工(gōng)業自動化和信息化系統是工(gōng)業的核心組成部分(fēn),是支撐國民經濟的重要設施,是工(gōng)業各行業、企業的神經中(zhōng)樞,保障工(gōng)業發展須保障工(gōng)業信息安全。當前,以移動互聯網、雲計算、大(dà)數據、物(wù)聯網和人工(gōng)智能等爲代表的新一(yī)代信息技術與制造技術加速融合,推動着制造業向數字化、網絡化、智能化、服務化的方向和路徑發展,成爲推動經濟轉型升級、新舊(jiù)發展動能接續轉換的強勁引擎。
新一(yī)代信息技術在加速信息化與工(gōng)業化深度融合發展的同時,也帶來了日趨嚴峻的信息安全問題。“震網”病毒造成伊朗上千台離(lí)心機報廢,烏克蘭電(diàn)網被攻擊導緻140餘萬家庭斷電(diàn),“WannaCry”勒索軟件導緻雷諾、日産等汽車(chē)制造廠商(shāng)被迫停産,“Petrwrap”勒索病毒影響多個國家的電(diàn)力、軌道交通、石油等重點領域并對工(gōng)業生(shēng)産運行造成威脅等一(yī)系列事件充分(fēn)說明,工(gōng)業信息系統一(yī)旦遭受攻擊,可對現實世界造成直接的、實質性的危害,甚至威脅國家安全和經濟社會穩定。
工(gōng)業信息安全事關經濟發展、社會穩定和國家安全。加快推進工(gōng)業信息安全,是保障互聯網與制造業相向而行、融合創新的重要舉措,是保障制造強國順利實施的基礎支撐。
衆志(zhì)成城 多措并舉
工(gōng)業信息安全取得實際成效
一(yī)是加強政策引導,建立基本政策體(tǐ)系。近年來,爲貫徹落實《中(zhōng)華人民共和國網絡安全法》、《中(zhōng)國制造2025》、《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28号)等文件,工(gōng)業和信息化部圍繞風險發現、檢查評估、應急處置等工(gōng)業信息安全管理的重點領域和重要環節,出台了一(yī)系列政策文件,初步構建了工(gōng)業信息安全政策體(tǐ)系。其中(zhōng),2011年出台的《關于加強工(gōng)業控制系統信息安全管理的通知(zhī)》(工(gōng)信部協〔2011〕451号)是工(gōng)業信息安全領域的首部專門政策,該文件明确了重點領域工(gōng)業控制系統信息安全管理要求,提出要建立測評檢查和漏洞發布制度。2016年10月發布的《工(gōng)業控制系統信息安全防護指南(nán)》,則從管理、技術兩方面提出了安全軟件選擇與管理、配置和補丁管理、邊界安全防護等11項工(gōng)控安全防護要求,爲工(gōng)控安全防護工(gōng)作提供了基本依據。2017年6月出台的《工(gōng)業控制系統信息安全事件應急管理工(gōng)作指南(nán)》,對工(gōng)控安全風險監測、信息報送與通報、應急處置、敏感時期應急管理等工(gōng)作提出了具體(tǐ)管理要求,明确了責任分(fēn)工(gōng)、工(gōng)作流程和保障措施,爲工(gōng)控安全事件應急管理與處置工(gōng)作提供了依據與方法。此外(wài),工(gōng)業和信息化部還組織國家工(gōng)業信息安全發展研究中(zhōng)心等機構研究編制《工(gōng)業控制系統信息安全防護能力評估工(gōng)作管理辦法》、《關于促進工(gōng)業信息安全産業發展的指導意見》等文件,不斷完善工(gōng)業信息安全政策體(tǐ)系。
二是組建國家隊伍,提供專業人才支撐。工(gōng)控安全技術團隊是工(gōng)控安全服務保障工(gōng)作的基礎,按照《國務院關于深化制造業與互聯網融合發展的指導意見》文件要求,工(gōng)業和信息化部依托部屬單位電(diàn)子一(yī)所重組建設了“國家工(gōng)業信息安全發展研究中(zhōng)心”,使其作爲支撐我(wǒ)國工(gōng)業領域信息安全的國家級研究與推進機構,主要負責開(kāi)展工(gōng)業信息安全及相關領域的戰略研究、技術研發、監測預警、檢查評估、應急處置和産業推進等工(gōng)作,提升工(gōng)業領域信息安全能力,維護工(gōng)業領域信息安全。國家工(gōng)業信息安全發展研究中(zhōng)心建設以“小(xiǎo)核心,大(dà)外(wài)圍”爲原則,充分(fēn)利用現有工(gōng)控安全技術能力,積極引導高校、科研機構、社會組織、企業等社會各界力量廣泛參與,爲打造工(gōng)控安全人才隊伍奠定堅實基礎。
三是成立産業聯盟,促進跨界資(zī)源整合。2017年6月8日,在工(gōng)業和信息化部的指導下(xià),國家工(gōng)業信息安全發展研究中(zhōng)心牽頭成立了國家工(gōng)業信息安全産業發展聯盟,廣泛吸納工(gōng)業企業、高等院校、科研院所、工(gōng)業控制系統生(shēng)産企業及安全服務商(shāng)等,緻力于構建科學的工(gōng)業信息安全産業推進體(tǐ)系。聯盟首批會員(yuán)單位超過百家,涵蓋了工(gōng)業領域的領軍企業,工(gōng)業控制系統和信息安全領域的“佼佼者”,以及科研實力雄厚的研究院所和高等院校,有效整合了各界資(zī)源,目标是逐步帶動形成工(gōng)業信息安全的“産、學、研、用”生(shēng)态。
