在過去的一年中,,工業(yè)控制系統(tǒng)與工業(yè)互聯(lián)網(wǎng)在安全層面都得到了一定程度的積累,。無論是工控系統(tǒng)本身的安全,,還是工業(yè)互聯(lián)網(wǎng)的安全,,都應(yīng)該在得到充分重視的同時,,按照頂層設(shè)計的高度,,得到切實有效的落實和發(fā)展,。
工控安全關(guān)鍵年
工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)是實施制造強國和網(wǎng)絡(luò)強國戰(zhàn)略的重要保障,。近年來,隨著中國制造全面推進,,工業(yè)數(shù)字化,、網(wǎng)絡(luò)化、智能化加快發(fā)展,,我國工控安全面臨安全漏洞不斷增多,、安全威脅加速滲透、攻擊手段復(fù)雜多樣等新的挑戰(zhàn),。
若能夠?qū)⒁源髷?shù)據(jù),、人工智能等為代表的新技術(shù)引入到工業(yè)控制系統(tǒng)信息安全工作中,利用新技術(shù)解決我國在工業(yè)控制系統(tǒng)信息安全發(fā)展過程中所遇到的實際問題,,不僅能夠促進新技術(shù)的實際應(yīng)用,,還能夠大力提升工業(yè)控制系統(tǒng)信息安全的程度。為指導(dǎo)工業(yè)控制系統(tǒng)信息安全建立相關(guān)標準,、監(jiān)督機制等提供意見或建議,。提高工控領(lǐng)域整體安全意識,將工業(yè)控制系統(tǒng)信息安全上升到最高級,。
觀察近一段時間以來我國對于工業(yè)控制系統(tǒng)領(lǐng)域所部署的工作,,能夠看出2018年將是工控安全工作開展落實的關(guān)鍵年。
宏觀指導(dǎo)明確
為加快我國工業(yè)控制系統(tǒng)信息安全保障體系建設(shè),,提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護能力,,促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展,2017年底,,國家工業(yè)和信息化部制定并印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》(以下簡稱《計劃》),。
近日,工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司負責(zé)人就《計劃》內(nèi)容進行了解讀,。據(jù)了解,,《計劃》明確將全面貫徹落實黨的十九大精神,以習(xí)近平新時代中國特色社會主義思想為指引,,堅持總體國家安全觀,,以落實企業(yè)主體責(zé)任為關(guān)鍵,緊緊圍繞新時期兩化深度融合發(fā)展需求,,重點提升工控安全態(tài)勢感知,、安全防護和應(yīng)急處置能力,促進產(chǎn)業(yè)創(chuàng)新發(fā)展,,建立多級聯(lián)防聯(lián)動工作機制,,為制造強國和網(wǎng)絡(luò)強國戰(zhàn)略建設(shè)奠定堅實基礎(chǔ)。確保信息安全與信息化建設(shè)同步規(guī)劃,、同步建設(shè),、同步運行。堅持落實企業(yè)主體責(zé)任。堅持因地制宜分類指導(dǎo),。堅持技術(shù)和管理并重,。
主要目標是,2020年全系統(tǒng)工控安全管理工作體系基本建立,,全社會工控安全意識明顯增強。建成全國在線監(jiān)測網(wǎng)絡(luò),,應(yīng)急資源庫,,仿真測試、信息共享,、信息通報平臺(一網(wǎng)一庫三平臺),,態(tài)勢感知、安全防護,、應(yīng)急處置能力顯著提升,。培育一批影響力大、競爭力強的龍頭骨干企業(yè),,創(chuàng)建3~5個國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全),,產(chǎn)業(yè)創(chuàng)新發(fā)展能力大幅提高。
根據(jù)工信部信息化和軟件服務(wù)業(yè)司的解讀,,《計劃》的制定為工控安全保障工作制定了時間表和路線圖,,進一步明確了部門、地方和企業(yè)做什么和怎么做,,為下一步深入落實工控安全工作提供了依據(jù)和指導(dǎo),。
對于“一網(wǎng)一庫三平臺”,上述負責(zé)人解釋:
01
“一網(wǎng)”是指全國工控安全在線監(jiān)測網(wǎng)絡(luò)
將支持國家工業(yè)信息安全發(fā)展研究中心牽頭,,聯(lián)合地方,、行業(yè)等技術(shù)機構(gòu),建設(shè)以國家工控安全在線監(jiān)測平臺為中心,,縱向連接省級分中心,,橫向覆蓋重點工業(yè)行業(yè)的多級監(jiān)測網(wǎng)絡(luò),實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運行狀態(tài),、風(fēng)險隱患的實時感知,、精準研判和科學(xué)決策。
02
“一庫”是指工控安全應(yīng)急資源庫
