工業(yè)信息安全為制造強(qiáng)國(guó)建設(shè)保駕護(hù)航
工業(yè)自動(dòng)化和信息化系統(tǒng)是工業(yè)的核心組成部分,是支撐國(guó)民經(jīng)濟(jì)的重要設(shè)施,是工業(yè)各行業(yè)、企業(yè)的神經(jīng)中樞,保障工業(yè)發(fā)展須保障工業(yè)信息安全。當(dāng)前,以移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和人工智能等為代表的新一代信息技術(shù)與制造技術(shù)加速融合,推動(dòng)著制造業(yè)向數(shù)字化、網(wǎng)絡(luò)化、智能化、服務(wù)化的方向和路徑發(fā)展,成為推動(dòng)經(jīng)濟(jì)轉(zhuǎn)型升級(jí)、新舊發(fā)展動(dòng)能接續(xù)轉(zhuǎn)換的強(qiáng)勁引擎。
新一代信息技術(shù)在加速信息化與工業(yè)化深度融合發(fā)展的同時(shí),也帶來(lái)了日趨嚴(yán)峻的信息安全問(wèn)題。“震網(wǎng)”病毒造成伊朗上千臺(tái)離心機(jī)報(bào)廢,烏克蘭電網(wǎng)被攻擊導(dǎo)致140余萬(wàn)家庭斷電,“WannaCry”勒索軟件導(dǎo)致雷諾、日產(chǎn)等汽車制造廠商被迫停產(chǎn),“Petrwrap”勒索病毒影響多個(gè)國(guó)家的電力、軌道交通、石油等重點(diǎn)領(lǐng)域并對(duì)工業(yè)生產(chǎn)運(yùn)行造成威脅等一系列事件充分說(shuō)明,工業(yè)信息系統(tǒng)一旦遭受攻擊,可對(duì)現(xiàn)實(shí)世界造成直接的、實(shí)質(zhì)性的危害,甚至威脅國(guó)家安全和經(jīng)濟(jì)社會(huì)穩(wěn)定。
工業(yè)信息安全為制造強(qiáng)國(guó)建設(shè)保駕護(hù)航
工業(yè)信息安全事關(guān)經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全。加快推進(jìn)工業(yè)信息安全,是保障互聯(lián)網(wǎng)與制造業(yè)相向而行、融合創(chuàng)新的重要舉措,是保障制造強(qiáng)國(guó)順利實(shí)施的基礎(chǔ)支撐。
眾志成城 多措并舉
工業(yè)信息安全取得實(shí)際成效
一是加強(qiáng)政策引導(dǎo),建立基本政策體系。近年來(lái),為貫徹落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中國(guó)制造2025》、《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》(國(guó)發(fā)〔2016〕28號(hào))等文件,工業(yè)和信息化部圍繞風(fēng)險(xiǎn)發(fā)現(xiàn)、檢查評(píng)估、應(yīng)急處置等工業(yè)信息安全管理的重點(diǎn)領(lǐng)域和重要環(huán)節(jié),出臺(tái)了一系列政策文件,初步構(gòu)建了工業(yè)信息安全政策體系。其中,2011年出臺(tái)的《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)〔2011〕451號(hào))是工業(yè)信息安全領(lǐng)域的首部專門政策,該文件明確了重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求,提出要建立測(cè)評(píng)檢查和漏洞發(fā)布制度。2016年10月發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,則從管理、技術(shù)兩方面提出了安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)等11項(xiàng)工控安全防護(hù)要求,為工控安全防護(hù)工作提供了基本依據(jù)。2017年6月出臺(tái)的《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》,對(duì)工控安全風(fēng)險(xiǎn)監(jiān)測(cè)、信息報(bào)送與通報(bào)、應(yīng)急處置、敏感時(shí)期應(yīng)急管理等工作提出了具體管理要求,明確了責(zé)任分工、工作流程和保障措施,為工控安全事件應(yīng)急管理與處置工作提供了依據(jù)與方法。此外,工業(yè)和信息化部還組織國(guó)家工業(yè)信息安全發(fā)展研究中心等機(jī)構(gòu)研究編制《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》、《關(guān)于促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)》等文件,不斷完善工業(yè)信息安全政策體系。
