深化互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能與實(shí)體經(jīng)濟(jì)融合提升工業(yè)信息安全保障能力

改革開(kāi)放40年，我國(guó)信息技術(shù)產(chǎn)業(yè)砥礪奮進(jìn)，發(fā)展迅猛，開(kāi)啟了新的偉大歷史征程，逐步實(shí)現(xiàn)了從“趕上時(shí)代”到“引領(lǐng)時(shí)代”的偉大跨越。信息技術(shù)作為制造業(yè)創(chuàng)新發(fā)展的引擎，為我國(guó)推進(jìn)信息化和工業(yè)化深度融合，搶抓新工業(yè)革命機(jī)遇奠定了基礎(chǔ)。與此同時(shí)，我們也深刻認(rèn)識(shí)到，工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化快速發(fā)展，使網(wǎng)絡(luò)安全威脅向工業(yè)領(lǐng)域加速滲透，網(wǎng)絡(luò)攻擊手段日趨復(fù)雜多樣，工業(yè)信息安全面臨嚴(yán)重安全隱患。新形勢(shì)下，如何貫徹落實(shí)黨的十九大精神，正確處理好制造強(qiáng)國(guó)建設(shè)和工業(yè)信息安全的關(guān)系，探索走出一條符合新時(shí)代發(fā)展需要的工業(yè)信息安全道路，仍需進(jìn)一步厘清思路，統(tǒng)籌規(guī)劃，切實(shí)做好安全保障體系建設(shè)。

一、深刻認(rèn)識(shí)工業(yè)信息安全復(fù)雜多變新形勢(shì)

(一)針對(duì)工業(yè)控制系統(tǒng)的大規(guī)模高強(qiáng)度攻擊事件頻發(fā)，嚴(yán)重影響社會(huì)穩(wěn)定和國(guó)家安全。自2010年“震網(wǎng)”事件爆發(fā)以來(lái)，工業(yè)信息安全事件頻發(fā)，事件數(shù)量整體呈上升趨勢(shì)。2017年，開(kāi)源第三方代碼庫(kù)漏洞(Devil's Ivy)威脅數(shù)百萬(wàn)聯(lián)網(wǎng)系統(tǒng)安全，新型勒索軟件(Bad Rabbit)襲擊東歐諸國(guó)，工控惡意軟件(TRITON)導(dǎo)致能源工廠停運(yùn)等工業(yè)信息安全事件，對(duì)社會(huì)穩(wěn)定和國(guó)家安全造成重大影響。

(二)工業(yè)控制系統(tǒng)頻曝高危漏洞，網(wǎng)絡(luò)攻擊手段愈發(fā)多樣。2017年，國(guó)家工業(yè)信息安全發(fā)展研究中心(以下簡(jiǎn)稱國(guó)家工信安全中心)跟蹤研判工業(yè)信息安全相關(guān)漏洞近400個(gè)，其中近60%由于涉及范圍廣、影響程度深、安全危害大被認(rèn)定為高危漏洞，僵尸網(wǎng)絡(luò)攻擊、定向攻擊等新型攻擊手段更為多樣，工業(yè)信息安全防護(hù)壓力陡增。

(三)大量工業(yè)控制系統(tǒng)暴露于互聯(lián)網(wǎng)，已經(jīng)成工業(yè)信息安全防護(hù)的軟肋。全球暴露在互聯(lián)網(wǎng)上的工業(yè)信息系統(tǒng)及設(shè)備數(shù)量持續(xù)上升，工業(yè)信息安全風(fēng)險(xiǎn)點(diǎn)進(jìn)一步增加。據(jù)國(guó)家工信安全中心監(jiān)測(cè)發(fā)現(xiàn)，截至2017年，全球超過(guò)10萬(wàn)個(gè)工控系統(tǒng)及設(shè)備暴露于互聯(lián)網(wǎng)，比2016年增加了42.9%。

(四)我國(guó)工業(yè)信息安全產(chǎn)業(yè)發(fā)展不充分，嚴(yán)重滯后于工業(yè)信息安全發(fā)展需求。我國(guó)工業(yè)信息安全在產(chǎn)業(yè)結(jié)構(gòu)、資源配置、市場(chǎng)環(huán)境、業(yè)態(tài)發(fā)展等方面明顯不足，尚未形成完整的產(chǎn)業(yè)鏈。威脅態(tài)勢(shì)感知與預(yù)警、漏洞挖掘、攻擊者畫(huà)像與溯源、容災(zāi)備份等核心技術(shù)積累不足，仍然處于跟跑狀態(tài)。