四是發展技術手段,構建技術支撐平台。技術支撐平台是工(gōng)控安全技術研究和安全服務的重要基礎設施。工(gōng)業和信息化部十分(fēn)重視工(gōng)業信息安全技術能力建設工(gōng)作,2016年就認定了3家工(gōng)業信息安全領域的實驗室作爲工(gōng)業和信息化部重點實驗室,分(fēn)别爲工(gōng)業信息安全感知(zhī)與評估技術實驗室、工(gōng)業互聯網安全技術試驗與測評實驗室以及工(gōng)業控制系統安全标準與測評實驗室,涵蓋了工(gōng)業信息安全态勢感知(zhī)技術、工(gōng)業互聯網安全技術、工(gōng)業控制系統安全标準測評等研究方向,爲工(gōng)業信息安全相關技術研發與測試提供良好的科研環境。此外(wài),在工(gōng)業和信息化部的指導支持下(xià),國家工(gōng)業信息安全發展研究中(zhōng)心組建了國家工(gōng)業控制系統與産品安全質量監督檢驗中(zhōng)心,建設了重要工(gōng)業控制系統在線安全監測平台、互聯網工(gōng)控威脅誘捕分(fēn)析系統、國家工(gōng)業控制系統安全信息共享平台,爲質檢評估、監測預警、信息通報、應急響應等重要工(gōng)業信息安全工(gōng)作提供有力技術支撐。
積極進取 銳意創新
不斷提升工(gōng)業信息安全保障能力
保障工(gōng)業信息安全是一(yī)項具有戰略意義的系統工(gōng)程,需要多方參與、協同推進、創新發展。要牢固樹(shù)立網絡安全與信息化發展并重的理念,堅持“積極防禦、有效應對、自主發展、安全可控”原則,在工(gōng)業信息安全技術、産業、人才培養等方面采取行動,不斷提升工(gōng)業信息安全保障能力。
一(yī)是大(dà)力推動關鍵核心技術攻關。“核心技術受制于人是我(wǒ)們最大(dà)的隐患”,當前,我(wǒ)國工(gōng)業信息安全相關關鍵産品和核心技術依賴于人的現象十分(fēn)普遍,短期内無法有效改變被動局面。核心技術的自主可控是工(gōng)業信息安全保障工(gōng)作的重中(zhōng)之重,将直接影響到我(wǒ)國工(gōng)業健康發展的命脈。未來,必須加大(dà)投入、加強工(gōng)業信息安全關鍵核心技術研發和應用,重點支持仿真測試、在線監測等技術支撐平台建設,不斷強化态勢感知(zhī)、風險預警、應急處置、檢測評估等技術保障能力。
二是加快發展工(gōng)業信息安全産業。爲确保工(gōng)業信息安全,迫切需要強大(dà)的工(gōng)業信息安全産業。雖然近年來我(wǒ)國工(gōng)業信息安全技術和應用水平逐步提高,但我(wǒ)國工(gōng)業信息安全産業發展面臨一(yī)系列問題:工(gōng)業信息安全産品和服務未成體(tǐ)系,專用産品和專業服務匮乏;重發展、輕安全的現象依然存在,工(gōng)業信息安全市場沒有充分(fēn)釋放(fàng);關鍵核心技術積累不足,工(gōng)業生(shēng)産的實時性、關鍵性使自主可控産品的推廣應用存在困難。下(xià)一(yī)步,亟須加快發展工(gōng)業信息安全産業,大(dà)力提高工(gōng)業信息安全防護和保障能力。要推動創新技術産品,着力構建安全可控的工(gōng)業信息安全技術産品體(tǐ)系;要培育一(yī)批核心技術能力突出、集成創新能力強、引領産業發展的骨幹企業;要優化産業發展環境,發揮産業聯盟作用,增強上遊技術研發與下(xià)遊推廣應用的協同互動效應,打造協同發展的産業生(shēng)态系統;要面向工(gōng)業信息安全産業鏈,建立涵蓋共性技術、标準制定、知(zhī)識産權、成果轉化、産業投融資(zī)、人才服務、測試驗證、市場開(kāi)拓和品牌建設等内容的公共服務體(tǐ)系。
三是持續加強人才隊伍建設。制造強國戰略目标實現與工(gōng)業信息安全保障離(lí)不開(kāi)人才和智力的支撐,一(yī)個國家的工(gōng)業信息安全實力很大(dà)程度上取決于它能否批量産出傑出的技術人才。然而,當前我(wǒ)國在工(gōng)業信息安全領域還存在較大(dà)的人才缺口,亟須加快人才隊伍建設。首先,要營造培養人才、吸引人才和用好人才的良好環境,建立企業、高校、科研院所人才交流平台,優化人才流動和管理機制。其次,應特别重視領軍人才的培養,采取多種形式大(dà)力引進國際高端人才,培養培訓高層次、急需緊缺和骨幹專業技術人才。最後,要重視打造國家級工(gōng)業信息安全高端智庫,爲工(gōng)業信息安全戰略部署、規劃制定、決策咨詢、重大(dà)問題研究提供智力支持和技術支撐。
上一(yī)篇:黑客新招!利用“雲上雲”攻擊規避檢測
下(xià)一(yī)篇:虛拟化推動移動網絡運營商(shāng)的崛起