2018：工控安全關(guān)鍵年

在過去的一年中，工業(yè)控制系統(tǒng)與工業(yè)互聯(lián)網(wǎng)在安全層面都得到了一定程度的積累。無論是工控系統(tǒng)本身的安全，還是工業(yè)互聯(lián)網(wǎng)的安全，都應(yīng)該在得到充分重視的同時，按照頂層設(shè)計的高度，得到切實有效的落實和發(fā)展。

工業(yè)控制系統(tǒng)信息安全（以下簡稱工控安全）是實施制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的重要保障。近年來，隨著中國制造全面推進(jìn)，工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展，我國工控安全面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復(fù)雜多樣等新的挑戰(zhàn)。

若能夠?qū)⒁源髷?shù)據(jù)、人工智能等為代表的新技術(shù)引入到工業(yè)控制系統(tǒng)信息安全工作中，利用新技術(shù)解決我國在工業(yè)控制系統(tǒng)信息安全發(fā)展過程中所遇到的實際問題，不僅能夠促進(jìn)新技術(shù)的實際應(yīng)用，還能夠大力提升工業(yè)控制系統(tǒng)信息安全的程度。為指導(dǎo)工業(yè)控制系統(tǒng)信息安全建立相關(guān)標(biāo)準(zhǔn)、監(jiān)督機(jī)制等提供意見或建議。提高工控領(lǐng)域整體安全意識，將工業(yè)控制系統(tǒng)信息安全上升到最高級。

觀察近一段時間以來我國對于工業(yè)控制系統(tǒng)領(lǐng)域所部署的工作，能夠看出2018年將是工控安全工作開展落實的關(guān)鍵年。

為加快我國工業(yè)控制系統(tǒng)信息安全保障體系建設(shè)，提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護(hù)能力，促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展，2017年底，國家工業(yè)和信息化部制定并印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》（以下簡稱《計劃》）。

近日，工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司負(fù)責(zé)人就《計劃》內(nèi)容進(jìn)行了解讀。據(jù)了解，《計劃》明確將全面貫徹落實黨的十九大精神，以習(xí)近平新時代中國特色社會主義思想為指引，堅持總體國家安全觀，以落實企業(yè)主體責(zé)任為關(guān)鍵，緊緊圍繞新時期兩化深度融合發(fā)展需求，重點(diǎn)提升工控安全態(tài)勢感知、安全防護(hù)和應(yīng)急處置能力，促進(jìn)產(chǎn)業(yè)創(chuàng)新發(fā)展，建立多級聯(lián)防聯(lián)動工作機(jī)制，為制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略建設(shè)奠定堅實基礎(chǔ)。確保信息安全與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運(yùn)行。堅持落實企業(yè)主體責(zé)任。堅持因地制宜分類指導(dǎo)。堅持技術(shù)和管理并重。

主要目標(biāo)是，2020年全系統(tǒng)工控安全管理工作體系基本建立，全社會工控安全意識明顯增強(qiáng)。建成全國在線監(jiān)測網(wǎng)絡(luò)，應(yīng)急資源庫，仿真測試、信息共享、信息通報平臺（一網(wǎng)一庫三平臺），態(tài)勢感知、安全防護(hù)、應(yīng)急處置能力顯著提升。培育一批影響力大、競爭力強(qiáng)的龍頭骨干企業(yè)，創(chuàng)建3~5個國家新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全），產(chǎn)業(yè)創(chuàng)新發(fā)展能力大幅提高。

根據(jù)工信部信息化和軟件服務(wù)業(yè)司的解讀，《計劃》的制定為工控安全保障工作制定了時間表和路線圖，進(jìn)一步明確了部門、地方和企業(yè)做什么和怎么做，為下一步深入落實工控安全工作提供了依據(jù)和指導(dǎo)。

