【编者按】习近平总书记在党的十九大、全国网络安全和信息化工作会议等多个场合反复强调要推动互联网、大数据、人工智能和实体经济深度融合,既从侧面凸显了信息化在培育新动能促进新发展中的重要作用,也彰显了党中央贯彻新发展理念、建设现代化经济体系的坚定决心。在新一轮科技革命和产业变革同我国转变发展方式形成历史性交汇的背景下,如何理解软件定义、数据驱动、平台支撑、服务增值、智能主导的融合发展新特征,如何继续做好信息化和工业化深度融合这篇大文章?中国电子报推出“深化融合发展,推动制造强国和网络强国建设”专栏,邀请行业主管部门、研究咨询机构、业界专家撰文,阐述新时代两化融合的新内涵和新特征,为创新推进两化融合、促进制造业高质量发展营造良好氛围,此文为专栏文章之三。
改革开放40年,我国信息技术产业砥砺奋进,发展迅猛,开启了新的伟大历史征程,逐步实现了从“赶上时代”到“引领时代”的伟大跨越。信息技术作为制造业创新发展的引擎,为我国推进信息化和工业化深度融合,抢抓新工业革命机遇奠定了基础。与此同时,我们也深刻认识到,工业数字化、网络化、智能化快速发展,使网络安全威胁向工业领域加速渗透,网络攻击手段日趋复杂多样,工业信息安全面临严重安全隐患。新形势下,如何贯彻落实党的十九大精神,切实以习近平新时代中国特色社会主义思想武装头脑、指导实践,正确处理好制造强国建设和工业信息安全的关系,探索走出一条符合新时代发展需要的工业信息安全道路,仍需进一步厘清思路,统筹规划,切实做好安全保障体系建设。
一、深刻认识工业信息安全复杂多变新形势
(一)针对工业控制系统的大规模高强度攻击事件频发,严重影响社会稳定和国家安全。自2010年“震网”事件爆发以来,工业信息安全事件频发,事件数量整体呈上升趋势。2017年,开源第三方代码库漏洞(Devil’s Ivy)威胁数百万联网系统安全,新型勒索软件(Bad Rabbit)袭击东欧诸国,工控恶意软件(TRITON)导致能源工厂停运等工业信息安全事件,对社会稳定和国家安全造成重大影响。
(二)工业控制系统频曝高危漏洞,网络攻击手段愈发多样。2017年,国家工业信息安全发展研究中心(以下简称国家工信安全中心)跟踪研判工业信息安全相关漏洞近400个,其中近60%由于涉及范围广、影响程度深、安全危害大被认定为高危漏洞,僵尸网络攻击、定向攻击等新型攻击手段更为多样,工业信息安全防护压力陡增。
(三)大量工业控制系统暴露于互联网,已经成工业信息安全防护的软肋。全球暴露在互联网上的工业信息系统及设备数量持续上升,工业信息安全风险点进一步增加。据国家工信安全中心监测发现,截至2017年,全球超过10万个工控系统及设备暴露于互联网,比2016年增加了42.9%。
(四)我国工业信息安全产业发展不充分,严重滞后于工业信息安全发展需求。我国工业信息安全在产业结构、资源配置、市场环境、业态发展等方面明显不足,尚未形成完整的产业链。威胁态势感知与预警、漏洞挖掘、攻击者画像与溯源、容灾备份等核心技术积累不足,仍然处于跟跑状态。
二、全面推进工业信息安全防护工作
党中央、国务院高度重视工业信息安全工作,全方位布局工业信息安全保障体系建设,指导出台一系列政策性文件,组建国家级工业信息安全专业支撑机构,着力发展工业信息安全产业,发布一批技术指导性规范指南,培养工业信息安全高素质专业人才。
(一)科学构建工业信息安全总体布局。习近平新时代中国特色社会主义思想和基本方略为工业信息安全工作提供了战略指引。《中华人民共和国网络安全法》对保障包括工控系统在内的关键信息基础设施安全作出明确规定;国务院先后发布《关于深化制造业与互联网融合发展的指导意见》《关于深化“互联网+先进制造业”发展工业互联网的指导意见》等指导性文件,围绕制造强国和网络强国建设的安全保障需求,明确了工业信息安全发展路径,提出了具体要求,指明了方向。