二、全面推進(jìn)工業(yè)信息安全防護(hù)工作

黨中央、國(guó)務(wù)院高度重視工業(yè)信息安全工作，全方位布局工業(yè)信息安全保障體系建設(shè)，指導(dǎo)出臺(tái)一系列政策性文件，組建國(guó)家級(jí)工業(yè)信息安全專業(yè)支撐機(jī)構(gòu)，著力發(fā)展工業(yè)信息安全產(chǎn)業(yè)，發(fā)布一批技術(shù)指導(dǎo)性規(guī)范指南，培養(yǎng)工業(yè)信息安全高素質(zhì)專業(yè)人才。

(一)科學(xué)構(gòu)建工業(yè)信息安全總體布局?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》對(duì)保障包括工控系統(tǒng)在內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施安全作出明確規(guī)定；國(guó)務(wù)院先后發(fā)布《關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》等指導(dǎo)性文件，圍繞制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)的安全保障需求，明確了工業(yè)信息安全發(fā)展路徑，提出了具體要求，指明了方向。

(二)建立健全工業(yè)信息安全管理體系。工業(yè)信息安全是實(shí)現(xiàn)制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)的重要前提。近年來(lái)，工業(yè)和信息化部從政策標(biāo)準(zhǔn)制定、檢查評(píng)估、應(yīng)急通報(bào)等方面推動(dòng)開(kāi)展工業(yè)信息安全管理工作。一是制定《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018—2020年)》等政策文件，形成工業(yè)信息安全政策體系。二是構(gòu)建工業(yè)信息安全國(guó)家標(biāo)準(zhǔn)體系，推動(dòng)發(fā)布分類分級(jí)、管理要求、評(píng)估方法等基礎(chǔ)共性標(biāo)準(zhǔn)。三是持續(xù)開(kāi)展年度檢查評(píng)估工作，逐步建立“以查促建、以查促改、以查促防”的常態(tài)化工作機(jī)制。四是開(kāi)展工業(yè)信息安全信息報(bào)送與通報(bào)工作，建立信息采集、匯總、分析、通報(bào)和共享機(jī)制。

(三)綜合提高工業(yè)信息安全保障能力。我國(guó)工業(yè)信息安全技術(shù)實(shí)力顯著增強(qiáng)，工業(yè)信息安全產(chǎn)業(yè)支撐效應(yīng)逐步顯現(xiàn)，專業(yè)人才隊(duì)伍初具規(guī)模，工業(yè)信息安全保障水平得到明顯提升。一是推進(jìn)國(guó)家級(jí)工業(yè)信息安全保障機(jī)構(gòu)建設(shè)，組建了國(guó)家工信安全中心。二是建設(shè)國(guó)家級(jí)在線安全監(jiān)測(cè)、信息共享、仿真測(cè)試平臺(tái)，初步形成工業(yè)信息安全技術(shù)保障能力。三是成立國(guó)家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟，匯聚工業(yè)企業(yè)、設(shè)備企業(yè)、安全企業(yè)、高校及科研院所，推動(dòng)“產(chǎn)學(xué)研用”戰(zhàn)略合作和供需對(duì)接。四是組織開(kāi)展國(guó)家級(jí)工業(yè)信息安全技能大賽，廣泛發(fā)動(dòng)全國(guó)科研院所、著名高校和知名企業(yè)選手參賽，加大對(duì)專業(yè)人才的選拔和培養(yǎng)力度。

三、實(shí)施新時(shí)代工業(yè)信息安全新舉措

目前，通過(guò)扎實(shí)推進(jìn)工業(yè)信息安全各項(xiàng)工作，工業(yè)信息安全管理體系、評(píng)估體系、應(yīng)急體系、技術(shù)支撐體系初步構(gòu)建，工業(yè)信息安全國(guó)家級(jí)技術(shù)隊(duì)伍建設(shè)初具規(guī)模，工業(yè)信息安全“產(chǎn)、學(xué)、研、用”協(xié)作模式初步形成。但是面對(duì)日益嚴(yán)峻的工業(yè)信息安全形勢(shì)，必須牢固樹(shù)立正確的網(wǎng)絡(luò)安全觀，堅(jiān)持網(wǎng)絡(luò)安全和信息化發(fā)展并重的理念，提高認(rèn)識(shí)，找準(zhǔn)方法，一手抓監(jiān)督管理，一手抓技術(shù)支撐，切實(shí)落實(shí)企業(yè)安全防護(hù)主體責(zé)任。從政策標(biāo)準(zhǔn)、技術(shù)創(chuàng)新、綜合防護(hù)、生態(tài)構(gòu)建等方面入手，不斷完善工業(yè)信息安全保障體系，為加快推動(dòng)制造業(yè)質(zhì)量變革、效率變革、動(dòng)力變革提供安全保障。