二是組建國(guó)家隊(duì)伍,提供專業(yè)人才支撐。工控安全技術(shù)團(tuán)隊(duì)是工控安全服務(wù)保障工作的基礎(chǔ),按照《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》文件要求,工業(yè)和信息化部依托部屬單位電子一所重組建設(shè)了“國(guó)家工業(yè)信息安全發(fā)展研究中心”,使其作為支撐我國(guó)工業(yè)領(lǐng)域信息安全的國(guó)家級(jí)研究與推進(jìn)機(jī)構(gòu),主要負(fù)責(zé)開(kāi)展工業(yè)信息安全及相關(guān)領(lǐng)域的戰(zhàn)略研究、技術(shù)研發(fā)、監(jiān)測(cè)預(yù)警、檢查評(píng)估、應(yīng)急處置和產(chǎn)業(yè)推進(jìn)等工作,提升工業(yè)領(lǐng)域信息安全能力,維護(hù)工業(yè)領(lǐng)域信息安全。國(guó)家工業(yè)信息安全發(fā)展研究中心建設(shè)以“小核心,大外圍”為原則,充分利用現(xiàn)有工控安全技術(shù)能力,積極引導(dǎo)高校、科研機(jī)構(gòu)、社會(huì)組織、企業(yè)等社會(huì)各界力量廣泛參與,為打造工控安全人才隊(duì)伍奠定堅(jiān)實(shí)基礎(chǔ)。
三是成立產(chǎn)業(yè)聯(lián)盟,促進(jìn)跨界資源整合。2017年6月8日,在工業(yè)和信息化部的指導(dǎo)下,國(guó)家工業(yè)信息安全發(fā)展研究中心牽頭成立了國(guó)家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟,廣泛吸納工業(yè)企業(yè)、高等院校、科研院所、工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)及安全服務(wù)商等,致力于構(gòu)建科學(xué)的工業(yè)信息安全產(chǎn)業(yè)推進(jìn)體系。聯(lián)盟首批會(huì)員單位超過(guò)百家,涵蓋了工業(yè)領(lǐng)域的領(lǐng)軍企業(yè),工業(yè)控制系統(tǒng)和信息安全領(lǐng)域的“佼佼者”,以及科研實(shí)力雄厚的研究院所和高等院校,有效整合了各界資源,目標(biāo)是逐步帶動(dòng)形成工業(yè)信息安全的“產(chǎn)、學(xué)、研、用”生態(tài)。
四是發(fā)展技術(shù)手段,構(gòu)建技術(shù)支撐平臺(tái)。技術(shù)支撐平臺(tái)是工控安全技術(shù)研究和安全服務(wù)的重要基礎(chǔ)設(shè)施。工業(yè)和信息化部十分重視工業(yè)信息安全技術(shù)能力建設(shè)工作,2016年就認(rèn)定了3家工業(yè)信息安全領(lǐng)域的實(shí)驗(yàn)室作為工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室,分別為工業(yè)信息安全感知與評(píng)估技術(shù)實(shí)驗(yàn)室、工業(yè)互聯(lián)網(wǎng)安全技術(shù)試驗(yàn)與測(cè)評(píng)實(shí)驗(yàn)室以及工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)與測(cè)評(píng)實(shí)驗(yàn)室,涵蓋了工業(yè)信息安全態(tài)勢(shì)感知技術(shù)、工業(yè)互聯(lián)網(wǎng)安全技術(shù)、工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)測(cè)評(píng)等研究方向,為工業(yè)信息安全相關(guān)技術(shù)研發(fā)與測(cè)試提供良好的科研環(huán)境。此外,在工業(yè)和信息化部的指導(dǎo)支持下,國(guó)家工業(yè)信息安全發(fā)展研究中心組建了國(guó)家工業(yè)控制系統(tǒng)與產(chǎn)品安全質(zhì)量監(jiān)督檢驗(yàn)中心,建設(shè)了重要工業(yè)控制系統(tǒng)在線安全監(jiān)測(cè)平臺(tái)、互聯(lián)網(wǎng)工控威脅誘捕分析系統(tǒng)、國(guó)家工業(yè)控制系統(tǒng)安全信息共享平臺(tái),為質(zhì)檢評(píng)估、監(jiān)測(cè)預(yù)警、信息通報(bào)、應(yīng)急響應(yīng)等重要工業(yè)信息安全工作提供有力技術(shù)支撐。
積極進(jìn)取 銳意創(chuàng)新
不斷提升工業(yè)信息安全保障能力
