新一代信息技术在加速信息化与工业化深度融合发展的同时,也带来了日趋严峻的信息安全问题。“震网”病毒造成伊朗上千台离心机报废,乌克兰电网被攻击导致140余万家庭断电,“WannaCry”勒索软件导致雷诺、日产等汽车制造厂商被迫停产,“Petrwrap”勒索病毒影响多个国家的电力、轨道交通、石油等重点领域并对工业生产运行造成威胁等一系列事件充分说明,工业信息系统一旦遭受攻击,可对现实世界造成直接的、实质性的危害,甚至威胁国家安全和经济社会稳定。
工业信息安全事关经济发展、社会稳定和国家安全。加快推进工业信息安全,是保障互联网与制造业相向而行、融合创新的重要举措,是保障制造强国顺利实施的基础支撑。
众志成城,多措并举,工业信息安全取得实际成效
一是加强政策引导,建立基本政策体系。近年来,为贯彻落实《中华人民共和国网络安全法》、《中国制造2025》、《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)等文件,工业和信息化部围绕风险发现、检查评估、应急处置等工业信息安全管理的重点领域和重要环节,出台了一系列政策文件,初步构建了工业信息安全政策体系。其中,2011年出台的《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)是工业信息安全领域的首部专门政策,该文件明确了重点领域工业控制系统信息安全管理要求,提出要建立测评检查和漏洞发布制度。2016年10月发布的《工业控制系统信息安全防护指南》,则从管理、技术两方面提出了安全软件选择与管理、配置和补丁管理、边界安全防护等11项工控安全防护要求,为工控安全防护工作提供了基本依据。2017年6月出台的《工业控制系统信息安全事件应急管理工作指南》,对工控安全风险监测、信息报送与通报、应急处置、敏感时期应急管理等工作提出了具体管理要求,明确了责任分工、工作流程和保障措施,为工控安全事件应急管理与处置工作提供了依据与方法。此外,工业和信息化部还组织国家工业信息安全发展研究中心等机构研究编制《工业控制系统信息安全防护能力评估工作管理办法》、《关于促进工业信息安全产业发展的指导意见》等文件,不断完善工业信息安全政策体系。
二是组建国家队伍,提供专业人才支撑。工控安全技术团队是工控安全服务保障工作的基础,按照《国务院关于深化制造业与互联网融合发展的指导意见》文件要求,工业和信息化部依托部属单位电子一所重组建设了“国家工业信息安全发展研究中心”,使其作为支撑我国工业领域信息安全的国家级研究与推进机构,主要负责开展工业信息安全及相关领域的战略研究、技术研发、监测预警、检查评估、应急处置和产业推进等工作,提升工业领域信息安全能力,维护工业领域信息安全。国家工业信息安全发展研究中心建设以“小核心,大外围”为原则,充分利用现有工控安全技术能力,积极引导高校、科研机构、社会组织、企业等社会各界力量广泛参与,为打造工控安全人才队伍奠定坚实基础。
三是成立产业联盟,促进跨界资源整合。2017年6月8日,在工业和信息化部的指导下,国家工业信息安全发展研究中心牵头成立了国家工业信息安全产业发展联盟,广泛吸纳工业企业、高等院校、科研院所、工业控制系统生产企业及安全服务商等,致力于构建科学的工业信息安全产业推进体系。联盟首批会员单位超过百家,涵盖了工业领域的领军企业,工业控制系统和信息安全领域的“佼佼者”,以及科研实力雄厚的研究院所和高等院校,有效整合了各界资源,目标是逐步带动形成工业信息安全的“产、学、研、用”生态。
四是发展技术手段,构建技术支撑平台。技术支撑平台是工控安全技术研究和安全服务的重要基础设施。工业和信息化部十分重视工业信息安全技术能力建设工作,2016年就认定了3家工业信息安全领域的实验室作为工业和信息化部重点实验室,分别为工业信息安全感知与评估技术实验室、工业互联网安全技术试验与测评实验室以及工业控制系统安全标准与测评实验室,涵盖了工业信息安全态势感知技术、工业互联网安全技术、工业控制系统安全标准测评等研究方向,为工业信息安全相关技术研发与测试提供良好的科研环境。此外,在工业和信息化部的指导支持下,国家工业信息安全发展研究中心组建了国家工业控制系统与产品安全质量监督检验中心,建设了重要工业控制系统在线安全监测平台、互联网工控威胁诱捕分析系统、国家工业控制系统安全信息共享平台,为质检评估、监测预警、信息通报、应急响应等重要工业信息安全工作提供有力技术支撑。
积极进取,锐意创新,不断提升工业信息安全保障能力
保障工业信息安全是一项具有战略意义的系统工程,需要多方参与、协同推进、创新发展。要牢固树立网络安全与信息化发展并重的理念,坚持“积极防御、有效应对、自主发展、安全可控”原则,在工业信息安全技术、产业、人才培养等方面采取行动,不断提升工业信息安全保障能力。
一是大力推动关键核心技术攻关。“核心技术受制于人是我们最大的隐患”,当前,我国工业信息安全相关关键产品和核心技术依赖于人的现象十分普遍,短期内无法有效改变被动局面。核心技术的自主可控是工业信息安全保障工作的重中之重,将直接影响到我国工业健康发展的命脉。未来,必须加大投入、加强工业信息安全关键核心技术研发和应用,重点支持仿真测试、在线监测等技术支撑平台建设,不断强化态势感知、风险预警、应急处置、检测评估等技术保障能力。
二是加快发展工业信息安全产业。为确保工业信息安全,迫切需要强大的工业信息安全产业。虽然近年来我国工业信息安全技术和应用水平逐步提高,但我国工业信息安全产业发展面临一系列问题:工业信息安全产品和服务未成体系,专用产品和专业服务匮乏;重发展、轻安全的现象依然存在,工业信息安全市场没有充分释放;关键核心技术积累不足,工业生产的实时性、关键性使自主可控产品的推广应用存在困难。下一步,亟须加快发展工业信息安全产业,大力提高工业信息安全防护和保障能力。要推动创新技术产品,着力构建安全可控的工业信息安全技术产品体系;要培育一批核心技术能力突出、集成创新能力强、引领产业发展的骨干企业;要优化产业发展环境,发挥产业联盟作用,增强上游技术研发与下游推广应用的协同互动效应,打造协同发展的产业生态系统;要面向工业信息安全产业链,建立涵盖共性技术、标准制定、知识产权、成果转化、产业投融资、人才服务、测试验证、市场开拓和品牌建设等内容的公共服务体系。
三是持续加强人才队伍建设。制造强国战略目标实现与工业信息安全保障离不开人才和智力的支撑,一个国家的工业信息安全实力很大程度上取决于它能否批量产出杰出的技术人才。然而,当前我国在工业信息安全领域还存在较大的人才缺口,亟须加快人才队伍建设。首先,要营造培养人才、吸引人才和用好人才的良好环境,建立企业、高校、科研院所人才交流平台,优化人才流动和管理机制。其次,应特别重视领军人才的培养,采取多种形式大力引进国际高端人才,培养培训高层次、急需紧缺和骨干专业技术人才。最后,要重视打造国家级工业信息安全高端智库,为工业信息安全战略部署、规划制定、决策咨询、重大问题研究提供智力支持和技术支撑。
作者简介:尹丽波,国家工业信息安全发展研究中心主任。长期从事信息化、信息安全等方面的研究工作。