(二)建立健全工业信息安全管理体系。工业信息安全是实现制造强国和网络强国的重要前提。近年来,工业和信息化部从政策标准制定、检查评估、应急通报等方面推动开展工业信息安全管理工作。一是制定《工业控制系统信息安全防护指南》《工业控制系统信息安全行动计划(2018—2020年)》等政策文件,形成工业信息安全政策体系。二是构建工业信息安全国家标准体系,推动发布分类分级、管理要求、评估方法等基础共性标准。三是持续开展年度检查评估工作,逐步建立“以查促建、以查促改、以查促防”的常态化工作机制。四是开展工业信息安全信息报送与通报工作,建立信息采集、汇总、分析、通报和共享机制。
(三)综合提高工业信息安全保障能力。我国工业信息安全技术实力显著增强,工业信息安全产业支撑效应逐步显现,专业人才队伍初具规模,工业信息安全保障水平得到明显提升。一是推进国家级工业信息安全保障机构建设,组建了国家工信安全中心。二是建设国家级在线安全监测、信息共享、仿真测试平台,初步形成工业信息安全技术保障能力。三是成立国家工业信息安全产业发展联盟,汇聚工业企业、设备企业、安全企业、高校及科研院所,推动“产学研用”战略合作和供需对接。四是组织开展国家级工业信息安全技能大赛,广泛发动全国科研院所、著名高校和知名企业选手参赛,加大对专业人才的选拔和培养力度。
三、实施新时代工业信息安全新举措
目前,通过扎实推进工业信息安全各项工作,工业信息安全管理体系、评估体系、应急体系、技术支撑体系初步构建,工业信息安全国家级技术队伍建设初具规模,工业信息安全“产、学、研、用”协作模式初步形成。但是面对日益严峻的工业信息安全形势,必须牢固树立正确的网络安全观,坚持网络安全和信息化发展并重的理念,提高认识,找准方法,一手抓监督管理,一手抓技术支撑,切实落实企业安全防护主体责任。从政策标准、技术创新、综合防护、生态构建等方面入手,不断完善工业信息安全保障体系,为加快推动制造业质量变革、效率变革、动力变革提供安全保障。
(一)完善工业信息安全规章制度。坚持积极防御、有效应对原则,推进工业信息安全制度体系建设。贯彻落实《中华人民共和国网络安全法》,编制工业信息安全领域实施细则、指南及司法解释,研究出台工业信息安全管理办法等规章制度,明确主体责任,指导相关工作,监督工业领域关键信息基础设施运行安全保护,防范、制止和惩治破坏工业信息安全的行为。引导地方政府出台工业信息安全顶层设计、总体规划,推动工业信息安全工作健康有序开展。
(二)强化工业企业安全主体责任。贯彻落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》《工业控制系统信息安全行动计划(2018—2020年)》《工业控制系统信息安全防护指南》等政策文件,推动信息安全与信息化建设同步规划、同步建设、同步运行,建立健全监督检查、监测预警、事件通报、应急处置等工作机制。落实工业信息安全责任制,强化企业安全责任和义务,加大企业投入,积极主动开展防护能力评估。明确地方行业主管部门的监管职责,推动地方能力建设,持续完善地方工业信息安全保障体系。
(三)筑牢工业信息安全技术防线。建设涵盖国家级、省/行业级、企业级三级架构的国家工业信息安全保障技术支撑体系,着力提升隐患排查、攻击发现、应急处置和攻击溯源等能力,实现整体安全态势感知、威胁信息共享和重大突发事件协同处置。推动建设国家级攻防技术演练、标准试验验证、公共服务、众测众研等平台和环境。加快专业技术人才队伍建设,打造工业信息安全技术保障国家队。面向大数据、云计算、人工智能等新技术在工业领域的应用,研究安全威胁应对策略和技术手段,提升安全风险防范能力。
(四)培育工业信息安全产业生态。推动建设国家新型工业化产业示范基地(工业信息安全),促进产业集聚发展。培育一批核心技术能力突出、辐射带动面广的工业信息安全龙头企业,增强安全产品和服务供给能力。加快自主可控工业信息安全产品研发,组织开展产品示范应用,推动规模化、产业化应用。加强工业信息安全产业“走出去”,以与“一带一路”沿线国家和地区合作为切入点,构建国际治理体系,建设工业信息安全命运共同体。
作者廖凯,系工信部信息化和软件服务业司系统安全处处长