(一)完善工業(yè)信息安全規(guī)章制度。堅(jiān)持積極防御、有效應(yīng)對(duì)原則，推進(jìn)工業(yè)信息安全制度體系建設(shè)。貫徹落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，編制工業(yè)信息安全領(lǐng)域?qū)嵤┘?xì)則、指南及司法解釋，研究出臺(tái)工業(yè)信息安全管理辦法等規(guī)章制度，明確主體責(zé)任，指導(dǎo)相關(guān)工作，監(jiān)督工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)，防范、制止和懲治破壞工業(yè)信息安全的行為。引導(dǎo)地方政府出臺(tái)工業(yè)信息安全頂層設(shè)計(jì)、總體規(guī)劃，推動(dòng)工業(yè)信息安全工作健康有序開(kāi)展。

(二)強(qiáng)化工業(yè)企業(yè)安全主體責(zé)任。貫徹落實(shí)國(guó)務(wù)院《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018—2020年)》《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等政策文件，推動(dòng)信息安全與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，建立健全監(jiān)督檢查、監(jiān)測(cè)預(yù)警、事件通報(bào)、應(yīng)急處置等工作機(jī)制。落實(shí)工業(yè)信息安全責(zé)任制，強(qiáng)化企業(yè)安全責(zé)任和義務(wù)，加大企業(yè)投入，積極主動(dòng)開(kāi)展防護(hù)能力評(píng)估。明確地方行業(yè)主管部門的監(jiān)管職責(zé)，推動(dòng)地方能力建設(shè)，持續(xù)完善地方工業(yè)信息安全保障體系。

(三)筑牢工業(yè)信息安全技術(shù)防線。建設(shè)涵蓋國(guó)家級(jí)、省/行業(yè)級(jí)、企業(yè)級(jí)三級(jí)架構(gòu)的國(guó)家工業(yè)信息安全保障技術(shù)支撐體系，著力提升隱患排查、攻擊發(fā)現(xiàn)、應(yīng)急處置和攻擊溯源等能力，實(shí)現(xiàn)整體安全態(tài)勢(shì)感知、威脅信息共享和重大突發(fā)事件協(xié)同處置。推動(dòng)建設(shè)國(guó)家級(jí)攻防技術(shù)演練、標(biāo)準(zhǔn)試驗(yàn)驗(yàn)證、公共服務(wù)、眾測(cè)眾研等平臺(tái)和環(huán)境。加快專業(yè)技術(shù)人才隊(duì)伍建設(shè)，打造工業(yè)信息安全技術(shù)保障國(guó)家隊(duì)。面向大數(shù)據(jù)、云計(jì)算、人工智能等新技術(shù)在工業(yè)領(lǐng)域的應(yīng)用，研究安全威脅應(yīng)對(duì)策略和技術(shù)手段，提升安全風(fēng)險(xiǎn)防范能力。

(四)培育工業(yè)信息安全產(chǎn)業(yè)生態(tài)。推動(dòng)建設(shè)國(guó)家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)，促進(jìn)產(chǎn)業(yè)集聚發(fā)展。培育一批核心技術(shù)能力突出、輻射帶動(dòng)面廣的工業(yè)信息安全龍頭企業(yè)，增強(qiáng)安全產(chǎn)品和服務(wù)供給能力。加快自主可控工業(yè)信息安全產(chǎn)品研發(fā)，組織開(kāi)展產(chǎn)品示范應(yīng)用，推動(dòng)規(guī)?；?、產(chǎn)業(yè)化應(yīng)用。加強(qiáng)工業(yè)信息安全產(chǎn)業(yè)“走出去”，以與“一帶一路”沿線國(guó)家和地區(qū)合作為切入點(diǎn)，構(gòu)建國(guó)際治理體系，建設(shè)工業(yè)信息安全命運(yùn)共同體。(來(lái)源：中國(guó)電子報(bào))