核心技術攻關。“核心技術受制于人是我們最大的隱患”,當前,我國工業(yè)信息安全相關關鍵產(chǎn)品和核心技術依賴于人的現(xiàn)象十分普遍,短期內(nèi)無法有效改變被動局面。核心技術的自主可控是工業(yè)信息安全保障工作的重中之重,將直接影響到我國工業(yè)健康發(fā)展的命脈。未來,必須加大投入、加強工業(yè)信息安全關鍵核心技術研發(fā)和應用,重點支持仿真測試、在線監(jiān)測等技術支撐平臺建設,不斷強化態(tài)勢感知、風險預警、應急處置、檢測評估等技術保障能力。
二是加快發(fā)展工業(yè)信息安全產(chǎn)業(yè)。為確保工業(yè)信息安全,迫切需要強大的工業(yè)信息安全產(chǎn)業(yè)。雖然近年來我國工業(yè)信息安全技術和應用水平逐步提高,但我國工業(yè)信息安全產(chǎn)業(yè)發(fā)展面臨一系列問題:工業(yè)信息安全產(chǎn)品和服務未成體系,專用產(chǎn)品和專業(yè)服務匱乏;重發(fā)展、輕安全的現(xiàn)象依然存在,工業(yè)信息安全市場沒有充分釋放;關鍵核心技術積累不足,工業(yè)生產(chǎn)的實時性、關鍵性使自主可控產(chǎn)品的推廣應用存在困難。下一步,亟須加快發(fā)展工業(yè)信息安全產(chǎn)業(yè),大力提高工業(yè)信息安全防護和保障能力。要推動創(chuàng)新技術產(chǎn)品,著力構建安全可控的工業(yè)信息安全技術產(chǎn)品體系;要培育一批核心技術能力突出、集成創(chuàng)新能力強、引領產(chǎn)業(yè)發(fā)展的骨干企業(yè);要優(yōu)化產(chǎn)業(yè)發(fā)展環(huán)境,發(fā)揮產(chǎn)業(yè)聯(lián)盟作用,增強上游技術研發(fā)與下游推廣應用的協(xié)同互動效應,打造協(xié)同發(fā)展的產(chǎn)業(yè)生態(tài)系統(tǒng);要面向工業(yè)信息安全產(chǎn)業(yè)鏈,建立涵蓋共性技術、標準制定、知識產(chǎn)權、成果轉(zhuǎn)化、產(chǎn)業(yè)投融資、人才服務、測試驗證、市場開拓和品牌建設等內(nèi)容的公共服務體系。
三是持續(xù)加強人才隊伍建設。制造強國戰(zhàn)略目標實現(xiàn)與工業(yè)信息安全保障離不開人才和智力的支撐,一個國家的工業(yè)信息安全實力很大程度上取決于它能否批量產(chǎn)出杰出的技術人才。然而,當前我國在工業(yè)信息安全領域還存在較大的人才缺口,亟須加快人才隊伍建設。首先,要營造培養(yǎng)人才、吸引人才和用好人才的良好環(huán)境,建立企業(yè)、高校、科研院所人才交流平臺,優(yōu)化人才流動和管理機制。其次,應特別重視領軍人才的培養(yǎng),采取多種形式大力引進國際高端人才,培養(yǎng)培訓高層次、急需緊缺和骨干專業(yè)技術人才。最后,要重視打造國家級工業(yè)信息安全高端智庫,為工業(yè)信息安全戰(zhàn)略部署、規(guī)劃制定、決策咨詢、重大問題研究提供智力支持和技術支撐。
京公網(wǎng)安備 11010502049343號