保障工業(yè)信息安全是一項(xiàng)具有戰(zhàn)略意義的系統(tǒng)工程,需要多方參與、協(xié)同推進(jìn)、創(chuàng)新發(fā)展。要牢固樹(shù)立網(wǎng)絡(luò)安全與信息化發(fā)展并重的理念,堅(jiān)持“積極防御、有效應(yīng)對(duì)、自主發(fā)展、安全可控”原則,在工業(yè)信息安全技術(shù)、產(chǎn)業(yè)、人才培養(yǎng)等方面采取行動(dòng),不斷提升工業(yè)信息安全保障能力。
一是大力推動(dòng)關(guān)鍵核心技術(shù)攻關(guān)。“核心技術(shù)受制于人是我們最大的隱患”,當(dāng)前,我國(guó)工業(yè)信息安全相關(guān)關(guān)鍵產(chǎn)品和核心技術(shù)依賴于人的現(xiàn)象十分普遍,短期內(nèi)無(wú)法有效改變被動(dòng)局面。核心技術(shù)的自主可控是工業(yè)信息安全保障工作的重中之重,將直接影響到我國(guó)工業(yè)健康發(fā)展的命脈。未來(lái),必須加大投入、加強(qiáng)工業(yè)信息安全關(guān)鍵核心技術(shù)研發(fā)和應(yīng)用,重點(diǎn)支持仿真測(cè)試、在線監(jiān)測(cè)等技術(shù)支撐平臺(tái)建設(shè),不斷強(qiáng)化態(tài)勢(shì)感知、風(fēng)險(xiǎn)預(yù)警、應(yīng)急處置、檢測(cè)評(píng)估等技術(shù)保障能力。
二是加快發(fā)展工業(yè)信息安全產(chǎn)業(yè)。為確保工業(yè)信息安全,迫切需要強(qiáng)大的工業(yè)信息安全產(chǎn)業(yè)。雖然近年來(lái)我國(guó)工業(yè)信息安全技術(shù)和應(yīng)用水平逐步提高,但我國(guó)工業(yè)信息安全產(chǎn)業(yè)發(fā)展面臨一系列問(wèn)題:工業(yè)信息安全產(chǎn)品和服務(wù)未成體系,專用產(chǎn)品和專業(yè)服務(wù)匱乏;重發(fā)展、輕安全的現(xiàn)象依然存在,工業(yè)信息安全市場(chǎng)沒(méi)有充分釋放;關(guān)鍵核心技術(shù)積累不足,工業(yè)生產(chǎn)的實(shí)時(shí)性、關(guān)鍵性使自主可控產(chǎn)品的推廣應(yīng)用存在困難。下一步,亟須加快發(fā)展工業(yè)信息安全產(chǎn)業(yè),大力提高工業(yè)信息安全防護(hù)和保障能力。要推動(dòng)創(chuàng)新技術(shù)產(chǎn)品,著力構(gòu)建安全可控的工業(yè)信息安全技術(shù)產(chǎn)品體系;要培育一批核心技術(shù)能力突出、集成創(chuàng)新能力強(qiáng)、引領(lǐng)產(chǎn)業(yè)發(fā)展的骨干企業(yè);要優(yōu)化產(chǎn)業(yè)發(fā)展環(huán)境,發(fā)揮產(chǎn)業(yè)聯(lián)盟作用,增強(qiáng)上游技術(shù)研發(fā)與下游推廣應(yīng)用的協(xié)同互動(dòng)效應(yīng),打造協(xié)同發(fā)展的產(chǎn)業(yè)生態(tài)系統(tǒng);要面向工業(yè)信息安全產(chǎn)業(yè)鏈,建立涵蓋共性技術(shù)、標(biāo)準(zhǔn)制定、知識(shí)產(chǎn)權(quán)、成果轉(zhuǎn)化、產(chǎn)業(yè)投融資、人才服務(wù)、測(cè)試驗(yàn)證、市場(chǎng)開(kāi)拓和品牌建設(shè)等內(nèi)容的公共服務(wù)體系。
三是持續(xù)加強(qiáng)人才隊(duì)伍建設(shè)。制造強(qiáng)國(guó)戰(zhàn)略目標(biāo)實(shí)現(xiàn)與工業(yè)信息安全保障離不開(kāi)人才和智力的支撐,一個(gè)國(guó)家的工業(yè)信息安全實(shí)力很大程度上取決于它能否批量產(chǎn)出杰出的技術(shù)人才。然而,當(dāng)前我國(guó)在工業(yè)信息安全領(lǐng)域還存在較大的人才缺口,亟須加快人才隊(duì)伍建設(shè)。首先,要營(yíng)造培養(yǎng)人才、吸引人才和用好人才的良好環(huán)境,建立企業(yè)、高校、科研院所人才交流平臺(tái),優(yōu)化人才流動(dòng)和管理機(jī)制。其次,應(yīng)特別重視領(lǐng)軍人才的培養(yǎng),采取多種形式大力引進(jìn)國(guó)際高端人才,培養(yǎng)培訓(xùn)高層次、急需緊缺和骨干專業(yè)技術(shù)人才。最后,要重視打造國(guó)家級(jí)工業(yè)信息安全高端智庫(kù),為工業(yè)信息安全戰(zhàn)略部署、規(guī)劃制定、決策咨詢、重大問(wèn)題研究提供智力支持和技術(shù)支撐。
參考資料: http://www.shangyi.com/member/invite.php?user=sinyet
|