作者：尹麗波  國家工業(yè)信息安全發(fā)展研究中心主任

當前，全球工業(yè)互聯(lián)網(wǎng)正處在格局未定的關鍵期、規(guī)模化擴張的窗口期、搶占主導權的機遇期。作為工業(yè)互聯(lián)網(wǎng)三大要素，工業(yè)互聯(lián)網(wǎng)平臺是全要素連接的樞紐，是工業(yè)資源配置的核心，正成為領軍企業(yè)競爭的新賽道、產(chǎn)業(yè)布局的新方向、制造大國競爭的新焦點。

2017年11月，國務院發(fā)布了《關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》(以下簡稱《指導意見》)，提出要加快發(fā)展工業(yè)互聯(lián)網(wǎng)，構建網(wǎng)絡、平臺、安全三大功能體系，強化工業(yè)互聯(lián)網(wǎng)安全保障。《指導意見》突出強調(diào)了工業(yè)互聯(lián)網(wǎng)安全的基礎性和戰(zhàn)略性地位，為今后我國工業(yè)互聯(lián)網(wǎng)安全工作制定了時間表和路線圖。

1 工業(yè)互聯(lián)網(wǎng)安全是工業(yè)互聯(lián)網(wǎng)發(fā)展的重要前提

作為互聯(lián)網(wǎng)創(chuàng)新發(fā)展和新工業(yè)革命歷史交匯期的重要產(chǎn)物，工業(yè)互聯(lián)網(wǎng)的出現(xiàn)有其必然性，意義十分重大。工業(yè)互聯(lián)網(wǎng)是在制造業(yè)發(fā)展面臨深刻變革這一背景下提出的，是我國扭轉發(fā)展失衡局面、重構競爭優(yōu)勢、搶占產(chǎn)業(yè)制高點的重要機遇。我國緊抓這一機遇，基本與發(fā)達國家同步啟動工業(yè)互聯(lián)網(wǎng)建設，在平臺建設、產(chǎn)業(yè)應用、市場潛力等方面并不遜色于發(fā)達國家，但是安全保障能力相對薄弱，成為制約我國工業(yè)互聯(lián)網(wǎng)邁向更高發(fā)展水平的主要短板之一。

工業(yè)互聯(lián)網(wǎng)安全是工業(yè)互聯(lián)網(wǎng)發(fā)展的前提，是國家深入推進“互聯(lián)網(wǎng)+先進制造業(yè)”的重要保障。作為新工業(yè)革命的關鍵基礎設施，工業(yè)互聯(lián)網(wǎng)代表著國家新一代信息基礎設施重要發(fā)展方向，已經(jīng)成為工業(yè)體系的神經(jīng)中樞。它一旦遭受攻擊破壞，會直接造成工業(yè)生產(chǎn)停滯，影響范圍不僅是單個企業(yè)，更可延伸至整個產(chǎn)業(yè)生態(tài)，甚至國民經(jīng)濟亦可能受到重創(chuàng)。因此，工業(yè)互聯(lián)網(wǎng)安全是工業(yè)信息安全的核心，直接決定工業(yè)生產(chǎn)安全，更關乎經(jīng)濟發(fā)展、社會穩(wěn)定乃至國家安全。

2 要正確理解工業(yè)互聯(lián)網(wǎng)安全的內(nèi)涵

我國工業(yè)互聯(lián)網(wǎng)發(fā)展面臨難得的戰(zhàn)略窗口期，同時也面臨著嚴峻的安全挑戰(zhàn)。一方面，工業(yè)領域信息基礎設施成為黑客重點關注和攻擊目標，防護壓力空前增大。另一方面，相較傳統(tǒng)網(wǎng)絡安全，工業(yè)互聯(lián)網(wǎng)安全呈現(xiàn)新的特點，進一步增加了安全防護難度。

一是互聯(lián)互通導致攻擊路徑增多。工業(yè)互聯(lián)網(wǎng)實現(xiàn)了全系統(tǒng)、全產(chǎn)業(yè)鏈和全生命周期的互聯(lián)互通，使傳統(tǒng)互聯(lián)網(wǎng)安全威脅延伸至工業(yè)生產(chǎn)領域，且攻擊者從研發(fā)端、管理端、消費端、生產(chǎn)端都有可能實現(xiàn)對工業(yè)互聯(lián)網(wǎng)的攻擊。

二是開放化、標準化導致易攻難守。工業(yè)互聯(lián)網(wǎng)系統(tǒng)與設備供應商越來越多地使用公開協(xié)議以及標準化的Windows或Unix技術架構。這些協(xié)議與模塊的安全漏洞使攻擊者的攻擊門檻大為降低。

三是安全產(chǎn)品和技術匱乏，產(chǎn)業(yè)支撐能力不足。在工業(yè)互聯(lián)網(wǎng)架構中通信和計算資源往往有限，很多傳統(tǒng)安全防護設備由于占用資源較大，可能不再適用。

為全面加強工業(yè)互聯(lián)網(wǎng)安全保障，《指導意見》要求從設備安全、控制安全、平臺安全、數(shù)據(jù)安全、網(wǎng)絡安全等層面構建工業(yè)互聯(lián)網(wǎng)安全保障體系。