對于“一網(wǎng)一庫三平臺”，上述負(fù)責(zé)人解釋：“一網(wǎng)”是指全國工控安全在線監(jiān)測網(wǎng)絡(luò)。將支持國家工業(yè)信息安全發(fā)展研究中心牽頭，聯(lián)合地方、行業(yè)等技術(shù)機(jī)構(gòu)，建設(shè)以國家工控安全在線監(jiān)測平臺為中心，縱向連接省級分中心，橫向覆蓋重點(diǎn)工業(yè)行業(yè)的多級監(jiān)測網(wǎng)絡(luò)，實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運(yùn)行狀態(tài)、風(fēng)險隱患的實時感知、精準(zhǔn)研判和科學(xué)決策。

“一庫”是指工控安全應(yīng)急資源庫。按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》總體要求，支持國家工業(yè)信息安全發(fā)展研究中心建設(shè)應(yīng)急資源庫，匯聚漏洞、風(fēng)險、解決方案、預(yù)案等信息，實現(xiàn)輔助決策、預(yù)案演練等功能。在突發(fā)工業(yè)信息安全事件時，支撐行業(yè)主管部門協(xié)調(diào)技術(shù)專家和專業(yè)隊伍對事件開展分析研判，并調(diào)動相關(guān)應(yīng)急資源及時有效的開展處置工作。

“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。建設(shè)工控安全仿真測試平臺，以化工生產(chǎn)、管道輸送、污水處理、智能制造等真實工業(yè)控制場景為基礎(chǔ)，模擬業(yè)務(wù)流程，還原真實現(xiàn)場，滿足培訓(xùn)、測試、驗證、試驗等多元化需求。充分利用云計算、大數(shù)據(jù)等技術(shù)手段，建設(shè)國家工控安全信息共享平臺，建立共享清單，明確共享內(nèi)容，推動形成政府引導(dǎo)、企業(yè)主體、社會參與、利益共享的工作機(jī)制。支持建設(shè)工控安全信息通報預(yù)警平臺，及時發(fā)布風(fēng)險預(yù)警信息，跟蹤風(fēng)險防范工作進(jìn)展，形成快速高效、各方聯(lián)動的信息通報預(yù)警體系。

“工控安全是工業(yè)生產(chǎn)安全的重要組成部分，工業(yè)企業(yè)作為工業(yè)控制系統(tǒng)運(yùn)營者應(yīng)承擔(dān)主體責(zé)任。”上述負(fù)責(zé)人表示，企業(yè)要建立工控安全責(zé)任制，明確企業(yè)法人代表、經(jīng)營負(fù)責(zé)人第一責(zé)任者的責(zé)任。抽調(diào)信息化、生產(chǎn)管理、運(yùn)營維護(hù)、設(shè)備管理等相關(guān)部門人員，組建企業(yè)工控安全管理機(jī)構(gòu)。同時，持續(xù)加大工控安全投入，落實防護(hù)技術(shù)改造和隱患治理專項經(jīng)費(fèi)。

同時，在對《計劃》的保障措施中，還特別提到，加大政策支持：堅持政府引導(dǎo)和市場運(yùn)作相結(jié)合，充分調(diào)動社會力量支持工控安全保障體系建設(shè)。支持有條件的地方設(shè)立專項，加大對工控安全基礎(chǔ)設(shè)施建設(shè)、關(guān)鍵技術(shù)驗證測試平臺建設(shè)、產(chǎn)業(yè)創(chuàng)新發(fā)展的支持力度。利用國家政策性信貸資金支持工業(yè)信息安全產(chǎn)業(yè)示范基地建設(shè)。

加快人才培養(yǎng)：鼓勵工業(yè)企業(yè)加強(qiáng)與院校合作，聯(lián)合培養(yǎng)工控安全專業(yè)人才。打造國家工控安全高端智庫，為工控安全戰(zhàn)略部署、規(guī)劃制定、決策咨詢、重大問題提供智力支持和技術(shù)支撐，培養(yǎng)一支門類齊全、技術(shù)精湛的工控安全專業(yè)人才隊伍。

