作者：尹麗波  國(guó)家工業(yè)信息安全發(fā)展研究中心主任

當(dāng)前，全球工業(yè)互聯(lián)網(wǎng)正處在格局未定的關(guān)鍵期、規(guī)模化擴(kuò)張的窗口期、搶占主導(dǎo)權(quán)的機(jī)遇期。作為工業(yè)互聯(lián)網(wǎng)三大要素，工業(yè)互聯(lián)網(wǎng)平臺(tái)是全要素連接的樞紐，是工業(yè)資源配置的核心，正成為領(lǐng)軍企業(yè)競(jìng)爭(zhēng)的新賽道、產(chǎn)業(yè)布局的新方向、制造大國(guó)競(jìng)爭(zhēng)的新焦點(diǎn)。

2017年11月，國(guó)務(wù)院發(fā)布了《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》(以下簡(jiǎn)稱《指導(dǎo)意見(jiàn)》)，提出要加快發(fā)展工業(yè)互聯(lián)網(wǎng)，構(gòu)建網(wǎng)絡(luò)、平臺(tái)、安全三大功能體系，強(qiáng)化工業(yè)互聯(lián)網(wǎng)安全保障。《指導(dǎo)意見(jiàn)》突出強(qiáng)調(diào)了工業(yè)互聯(lián)網(wǎng)安全的基礎(chǔ)性和戰(zhàn)略性地位，為今后我國(guó)工業(yè)互聯(lián)網(wǎng)安全工作制定了時(shí)間表和路線圖。

1 工業(yè)互聯(lián)網(wǎng)安全是工業(yè)互聯(lián)網(wǎng)發(fā)展的重要前提

作為互聯(lián)網(wǎng)創(chuàng)新發(fā)展和新工業(yè)革命歷史交匯期的重要產(chǎn)物，工業(yè)互聯(lián)網(wǎng)的出現(xiàn)有其必然性，意義十分重大。工業(yè)互聯(lián)網(wǎng)是在制造業(yè)發(fā)展面臨深刻變革這一背景下提出的，是我國(guó)扭轉(zhuǎn)發(fā)展失衡局面、重構(gòu)競(jìng)爭(zhēng)優(yōu)勢(shì)、搶占產(chǎn)業(yè)制高點(diǎn)的重要機(jī)遇。我國(guó)緊抓這一機(jī)遇，基本與發(fā)達(dá)國(guó)家同步啟動(dòng)工業(yè)互聯(lián)網(wǎng)建設(shè)，在平臺(tái)建設(shè)、產(chǎn)業(yè)應(yīng)用、市場(chǎng)潛力等方面并不遜色于發(fā)達(dá)國(guó)家，但是安全保障能力相對(duì)薄弱，成為制約我國(guó)工業(yè)互聯(lián)網(wǎng)邁向更高發(fā)展水平的主要短板之一。

工業(yè)互聯(lián)網(wǎng)安全是工業(yè)互聯(lián)網(wǎng)發(fā)展的前提，是國(guó)家深入推進(jìn)“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”的重要保障。作為新工業(yè)革命的關(guān)鍵基礎(chǔ)設(shè)施，工業(yè)互聯(lián)網(wǎng)代表著國(guó)家新一代信息基礎(chǔ)設(shè)施重要發(fā)展方向，已經(jīng)成為工業(yè)體系的神經(jīng)中樞。它一旦遭受攻擊破壞，會(huì)直接造成工業(yè)生產(chǎn)停滯，影響范圍不僅是單個(gè)企業(yè)，更可延伸至整個(gè)產(chǎn)業(yè)生態(tài)，甚至國(guó)民經(jīng)濟(jì)亦可能受到重創(chuàng)。因此，工業(yè)互聯(lián)網(wǎng)安全是工業(yè)信息安全的核心，直接決定工業(yè)生產(chǎn)安全，更關(guān)乎經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定乃至國(guó)家安全。

2 要正確理解工業(yè)互聯(lián)網(wǎng)安全的內(nèi)涵

我國(guó)工業(yè)互聯(lián)網(wǎng)發(fā)展面臨難得的戰(zhàn)略窗口期，同時(shí)也面臨著嚴(yán)峻的安全挑戰(zhàn)。一方面，工業(yè)領(lǐng)域信息基礎(chǔ)設(shè)施成為黑客重點(diǎn)關(guān)注和攻擊目標(biāo)，防護(hù)壓力空前增大。另一方面，相較傳統(tǒng)網(wǎng)絡(luò)安全，工業(yè)互聯(lián)網(wǎng)安全呈現(xiàn)新的特點(diǎn)，進(jìn)一步增加了安全防護(hù)難度。