設備安全主要指接入工業(yè)互聯(lián)網(wǎng)的終端設備的安全，重點是加強設備自身安全、完善終端接入安全認證。

控制安全主要指PLC、SCADA、DCS等工業(yè)控制系統(tǒng)安全，一方面要提升自主可控工控系統(tǒng)比例，另一方面要解決控制系統(tǒng)在生產(chǎn)設計時缺少安全考慮這一“先天”問題。

平臺安全主要指工業(yè)IaaS、PaaS、SaaS的安全，重點是加強工業(yè)云服務網(wǎng)絡安全管理，明確平臺管理和運行主體責任。

數(shù)據(jù)安全主要指工業(yè)生產(chǎn)業(yè)務活動中產(chǎn)生、采集、處理、存儲、傳輸和使用的數(shù)據(jù)的安全，要建立工業(yè)數(shù)據(jù)分級分類管理制度，形成工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)流動管理機制，解決工業(yè)數(shù)據(jù)流動方向和路徑復雜導致的數(shù)據(jù)安全防護難度增大等問題。

網(wǎng)絡安全主要指工業(yè)企業(yè)管理網(wǎng)、控制網(wǎng)和外網(wǎng)的安全，要做好網(wǎng)絡安全態(tài)勢感知，確保傳輸安全和運行安全。

3 全方位提升工業(yè)互聯(lián)網(wǎng)安全保障能力

按照《指導意見》要求，結合當前工業(yè)信息安全工作實際和經(jīng)驗，建議從體制機制、政策標準、能力建設、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)等方面綜合施策，加快提升我國工業(yè)互聯(lián)網(wǎng)安全保障能力。

一是建立完善體制機制。由國家制造強國建設領導小組下設的工業(yè)互聯(lián)網(wǎng)專項工作組統(tǒng)籌謀劃工業(yè)互聯(lián)網(wǎng)安全相關工作，督促檢查任務落實情況。各地方和有關部門根據(jù)《指導意見》研究制定具體推進方案，加快任務落實。明確相關部門權責，建立部門間高效聯(lián)動機制與中央地方協(xié)同機制，深化軍民融合，促進跨部門、跨區(qū)域系統(tǒng)對接，提升工業(yè)互聯(lián)網(wǎng)安全協(xié)同處置能力。

二是健全政策與標準體系。制定并發(fā)布工業(yè)互聯(lián)網(wǎng)安全相關行動計劃，規(guī)范和指導工業(yè)互聯(lián)網(wǎng)安全發(fā)展。完善政策制度體系，細化工業(yè)互聯(lián)網(wǎng)安全保障要求，明確企業(yè)主體責任。加快工業(yè)云、工業(yè)大數(shù)據(jù)等新興領域法規(guī)制度建設。推動建立工業(yè)互聯(lián)網(wǎng)安全標準體系，研究制定工業(yè)互聯(lián)網(wǎng)設備、平臺、控制、數(shù)據(jù)等層面的安全防護、測試、評估規(guī)范。加強政策和標準宣貫，提升工業(yè)企業(yè)安全防護意識。

三是加強安全保障能力建設。支持國家級工業(yè)信息安全技術機構持續(xù)建設在線監(jiān)測、仿真測試、應急演練、攻防對抗、安全加固等技術支撐能力，打造工業(yè)互聯(lián)網(wǎng)安全監(jiān)測預警、應急響應與信息共享等平臺，建設工業(yè)互聯(lián)網(wǎng)靶場。做好安全檢查、評估認證、安全審查等工作，著力提升工業(yè)互聯(lián)網(wǎng)安全隱患發(fā)現(xiàn)能力。

四是推動安全技術和產(chǎn)品研發(fā)攻關。推動產(chǎn)學研用合作，研究提出適合當前我國工業(yè)互聯(lián)網(wǎng)發(fā)展的安全防護解決方案，加強工業(yè)互聯(lián)網(wǎng)設備層、平臺層、控制層等安全防護關鍵技術攻關，研發(fā)攻擊防護、漏洞挖掘、入侵發(fā)現(xiàn)、態(tài)勢感知、安全審計、可信芯片等安全產(chǎn)品，推動自主成果應用。

五是促進工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展。推動設立工業(yè)互聯(lián)網(wǎng)安全專項資金、建立風險補償基金等，支持工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)集聚發(fā)展。發(fā)揮產(chǎn)業(yè)聯(lián)盟作用，整合行業(yè)資源，加強工業(yè)互聯(lián)網(wǎng)安全技術聯(lián)合攻關、協(xié)同創(chuàng)新，以及服務模式創(chuàng)新，做大做強工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)。

六是加快專業(yè)人才培養(yǎng)。適應互聯(lián)網(wǎng)與制造業(yè)深度融合趨勢，加快培養(yǎng)既掌握工業(yè)控制知識又熟悉安全防護技術的復合型人才。加強工業(yè)互聯(lián)網(wǎng)安全相關學科建設，建立企業(yè)、高校聯(lián)合培養(yǎng)人才機制，加大引進人才配套政策支持，廣攬國內(nèi)外人才，壯大人才隊伍。重點依托國家級工業(yè)信息安全技術機構，打造工業(yè)互聯(lián)網(wǎng)安全高端智庫，建成技術領先、服務一流、業(yè)界知名的國家隊。

文章來源：《中國電子報》