鼓勵社會參與：充分發(fā)揮行業(yè)協(xié)會、產(chǎn)業(yè)聯(lián)盟等中介組織的積極作用，支持開展技術(shù)研發(fā)、技能競賽、標(biāo)準(zhǔn)推廣、公共服務(wù)、國際合作等工作，促進(jìn)技術(shù)交流、加強(qiáng)信息溝通，形成政產(chǎn)學(xué)研用高效聯(lián)動的發(fā)展格局。

隨著互聯(lián)網(wǎng)和新一代信息技術(shù)的不斷滲透和蔓延，占據(jù)工業(yè)互聯(lián)網(wǎng)“控制大腦”地位的工業(yè)控制系統(tǒng)也不可避免地朝著“互聯(lián)網(wǎng)+”方向發(fā)展。工業(yè)控制系統(tǒng)原有相對封閉的使用環(huán)境逐漸被打破，開放性和互聯(lián)性越來越強(qiáng)，使得工業(yè)控制系統(tǒng)與各種業(yè)務(wù)系統(tǒng)的協(xié)作成為可能，工業(yè)設(shè)備、人、信息系統(tǒng)和數(shù)據(jù)的聯(lián)系越來越緊密，系統(tǒng)一體化、設(shè)備智能化、業(yè)務(wù)協(xié)同化、信息共享化、決策需求全景化、全部過程網(wǎng)絡(luò)化等成為工業(yè)控制系統(tǒng)的發(fā)展趨勢。據(jù)數(shù)據(jù)顯示，數(shù)以億計的工業(yè)控制系統(tǒng)已經(jīng)與互聯(lián)網(wǎng)連接。因此，工業(yè)互聯(lián)網(wǎng)安全意識的提升，也將成為工控安全的重要影響因素。

在工業(yè)互聯(lián)網(wǎng)領(lǐng)域，同樣也面臨著很多安全問題。例如：網(wǎng)絡(luò)化下攻擊路徑增多；傳統(tǒng)IT產(chǎn)品帶來的安全漏洞；新型技術(shù)在工業(yè)控制領(lǐng)域的防御系統(tǒng)上不完善等等。

面對這些問題，2017年11月27日經(jīng)李克強(qiáng)總理簽批，國務(wù)院日前印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》（以下簡稱《意見》）。《意見》的基本考慮是，以黨的十九大精神為指引，全面落實習(xí)近平新時代中國特色社會主義思想，以供給側(cè)結(jié)構(gòu)性改革為主線，以全面支撐制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國建設(shè)為目標(biāo)，圍繞推動互聯(lián)網(wǎng)與實體經(jīng)濟(jì)深度融合，構(gòu)建網(wǎng)絡(luò)、平臺、安全三大功能體系，推動現(xiàn)代化經(jīng)濟(jì)體系建設(shè)。

其中，工業(yè)和信息化部對于《意見》中涉及安全領(lǐng)域的內(nèi)容是這樣解讀的：《指導(dǎo)意見》以構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系為目標(biāo)，重點(diǎn)從提升工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力、建立數(shù)據(jù)安全保護(hù)體系、推動安全技術(shù)手段建設(shè)等方面提出了具體任務(wù)，全面強(qiáng)化工業(yè)互聯(lián)網(wǎng)安全保障能力。