一是互聯(lián)互通導(dǎo)致攻擊路徑增多。工業(yè)互聯(lián)網(wǎng)實(shí)現(xiàn)了全系統(tǒng)、全產(chǎn)業(yè)鏈和全生命周期的互聯(lián)互通，使傳統(tǒng)互聯(lián)網(wǎng)安全威脅延伸至工業(yè)生產(chǎn)領(lǐng)域，且攻擊者從研發(fā)端、管理端、消費(fèi)端、生產(chǎn)端都有可能實(shí)現(xiàn)對(duì)工業(yè)互聯(lián)網(wǎng)的攻擊。

二是開(kāi)放化、標(biāo)準(zhǔn)化導(dǎo)致易攻難守。工業(yè)互聯(lián)網(wǎng)系統(tǒng)與設(shè)備供應(yīng)商越來(lái)越多地使用公開(kāi)協(xié)議以及標(biāo)準(zhǔn)化的Windows或Unix技術(shù)架構(gòu)。這些協(xié)議與模塊的安全漏洞使攻擊者的攻擊門(mén)檻大為降低。

三是安全產(chǎn)品和技術(shù)匱乏，產(chǎn)業(yè)支撐能力不足。在工業(yè)互聯(lián)網(wǎng)架構(gòu)中通信和計(jì)算資源往往有限，很多傳統(tǒng)安全防護(hù)設(shè)備由于占用資源較大，可能不再適用。

為全面加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全保障，《指導(dǎo)意見(jiàn)》要求從設(shè)備安全、控制安全、平臺(tái)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等層面構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系。

設(shè)備安全主要指接入工業(yè)互聯(lián)網(wǎng)的終端設(shè)備的安全，重點(diǎn)是加強(qiáng)設(shè)備自身安全、完善終端接入安全認(rèn)證。

控制安全主要指PLC、SCADA、DCS等工業(yè)控制系統(tǒng)安全，一方面要提升自主可控工控系統(tǒng)比例，另一方面要解決控制系統(tǒng)在生產(chǎn)設(shè)計(jì)時(shí)缺少安全考慮這一“先天”問(wèn)題。

平臺(tái)安全主要指工業(yè)IaaS、PaaS、SaaS的安全，重點(diǎn)是加強(qiáng)工業(yè)云服務(wù)網(wǎng)絡(luò)安全管理，明確平臺(tái)管理和運(yùn)行主體責(zé)任。

數(shù)據(jù)安全主要指工業(yè)生產(chǎn)業(yè)務(wù)活動(dòng)中產(chǎn)生、采集、處理、存儲(chǔ)、傳輸和使用的數(shù)據(jù)的安全，要建立工業(yè)數(shù)據(jù)分級(jí)分類管理制度，形成工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)流動(dòng)管理機(jī)制，解決工業(yè)數(shù)據(jù)流動(dòng)方向和路徑復(fù)雜導(dǎo)致的數(shù)據(jù)安全防護(hù)難度增大等問(wèn)題。

網(wǎng)絡(luò)安全主要指工業(yè)企業(yè)管理網(wǎng)、控制網(wǎng)和外網(wǎng)的安全，要做好網(wǎng)絡(luò)安全態(tài)勢(shì)感知，確保傳輸安全和運(yùn)行安全。

3 全方位提升工業(yè)互聯(lián)網(wǎng)安全保障能力

按照《指導(dǎo)意見(jiàn)》要求，結(jié)合當(dāng)前工業(yè)信息安全工作實(shí)際和經(jīng)驗(yàn)，建議從體制機(jī)制、政策標(biāo)準(zhǔn)、能力建設(shè)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)等方面綜合施策，加快提升我國(guó)工業(yè)互聯(lián)網(wǎng)安全保障能力。

