作者:國家工業(yè)信息安全發(fā)展研究中心 尹麗波
習近平總書記在黨的十九大報告中指出,“堅持總體國家安全觀。統(tǒng)籌發(fā)展和安全,增強憂患意識,做到居安思危,是我們黨治國理政的一個重大原則。”工業(yè)信息安全作為國家安全的重要組成部分,事關(guān)經(jīng)濟運行、社會穩(wěn)定和國家安全。當前,隨著云計算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與制造技術(shù)加速融合,工業(yè)信息安全形勢日趨嚴峻,亟須加快提升工業(yè)信息安全保障能力,為工業(yè)生產(chǎn)安全和兩化融合健康發(fā)展撐起“保護傘”,為制造強國和網(wǎng)絡(luò)強國戰(zhàn)略實施筑牢“防護墻”。
一、工業(yè)信息安全關(guān)乎國計民生,重要性日益凸顯
工業(yè)自動化和信息化系統(tǒng)是工業(yè)的核心組成部分,是支撐國民經(jīng)濟的重要基礎(chǔ)設(shè)施,是工業(yè)各行業(yè)、企業(yè)的“神經(jīng)中樞”。工業(yè)信息安全的核心任務(wù)是確保這些“神經(jīng)中樞”的安全。這些“神經(jīng)中樞”一旦遭受攻擊,將可能導(dǎo)致系統(tǒng)停滯、設(shè)備損壞等,影響工業(yè)生產(chǎn)運營,還可能造成斷電、斷水、斷氣、網(wǎng)絡(luò)癱瘓、交通堵塞等,影響人民日常生活辦公,甚至還會引發(fā)火災(zāi)、爆炸等威脅人民生命財產(chǎn)安全的惡性事件。隨著工業(yè)互聯(lián)網(wǎng)發(fā)展進入“快車道”,工業(yè)互聯(lián)網(wǎng)安全問題愈發(fā)突出,一旦發(fā)生工業(yè)互聯(lián)網(wǎng)安全事件,其后果影響更為嚴重,將可能造成全生產(chǎn)鏈、全產(chǎn)業(yè)鏈乃至全局性重創(chuàng)。近年來,“震網(wǎng)”病毒入侵導(dǎo)致伊朗上千臺離心機報廢、烏克蘭電網(wǎng)被攻擊導(dǎo)致140余萬家庭斷電、“WannaCry”勒索病毒導(dǎo)致國際知名汽車制造廠商被迫停產(chǎn)、工控惡意軟件“Triton”導(dǎo)致能源工廠停運等工業(yè)信息安全事件層出不窮,對當事國的經(jīng)濟社會穩(wěn)定運行和國家安全造成巨大沖擊。
二、工業(yè)信息安全風險持續(xù)攀升,工業(yè)領(lǐng)域面臨越來越嚴峻的安全形勢
隨著制造業(yè)向數(shù)字化、網(wǎng)絡(luò)化、智能化、服務(wù)化方向加速發(fā)展,在促進兩化深度融合、工業(yè)轉(zhuǎn)型升級的同時,工業(yè)信息安全形勢也變得更加復(fù)雜嚴峻,具體表現(xiàn)為,“三大風險”呈現(xiàn)增勢,“一項短板”尤為突出。
工業(yè)信息安全領(lǐng)域“三大風險”愈演愈烈。一是越來越多的工業(yè)控制系統(tǒng)及設(shè)備暴露于互聯(lián)網(wǎng),極易被黑客探測發(fā)現(xiàn)。據(jù)國家工業(yè)信息安全發(fā)展研究中心(以下簡稱國家工信安全中心)監(jiān)測發(fā)現(xiàn),全球聯(lián)網(wǎng)工業(yè)控制系統(tǒng)及設(shè)備數(shù)量持續(xù)上升,近兩年增幅尤其明顯,使得黑客發(fā)現(xiàn)攻擊目標的難度大大降低。二是工控安全漏洞層出不窮,制造、能源、交通等重要領(lǐng)域首當其沖。據(jù)美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)統(tǒng)計,工控安全相關(guān)漏洞數(shù)量自2012年以來持續(xù)走高,且大量高危漏洞集中于裝備制造、交通、能源、智能樓宇等重要領(lǐng)域,極易被黑客利用并發(fā)起攻擊,嚴重威脅國家關(guān)鍵信息基礎(chǔ)設(shè)施安全。三是大規(guī)模、高強度工業(yè)信息安全事件頻發(fā),工業(yè)領(lǐng)域成為網(wǎng)絡(luò)攻擊“重災(zāi)區(qū)”。自2010年“震網(wǎng)”事件爆發(fā)以來,德國鋼鐵廠遭受高級可持續(xù)性威脅(APT)攻擊、烏克蘭斷電、美國網(wǎng)絡(luò)癱瘓等事件屢屢發(fā)生,全球工業(yè)信息安全事件數(shù)量整體呈上升趨勢。2018年以來,相繼發(fā)生“熔斷”和“幽靈”漏洞威脅工業(yè)控制系統(tǒng)、云服務(wù)平臺及工業(yè)互聯(lián)網(wǎng)平臺安全,金雅拓Safenet軟件許可服務(wù)產(chǎn)品漏洞對大量工業(yè)控制系統(tǒng)造成影響,美國天然氣輸氣管道遭供應(yīng)鏈攻擊引發(fā)系統(tǒng)故障等安全事件,工業(yè)信息安全警鐘長鳴。