按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》總體要求,,支持國家工業(yè)信息安全發(fā)展研究中心建設(shè)應(yīng)急資源庫,,匯聚漏洞、風(fēng)險,、解決方案,、預(yù)案等信息,實現(xiàn)輔助決策、預(yù)案演練等功能,。在突發(fā)工業(yè)信息安全事件時,,支撐行業(yè)主管部門協(xié)調(diào)技術(shù)專家和專業(yè)隊伍對事件開展分析研判,并調(diào)動相關(guān)應(yīng)急資源及時有效的開展處置工作,。
03
“三平臺”
建設(shè)工控安全仿真測試平臺,,以化工生產(chǎn)、管道輸送,、污水處理,、智能制造等真實工業(yè)控制場景為基礎(chǔ),模擬業(yè)務(wù)流程,,還原真實現(xiàn)場,,滿足培訓(xùn)、測試,、驗證,、試驗等多元化需求。充分利用云計算,、大數(shù)據(jù)等技術(shù)手段,,建設(shè)國家工控安全信息共享平臺,建立共享清單,,明確共享內(nèi)容,,推動形成政府引導(dǎo)、企業(yè)主體,、社會參與,、利益共享的工作機制。支持建設(shè)工控安全信息通報預(yù)警平臺,,及時發(fā)布風(fēng)險預(yù)警信息,,跟蹤風(fēng)險防范工作進展,形成快速高效,、各方聯(lián)動的信息通報預(yù)警體系,。
“工控安全是工業(yè)生產(chǎn)安全的重要組成部分,工業(yè)企業(yè)作為工業(yè)控制系統(tǒng)運營者應(yīng)承擔(dān)主體責(zé)任,?!鄙鲜鲐撠?zé)人表示,企業(yè)要建立工控安全責(zé)任制,,明確企業(yè)法人代表,、經(jīng)營負責(zé)人第一責(zé)任者的責(zé)任。抽調(diào)信息化,、生產(chǎn)管理,、運營維護,、設(shè)備管理等相關(guān)部門人員,組建企業(yè)工控安全管理機構(gòu),。同時,,持續(xù)加大工控安全投入,落實防護技術(shù)改造和隱患治理專項經(jīng)費,。
同時,,在對《計劃》的保障措施中,還特別提到,,加大政策支持:堅持政府引導(dǎo)和市場運作相結(jié)合,,充分調(diào)動社會力量支持工控安全保障體系建設(shè)。支持有條件的地方設(shè)立專項,,加大對工控安全基礎(chǔ)設(shè)施建設(shè)、關(guān)鍵技術(shù)驗證測試平臺建設(shè),、產(chǎn)業(yè)創(chuàng)新發(fā)展的支持力度,。利用國家政策性信貸資金支持工業(yè)信息安全產(chǎn)業(yè)示范基地建設(shè)。
加快人才培養(yǎng):鼓勵工業(yè)企業(yè)加強與院校合作,,聯(lián)合培養(yǎng)工控安全專業(yè)人才,。打造國家工控安全高端智庫,為工控安全戰(zhàn)略部署,、規(guī)劃制定,、決策咨詢、重大問題提供智力支持和技術(shù)支撐,,培養(yǎng)一支門類齊全,、技術(shù)精湛的工控安全專業(yè)人才隊伍。
鼓勵社會參與:充分發(fā)揮行業(yè)協(xié)會,、產(chǎn)業(yè)聯(lián)盟等中介組織的積極作用,,支持開展技術(shù)研發(fā)、技能競賽,、標準推廣,、公共服務(wù)、國際合作等工作,,促進技術(shù)交流,、加強信息溝通,形成政產(chǎn)學(xué)研用高效聯(lián)動的發(fā)展格局,。
多維度提升安全等級
隨著互聯(lián)網(wǎng)和新一代信息技術(shù)的不斷滲透和蔓延,,占據(jù)工業(yè)互聯(lián)網(wǎng)“控制大腦”地位的工業(yè)控制系統(tǒng)也不可避免地朝著“互聯(lián)網(wǎng)+”方向發(fā)展。工業(yè)控制系統(tǒng)原有相對封閉的使用環(huán)境逐漸被打破,,開放性和互聯(lián)性越來越強,,使得工業(yè)控制系統(tǒng)與各種業(yè)務(wù)系統(tǒng)的協(xié)作成為可能,,工業(yè)設(shè)備、人,、信息系統(tǒng)和數(shù)據(jù)的聯(lián)系越來越緊密,,系統(tǒng)一體化、設(shè)備智能化,、業(yè)務(wù)協(xié)同化,、信息共享化、決策需求全景化,、全部過程網(wǎng)絡(luò)化等成為工業(yè)控制系統(tǒng)的發(fā)展趨勢,。據(jù)數(shù)據(jù)顯示,數(shù)以億計的工業(yè)控制系統(tǒng)已經(jīng)與互聯(lián)網(wǎng)連接,。因此,,工業(yè)互聯(lián)網(wǎng)安全意識的提升,也將成為工控安全的重要影響因素,。
在工業(yè)互聯(lián)網(wǎng)領(lǐng)域,,同樣也面臨著很多安全問題。例如:網(wǎng)絡(luò)化下攻擊路徑增多,;傳統(tǒng)IT產(chǎn)品帶來的安全漏洞,;新型技術(shù)在工業(yè)控制領(lǐng)域的防御系統(tǒng)上不完善等等。
