深化互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能與實體經(jīng)濟融合提升工業(yè)信息安全保障能力

改革開放40年，我國信息技術(shù)產(chǎn)業(yè)砥礪奮進，發(fā)展迅猛，開啟了新的偉大歷史征程，逐步實現(xiàn)了從“趕上時代”到“引領(lǐng)時代”的偉大跨越。信息技術(shù)作為制造業(yè)創(chuàng)新發(fā)展的引擎，為我國推進信息化和工業(yè)化深度融合，搶抓新工業(yè)革命機遇奠定了基礎(chǔ)。與此同時，我們也深刻認識到，工業(yè)數(shù)字化、網(wǎng)絡化、智能化快速發(fā)展，使網(wǎng)絡安全威脅向工業(yè)領(lǐng)域加速滲透，網(wǎng)絡攻擊手段日趨復雜多樣，工業(yè)信息安全面臨嚴重安全隱患。新形勢下，如何貫徹落實黨的十九大精神，切實以習近平新時代中國特色社會主義思想武裝頭腦、指導實踐，正確處理好制造強國建設(shè)和工業(yè)信息安全的關(guān)系，探索走出一條符合新時代發(fā)展需要的工業(yè)信息安全道路，仍需進一步厘清思路，統(tǒng)籌規(guī)劃，切實做好安全保障體系建設(shè)。

一、深刻認識工業(yè)信息安全復雜多變新形勢

(一)針對工業(yè)控制系統(tǒng)的大規(guī)模高強度攻擊事件頻發(fā)，嚴重影響社會穩(wěn)定和國家安全。

自2010年“震網(wǎng)”事件爆發(fā)以來，工業(yè)信息安全事件頻發(fā)，事件數(shù)量整體呈上升趨勢。2017年，開源第三方代碼庫漏洞(Devil’s Ivy)威脅數(shù)百萬聯(lián)網(wǎng)系統(tǒng)安全，新型勒索軟件(Bad Rabbit)襲擊東歐諸國，工控惡意軟件(TRITON)導致能源工廠停運等工業(yè)信息安全事件，對社會穩(wěn)定和國家安全造成重大影響。

(二)工業(yè)控制系統(tǒng)頻曝高危漏洞，網(wǎng)絡攻擊手段愈發(fā)多樣。

2017年，國家工業(yè)信息安全發(fā)展研究中心(以下簡稱國家工信安全中心)跟蹤研判工業(yè)信息安全相關(guān)漏洞近400個，其中近60%由于涉及范圍廣、影響程度深、安全危害大被認定為高危漏洞，僵尸網(wǎng)絡攻擊、定向攻擊等新型攻擊手段更為多樣，工業(yè)信息安全防護壓力陡增。

(三)大量工業(yè)控制系統(tǒng)暴露于互聯(lián)網(wǎng)，已經(jīng)成工業(yè)信息安全防護的軟肋。

全球暴露在互聯(lián)網(wǎng)上的工業(yè)信息系統(tǒng)及設(shè)備數(shù)量持續(xù)上升，工業(yè)信息安全風險點進一步增加。據(jù)國家工信安全中心監(jiān)測發(fā)現(xiàn)，截至2017年，全球超過10萬個工控系統(tǒng)及設(shè)備暴露于互聯(lián)網(wǎng)，比2016年增加了42.9%。

(四)我國工業(yè)信息安全產(chǎn)業(yè)發(fā)展不充分，嚴重滯后于工業(yè)信息安全發(fā)展需求。

我國工業(yè)信息安全在產(chǎn)業(yè)結(jié)構(gòu)、資源配置、市場環(huán)境、業(yè)態(tài)發(fā)展等方面明顯不足，尚未形成完整的產(chǎn)業(yè)鏈。威脅態(tài)勢感知與預警、漏洞挖掘、攻擊者畫像與溯源、容災備份等核心技術(shù)積累不足，仍然處于跟跑狀態(tài)。

二、全面推進工業(yè)信息安全防護工作

黨中央、國務院高度重視工業(yè)信息安全工作，全方位布局工業(yè)信息安全保障體系建設(shè)，指導出臺一系列政策性文件，組建國家級工業(yè)信息安全專業(yè)支撐機構(gòu)，著力發(fā)展工業(yè)信息安全產(chǎn)業(yè)，發(fā)布一批技術(shù)指導性規(guī)范指南，培養(yǎng)工業(yè)信息安全高素質(zhì)專業(yè)人才。

(一)科學構(gòu)建工業(yè)信息安全總體布局。

習近平新時代中國特色社會主義思想和基本方略為工業(yè)信息安全工作提供了戰(zhàn)略指引?！吨腥A人民共和國網(wǎng)絡安全法》對保障包括工控系統(tǒng)在內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施安全作出明確規(guī)定;國務院先后發(fā)布《關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》等指導性文件，圍繞制造強國和網(wǎng)絡強國建設(shè)的安全保障需求，明確了工業(yè)信息安全發(fā)展路徑，提出了具體要求，指明了方向。

(二)建立健全工業(yè)信息安全管理體系。

工業(yè)信息安全是實現(xiàn)制造強國和網(wǎng)絡強國的重要前提。近年來，工業(yè)和信息化部從政策標準制定、檢查評估、應急通報等方面推動開展工業(yè)信息安全管理工作。一是制定《工業(yè)控制系統(tǒng)信息安全防護指南》《工業(yè)控制系統(tǒng)信息安全行動計劃(2018—2020年)》等政策文件，形成工業(yè)信息安全政策體系。二是構(gòu)建工業(yè)信息安全國家標準體系，推動發(fā)布分類分級、管理要求、評估方法等基礎(chǔ)共性標準。三是持續(xù)開展年度檢查評估工作，逐步建立“以查促建、以查促改、以查促防”的常態(tài)化工作機制。四是開展工業(yè)信息安全信息報送與通報工作，建立信息采集、匯總、分析、通報和共享機制。