隨著我國工業(yè)互聯(lián)網(wǎng)加速發(fā)展,加強工業(yè)互聯(lián)網(wǎng)安全保障成為當前工業(yè)信息安全工作的前沿與重點。然而,我國工業(yè)互聯(lián)網(wǎng)安全保障能力相對薄弱,成為現(xiàn)階段工業(yè)信息安全工作的一項明顯短板。目前,工業(yè)互聯(lián)網(wǎng)標識解析、工業(yè)云平臺、大數(shù)據(jù)智能分析等核心技術(shù)和產(chǎn)業(yè)鏈關(guān)鍵環(huán)節(jié)仍然掌控在美歐等發(fā)達國家手中,我國工業(yè)核心設(shè)備及系統(tǒng)自主研發(fā)能力不足,安全技術(shù)和產(chǎn)品相對匱乏,產(chǎn)業(yè)支撐效應(yīng)不明顯,遠遠難以滿足當前工業(yè)信息安全發(fā)展的現(xiàn)實需求。
三、加快提升工業(yè)信息安全保障能力,為國家安全保駕護航
近年來,在工業(yè)和信息化部的指導(dǎo)下,國家工信安全中心始終堅持總體國家安全觀,積極開展工業(yè)信息安全政策標準研制、檢查評估、監(jiān)測預(yù)警、信息通報、應(yīng)急保障、產(chǎn)業(yè)促進、人才隊伍建設(shè)等一系列工作,取得了實際成效。但是,我國仍然存在工業(yè)企業(yè)安全意識不強、關(guān)鍵核心技術(shù)能力不足、產(chǎn)業(yè)發(fā)展基礎(chǔ)薄弱、專業(yè)人才隊伍缺乏等問題和短板。今后,我們要在習近平新時代中國特色社會主義思想和黨的十九大精神的指引下,做好新時期新形勢下的工業(yè)信息安全工作,切實為國家安全保駕護航。
一是抓落實,強化工業(yè)企業(yè)安全主體責任。“安全為重,責任為先”,工業(yè)信息安全保障需要工業(yè)企業(yè)切實肩負起安全主體責任。下一步,我們要積極貫徹落實《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》《工業(yè)控制系統(tǒng)信息安全防護指南》等政策文件,落實工業(yè)信息安全責任制,強化企業(yè)安全意識和責任義務(wù)。
二是建手段,增強工業(yè)信息安全技術(shù)實力。爭取工業(yè)信息安全主動性的基石在于核心技術(shù)突破,扭轉(zhuǎn)核心技術(shù)受制于人的局面已迫在眉睫。今后,要大力支持國家級工業(yè)信息安全技術(shù)機構(gòu)建設(shè)全國工控安全監(jiān)測網(wǎng)絡(luò)、應(yīng)急資源庫、仿真測試平臺、信息共享平臺、信息通報平臺(一網(wǎng)一庫三平臺),著力提升態(tài)勢感知、隱患排查、攻擊發(fā)現(xiàn)、應(yīng)急處置等技術(shù)能力。
三是強產(chǎn)業(yè),促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展。我國工業(yè)信息安全在產(chǎn)業(yè)結(jié)構(gòu)、資源配置、市場環(huán)境、業(yè)態(tài)發(fā)展等方面明顯不足,須盡快推動建設(shè)3-5家國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全),促進產(chǎn)業(yè)集聚發(fā)展。培育一批工業(yè)信息安全骨干企業(yè),打造特色優(yōu)勢產(chǎn)業(yè)集群。優(yōu)化產(chǎn)業(yè)發(fā)展環(huán)境,發(fā)揮產(chǎn)業(yè)聯(lián)盟作用,增強產(chǎn)業(yè)鏈協(xié)同互動,構(gòu)建協(xié)調(diào)發(fā)展的產(chǎn)業(yè)生態(tài)系統(tǒng)。
四是育人才,打造工業(yè)信息安全專業(yè)隊伍。做好工業(yè)信息安全工作,人才是關(guān)鍵。我國工業(yè)信息安全人才缺口較大,亟須加快人才隊伍建設(shè)。依托國家級工業(yè)信息安全技術(shù)機構(gòu),建立完善工業(yè)信息安全培訓(xùn)認證體系,加快培養(yǎng)領(lǐng)軍人才、復(fù)合型人才,加強漏洞挖掘、滲透測試等技術(shù)人才儲備。充分發(fā)揮產(chǎn)業(yè)聯(lián)盟“產(chǎn)學研用”合作基礎(chǔ)優(yōu)勢,開展意識教育、產(chǎn)業(yè)促進等培訓(xùn),打造梯隊健全、技術(shù)精湛、聽從指揮、響應(yīng)迅速的工業(yè)信息安全隊伍。
(責任編輯:張云文)