一是建立完善體制機(jī)制。由國(guó)家制造強(qiáng)國(guó)建設(shè)領(lǐng)導(dǎo)小組下設(shè)的工業(yè)互聯(lián)網(wǎng)專項(xiàng)工作組統(tǒng)籌謀劃工業(yè)互聯(lián)網(wǎng)安全相關(guān)工作，督促檢查任務(wù)落實(shí)情況。各地方和有關(guān)部門(mén)根據(jù)《指導(dǎo)意見(jiàn)》研究制定具體推進(jìn)方案，加快任務(wù)落實(shí)。明確相關(guān)部門(mén)權(quán)責(zé)，建立部門(mén)間高效聯(lián)動(dòng)機(jī)制與中央地方協(xié)同機(jī)制，深化軍民融合，促進(jìn)跨部門(mén)、跨區(qū)域系統(tǒng)對(duì)接，提升工業(yè)互聯(lián)網(wǎng)安全協(xié)同處置能力。

二是健全政策與標(biāo)準(zhǔn)體系。制定并發(fā)布工業(yè)互聯(lián)網(wǎng)安全相關(guān)行動(dòng)計(jì)劃，規(guī)范和指導(dǎo)工業(yè)互聯(lián)網(wǎng)安全發(fā)展。完善政策制度體系，細(xì)化工業(yè)互聯(lián)網(wǎng)安全保障要求，明確企業(yè)主體責(zé)任。加快工業(yè)云、工業(yè)大數(shù)據(jù)等新興領(lǐng)域法規(guī)制度建設(shè)。推動(dòng)建立工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系，研究制定工業(yè)互聯(lián)網(wǎng)設(shè)備、平臺(tái)、控制、數(shù)據(jù)等層面的安全防護(hù)、測(cè)試、評(píng)估規(guī)范。加強(qiáng)政策和標(biāo)準(zhǔn)宣貫，提升工業(yè)企業(yè)安全防護(hù)意識(shí)。

三是加強(qiáng)安全保障能力建設(shè)。支持國(guó)家級(jí)工業(yè)信息安全技術(shù)機(jī)構(gòu)持續(xù)建設(shè)在線監(jiān)測(cè)、仿真測(cè)試、應(yīng)急演練、攻防對(duì)抗、安全加固等技術(shù)支撐能力，打造工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)與信息共享等平臺(tái)，建設(shè)工業(yè)互聯(lián)網(wǎng)靶場(chǎng)。做好安全檢查、評(píng)估認(rèn)證、安全審查等工作，著力提升工業(yè)互聯(lián)網(wǎng)安全隱患發(fā)現(xiàn)能力。

四是推動(dòng)安全技術(shù)和產(chǎn)品研發(fā)攻關(guān)。推動(dòng)產(chǎn)學(xué)研用合作，研究提出適合當(dāng)前我國(guó)工業(yè)互聯(lián)網(wǎng)發(fā)展的安全防護(hù)解決方案，加強(qiáng)工業(yè)互聯(lián)網(wǎng)設(shè)備層、平臺(tái)層、控制層等安全防護(hù)關(guān)鍵技術(shù)攻關(guān)，研發(fā)攻擊防護(hù)、漏洞挖掘、入侵發(fā)現(xiàn)、態(tài)勢(shì)感知、安全審計(jì)、可信芯片等安全產(chǎn)品，推動(dòng)自主成果應(yīng)用。

五是促進(jìn)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展。推動(dòng)設(shè)立工業(yè)互聯(lián)網(wǎng)安全專項(xiàng)資金、建立風(fēng)險(xiǎn)補(bǔ)償基金等，支持工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)集聚發(fā)展。發(fā)揮產(chǎn)業(yè)聯(lián)盟作用，整合行業(yè)資源，加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全技術(shù)聯(lián)合攻關(guān)、協(xié)同創(chuàng)新，以及服務(wù)模式創(chuàng)新，做大做強(qiáng)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)。

六是加快專業(yè)人才培養(yǎng)。適應(yīng)互聯(lián)網(wǎng)與制造業(yè)深度融合趨勢(shì)，加快培養(yǎng)既掌握工業(yè)控制知識(shí)又熟悉安全防護(hù)技術(shù)的復(fù)合型人才。加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全相關(guān)學(xué)科建設(shè)，建立企業(yè)、高校聯(lián)合培養(yǎng)人才機(jī)制，加大引進(jìn)人才配套政策支持，廣攬國(guó)內(nèi)外人才，壯大人才隊(duì)伍。重點(diǎn)依托國(guó)家級(jí)工業(yè)信息安全技術(shù)機(jī)構(gòu)，打造工業(yè)互聯(lián)網(wǎng)安全高端智庫(kù)，建成技術(shù)領(lǐng)先、服務(wù)一流、業(yè)界知名的國(guó)家隊(duì)。

文章來(lái)源：《中國(guó)電子報(bào)》