提升工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力?！吨笇?dǎo)意見》從技術(shù)和管理兩個層面雙管齊下，構(gòu)建覆蓋設(shè)備、控制、網(wǎng)絡(luò)、平臺和數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)安全保障體系。在技術(shù)層面，加大技術(shù)研發(fā)和成果轉(zhuǎn)化支持力度，重點(diǎn)突破標(biāo)識解析系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)平臺安全、工業(yè)控制系統(tǒng)安全、工業(yè)大數(shù)據(jù)安全等相關(guān)核心技術(shù)，推動面向工業(yè)互聯(lián)網(wǎng)的攻擊防護(hù)、漏洞挖掘、入侵發(fā)現(xiàn)、態(tài)勢感知、安全審計、可信芯片等安全產(chǎn)品的研發(fā)。在管理層面，通過構(gòu)建工業(yè)互聯(lián)網(wǎng)安全評估認(rèn)證體系，依托產(chǎn)業(yè)聯(lián)盟等第三方機(jī)構(gòu)開展安全能力評估和認(rèn)證，推動工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)推廣應(yīng)用，工業(yè)互聯(lián)網(wǎng)企業(yè)安全防護(hù)能力不斷提升。

建立數(shù)據(jù)安全保護(hù)體系。工業(yè)互聯(lián)網(wǎng)上承載著大量價值巨大的工業(yè)數(shù)據(jù)，能夠揭示工業(yè)生產(chǎn)情況及運(yùn)行規(guī)律，也承載了大量市場、客戶、供應(yīng)鏈等信息，是工業(yè)互聯(lián)網(wǎng)核心要素，數(shù)據(jù)安全因此成為工業(yè)互聯(lián)網(wǎng)安全保障的重要任務(wù)之一。一方面，推動建立工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理體系，明確相關(guān)主體的數(shù)據(jù)安全保護(hù)責(zé)任和具體要求，加強(qiáng)數(shù)據(jù)生命周期各環(huán)節(jié)的安全防護(hù)能力，避免用戶隱私或重要工業(yè)數(shù)據(jù)遭到不法竊取或利用；另一方面，建立工業(yè)數(shù)據(jù)分級分類管理制度，形成工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)流動管理機(jī)制，明確數(shù)據(jù)留存、數(shù)據(jù)泄露通報要求；最后，通過加強(qiáng)監(jiān)督檢查落實工業(yè)互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全保護(hù)責(zé)任。

推動安全技術(shù)手段建設(shè)。技術(shù)手段建設(shè)是提升工業(yè)互聯(lián)網(wǎng)安全保障能力的重要途徑，《指導(dǎo)意見》分別從企業(yè)、行業(yè)、國家三個層面提出了安全技術(shù)手段建設(shè)任務(wù)。企業(yè)層面，要求相關(guān)企業(yè)落實網(wǎng)絡(luò)安全主體責(zé)任，加大安全投入，通過加強(qiáng)技術(shù)手段建設(shè)提升自身安全防護(hù)能力，開展工業(yè)互聯(lián)網(wǎng)安全試點(diǎn)示范；行業(yè)層面，支持相關(guān)產(chǎn)業(yè)聯(lián)盟積極發(fā)揮引導(dǎo)作用，整合行業(yè)資源，創(chuàng)新安全服務(wù)模式，提升行業(yè)整體安全保障服務(wù)能力；國家層面，充分發(fā)揮國家專業(yè)機(jī)構(gòu)和社會力量的作用，增強(qiáng)國家級工業(yè)互聯(lián)網(wǎng)安全技術(shù)支撐能力，著力提升隱患排查、攻擊發(fā)現(xiàn)、應(yīng)急處置和攻擊溯源能力。

能夠看出，這些即將落實在工業(yè)互聯(lián)網(wǎng)層面的安全建設(shè)中，不乏與工業(yè)控制系統(tǒng)密切相關(guān)的內(nèi)容。在過去的一年中，工業(yè)控制系統(tǒng)與工業(yè)互聯(lián)網(wǎng)在安全層面都得到了一定程度的積累。我國對于制造業(yè)信息化的投資和期望值有目共睹，無論是工控系統(tǒng)本身的安全，還是工業(yè)互聯(lián)網(wǎng)的安全，都應(yīng)該在得到充分重視的同時，按照頂層設(shè)計的高度，得到切實有效的落實和發(fā)展。2018年，工控系統(tǒng)及其相關(guān)領(lǐng)域的安全工作，將得到重大推動。