(三)綜合提高工業(yè)信息安全保障能力。

我國工業(yè)信息安全技術(shù)實力顯著增強，工業(yè)信息安全產(chǎn)業(yè)支撐效應逐步顯現(xiàn)，專業(yè)人才隊伍初具規(guī)模，工業(yè)信息安全保障水平得到明顯提升。一是推進國家級工業(yè)信息安全保障機構(gòu)建設(shè)，組建了國家工信安全中心。二是建設(shè)國家級在線安全監(jiān)測、信息共享、仿真測試平臺，初步形成工業(yè)信息安全技術(shù)保障能力。三是成立國家工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟，匯聚工業(yè)企業(yè)、設(shè)備企業(yè)、安全企業(yè)、高校及科研院所，推動“產(chǎn)學研用”戰(zhàn)略合作和供需對接。四是組織開展國家級工業(yè)信息安全技能大賽，廣泛發(fā)動全國科研院所、著名高校和知名企業(yè)選手參賽，加大對專業(yè)人才的選拔和培養(yǎng)力度。

三、實施新時代工業(yè)信息安全新舉措

目前，通過扎實推進工業(yè)信息安全各項工作，工業(yè)信息安全管理體系、評估體系、應急體系、技術(shù)支撐體系初步構(gòu)建，工業(yè)信息安全國家級技術(shù)隊伍建設(shè)初具規(guī)模，工業(yè)信息安全“產(chǎn)、學、研、用”協(xié)作模式初步形成。但是面對日益嚴峻的工業(yè)信息安全形勢，必須牢固樹立正確的網(wǎng)絡安全觀，堅持網(wǎng)絡安全和信息化發(fā)展并重的理念，提高認識，找準方法，一手抓監(jiān)督管理，一手抓技術(shù)支撐，切實落實企業(yè)安全防護主體責任。從政策標準、技術(shù)創(chuàng)新、綜合防護、生態(tài)構(gòu)建等方面入手，不斷完善工業(yè)信息安全保障體系，為加快推動制造業(yè)質(zhì)量變革、效率變革、動力變革提供安全保障。

(一)完善工業(yè)信息安全規(guī)章制度。

堅持積極防御、有效應對原則，推進工業(yè)信息安全制度體系建設(shè)。貫徹落實《中華人民共和國網(wǎng)絡安全法》，編制工業(yè)信息安全領(lǐng)域?qū)嵤┘殑t、指南及司法解釋，研究出臺工業(yè)信息安全管理辦法等規(guī)章制度，明確主體責任，指導相關(guān)工作，監(jiān)督工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運行安全保護，防范、制止和懲治破壞工業(yè)信息安全的行為。引導地方政府出臺工業(yè)信息安全頂層設(shè)計、總體規(guī)劃，推動工業(yè)信息安全工作健康有序開展。

(二)強化工業(yè)企業(yè)安全主體責任。

貫徹落實《國務院關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》《工業(yè)控制系統(tǒng)信息安全行動計劃 (2018—2020年 )》《工 業(yè)控制系統(tǒng)信息安全防護指南》等政策文件，推動信息安全與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運行，建立健全監(jiān)督檢查、監(jiān)測預警、事件通報、應急處置等工作機制。落實工業(yè)信息安全責任制，強化企業(yè)安全責任和義務，加大企業(yè)投入，積極主動開展防護能力評估。明確地方行業(yè)主管部門的監(jiān)管職責，推動地方能力建設(shè)，持續(xù)完善地方工業(yè)信息安全保障體系。

(三)筑牢工業(yè)信息安全技術(shù)防線。

建設(shè)涵蓋國家級、省/行業(yè)級、企業(yè)級三級架構(gòu)的國家工業(yè)信息安全保障技術(shù)支撐體系，著力提升隱患排查、攻擊發(fā)現(xiàn)、應急處置和攻擊溯源等能力，實現(xiàn)整體安全態(tài)勢感知、威脅信息共享和重大突發(fā)事件協(xié)同處置。推動建設(shè)國家級攻防技術(shù)演練、標準試驗驗證、公共服務、眾測眾研等平臺和環(huán)境。加快專業(yè)技術(shù)人才隊伍建設(shè)，打造工業(yè)信息安全技術(shù)保障國家隊。面向大數(shù)據(jù)、云計算、人工智能等新技術(shù)在工業(yè)領(lǐng)域的應用，研究安全威脅應對策略和技術(shù)手段，提升安全風險防范能力。

(四)培育工業(yè)信息安全產(chǎn)業(yè)生態(tài)。

推動建設(shè)國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)，促進產(chǎn)業(yè)集聚發(fā)展。培育一批核心技術(shù)能力突出、輻射帶動面廣的工業(yè)信息安全龍頭企業(yè)，增強安全產(chǎn)品和服務供給能力。加快自主可控工業(yè)信息安全產(chǎn)品研發(fā)，組織開展產(chǎn)品示范應用，推動規(guī)?；a(chǎn)業(yè)化應用。加強工業(yè)信息安全產(chǎn)業(yè)“走出去”，以與“一帶一路”沿線國家和地區(qū)合作為切入點，構(gòu)建國際治理體系，建設(shè)工業(yè)信息安全命運共同體。（來源：中國電子報）