面對這些問題,,2017年11月27日經(jīng)李克強總理簽批,,國務(wù)院日前印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》(以下簡稱《意見》)?!兑庖姟返幕究紤]是,,以黨的十九大精神為指引,全面落實習(xí)近平新時代中國特色社會主義思想,,以供給側(cè)結(jié)構(gòu)性改革為主線,,以全面支撐制造強國、網(wǎng)絡(luò)強國建設(shè)為目標,,圍繞推動互聯(lián)網(wǎng)與實體經(jīng)濟深度融合,,構(gòu)建網(wǎng)絡(luò)、平臺,、安全三大功能體系,,推動現(xiàn)代化經(jīng)濟體系建設(shè)。
其中,,工業(yè)和信息化部對于《意見》中涉及安全領(lǐng)域的內(nèi)容是這樣解讀的:《指導(dǎo)意見》以構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系為目標,,重點從提升工業(yè)互聯(lián)網(wǎng)安全防護能力、建立數(shù)據(jù)安全保護體系,、推動安全技術(shù)手段建設(shè)等方面提出了具體任務(wù),,全面強化工業(yè)互聯(lián)網(wǎng)安全保障能力,。
提升工業(yè)互聯(lián)網(wǎng)安全防護能力?!吨笇?dǎo)意見》從技術(shù)和管理兩個層面雙管齊下,,構(gòu)建覆蓋設(shè)備、控制,、網(wǎng)絡(luò),、平臺和數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)安全保障體系。在技術(shù)層面,,加大技術(shù)研發(fā)和成果轉(zhuǎn)化支持力度,,重點突破標識解析系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)平臺安全,、工業(yè)控制系統(tǒng)安全,、工業(yè)大數(shù)據(jù)安全等相關(guān)核心技術(shù),推動面向工業(yè)互聯(lián)網(wǎng)的攻擊防護,、漏洞挖掘,、入侵發(fā)現(xiàn)、態(tài)勢感知,、安全審計、可信芯片等安全產(chǎn)品的研發(fā),。在管理層面,,通過構(gòu)建工業(yè)互聯(lián)網(wǎng)安全評估認證體系,依托產(chǎn)業(yè)聯(lián)盟等第三方機構(gòu)開展安全能力評估和認證,,推動工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)推廣應(yīng)用,,工業(yè)互聯(lián)網(wǎng)企業(yè)安全防護能力不斷提升。
建立數(shù)據(jù)安全保護體系,。工業(yè)互聯(lián)網(wǎng)上承載著大量價值巨大的工業(yè)數(shù)據(jù),,能夠揭示工業(yè)生產(chǎn)情況及運行規(guī)律,也承載了大量市場,、客戶,、供應(yīng)鏈等信息,是工業(yè)互聯(lián)網(wǎng)核心要素,,數(shù)據(jù)安全因此成為工業(yè)互聯(lián)網(wǎng)安全保障的重要任務(wù)之一,。一方面,推動建立工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理體系,,明確相關(guān)主體的數(shù)據(jù)安全保護責(zé)任和具體要求,,加強數(shù)據(jù)生命周期各環(huán)節(jié)的安全防護能力,避免用戶隱私或重要工業(yè)數(shù)據(jù)遭到不法竊取或利用,;另一方面,,建立工業(yè)數(shù)據(jù)分級分類管理制度,,形成工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)流動管理機制,明確數(shù)據(jù)留存,、數(shù)據(jù)泄露通報要求,;最后,通過加強監(jiān)督檢查落實工業(yè)互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全保護責(zé)任,。
推動安全技術(shù)手段建設(shè),。技術(shù)手段建設(shè)是提升工業(yè)互聯(lián)網(wǎng)安全保障能力的重要途徑,《指導(dǎo)意見》分別從企業(yè),、行業(yè),、國家三個層面提出了安全技術(shù)手段建設(shè)任務(wù)。企業(yè)層面,,要求相關(guān)企業(yè)落實網(wǎng)絡(luò)安全主體責(zé)任,,加大安全投入,通過加強技術(shù)手段建設(shè)提升自身安全防護能力,,開展工業(yè)互聯(lián)網(wǎng)安全試點示范,;行業(yè)層面,支持相關(guān)產(chǎn)業(yè)聯(lián)盟積極發(fā)揮引導(dǎo)作用,,整合行業(yè)資源,,創(chuàng)新安全服務(wù)模式,提升行業(yè)整體安全保障服務(wù)能力,;國家層面,,充分發(fā)揮國家專業(yè)機構(gòu)和社會力量的作用,增強國家級工業(yè)互聯(lián)網(wǎng)安全技術(shù)支撐能力,,著力提升隱患排查,、攻擊發(fā)現(xiàn)、應(yīng)急處置和攻擊溯源能力,。