在過去的一年中,,工業(yè)控制系統(tǒng)與工業(yè)互聯(lián)網(wǎng)在安全層面都得到了一定程度的積累。無論是工控系統(tǒng)本身的安全,,還是工業(yè)互聯(lián)網(wǎng)的安全,,都應該在得到充分重視的同時,,按照頂層設計的高度,,得到切實有效的落實和發(fā)展。
工控安全關鍵年
工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)是實施制造強國和網(wǎng)絡強國戰(zhàn)略的重要保障,。近年來,,隨著中國制造全面推進,工業(yè)數(shù)字化,、網(wǎng)絡化,、智能化加快發(fā)展,我國工控安全面臨安全漏洞不斷增多,、安全威脅加速滲透,、攻擊手段復雜多樣等新的挑戰(zhàn),。
若能夠?qū)⒁源髷?shù)據(jù)、人工智能等為代表的新技術(shù)引入到工業(yè)控制系統(tǒng)信息安全工作中,,利用新技術(shù)解決我國在工業(yè)控制系統(tǒng)信息安全發(fā)展過程中所遇到的實際問題,,不僅能夠促進新技術(shù)的實際應用,還能夠大力提升工業(yè)控制系統(tǒng)信息安全的程度,。為指導工業(yè)控制系統(tǒng)信息安全建立相關標準,、監(jiān)督機制等提供意見或建議。提高工控領域整體安全意識,,將工業(yè)控制系統(tǒng)信息安全上升到最高級,。
觀察近一段時間以來我國對于工業(yè)控制系統(tǒng)領域所部署的工作,能夠看出2018年將是工控安全工作開展落實的關鍵年,。
宏觀指導明確
為加快我國工業(yè)控制系統(tǒng)信息安全保障體系建設,,提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護能力,促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展,,2017年底,,國家工業(yè)和信息化部制定并印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》(以下簡稱《計劃》)。
近日,,工業(yè)和信息化部信息化和軟件服務業(yè)司負責人就《計劃》內(nèi)容進行了解讀,。據(jù)了解,《計劃》明確將全面貫徹落實黨的十九大精神,,以習近平新時代中國特色社會主義思想為指引,,堅持總體國家安全觀,以落實企業(yè)主體責任為關鍵,,緊緊圍繞新時期兩化深度融合發(fā)展需求,,重點提升工控安全態(tài)勢感知、安全防護和應急處置能力,,促進產(chǎn)業(yè)創(chuàng)新發(fā)展,,建立多級聯(lián)防聯(lián)動工作機制,為制造強國和網(wǎng)絡強國戰(zhàn)略建設奠定堅實基礎,。確保信息安全與信息化建設同步規(guī)劃,、同步建設、同步運行,。堅持落實企業(yè)主體責任,。堅持因地制宜分類指導。堅持技術(shù)和管理并重,。
主要目標是,,2020年全系統(tǒng)工控安全管理工作體系基本建立,全社會工控安全意識明顯增強,。建成全國在線監(jiān)測網(wǎng)絡,,應急資源庫,,仿真測試、信息共享,、信息通報平臺(一網(wǎng)一庫三平臺),,態(tài)勢感知、安全防護,、應急處置能力顯著提升,。培育一批影響力大、競爭力強的龍頭骨干企業(yè),,創(chuàng)建3~5個國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全),,產(chǎn)業(yè)創(chuàng)新發(fā)展能力大幅提高。
根據(jù)工信部信息化和軟件服務業(yè)司的解讀,,《計劃》的制定為工控安全保障工作制定了時間表和路線圖,,進一步明確了部門、地方和企業(yè)做什么和怎么做,,為下一步深入落實工控安全工作提供了依據(jù)和指導,。
對于“一網(wǎng)一庫三平臺”,上述負責人解釋:
01
“一網(wǎng)”是指全國工控安全在線監(jiān)測網(wǎng)絡
將支持國家工業(yè)信息安全發(fā)展研究中心牽頭,,聯(lián)合地方,、行業(yè)等技術(shù)機構(gòu),建設以國家工控安全在線監(jiān)測平臺為中心,,縱向連接省級分中心,,橫向覆蓋重點工業(yè)行業(yè)的多級監(jiān)測網(wǎng)絡,實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運行狀態(tài),、風險隱患的實時感知,、精準研判和科學決策。
02
“一庫”是指工控安全應急資源庫
按照《國家網(wǎng)絡安全事件應急預案》總體要求,,支持國家工業(yè)信息安全發(fā)展研究中心建設應急資源庫,,匯聚漏洞、風險,、解決方案,、預案等信息,實現(xiàn)輔助決策,、預案演練等功能,。在突發(fā)工業(yè)信息安全事件時,支撐行業(yè)主管部門協(xié)調(diào)技術(shù)專家和專業(yè)隊伍對事件開展分析研判,,并調(diào)動相關應急資源及時有效的開展處置工作。
03
“三平臺”
建設工控安全仿真測試平臺,,以化工生產(chǎn),、管道輸送,、污水處理、智能制造等真實工業(yè)控制場景為基礎,,模擬業(yè)務流程,,還原真實現(xiàn)場,滿足培訓,、測試,、驗證、試驗等多元化需求,。充分利用云計算,、大數(shù)據(jù)等技術(shù)手段,建設國家工控安全信息共享平臺,,建立共享清單,,明確共享內(nèi)容,推動形成政府引導,、企業(yè)主體,、社會參與、利益共享的工作機制,。支持建設工控安全信息通報預警平臺,,及時發(fā)布風險預警信息,跟蹤風險防范工作進展,,形成快速高效,、各方聯(lián)動的信息通報預警體系。
“工控安全是工業(yè)生產(chǎn)安全的重要組成部分,,工業(yè)企業(yè)作為工業(yè)控制系統(tǒng)運營者應承擔主體責任,。”上述負責人表示,,企業(yè)要建立工控安全責任制,,明確企業(yè)法人代表、經(jīng)營負責人第一責任者的責任,。抽調(diào)信息化,、生產(chǎn)管理、運營維護,、設備管理等相關部門人員,,組建企業(yè)工控安全管理機構(gòu)。同時,,持續(xù)加大工控安全投入,,落實防護技術(shù)改造和隱患治理專項經(jīng)費。
同時,在對《計劃》的保障措施中,,還特別提到,,加大政策支持:堅持政府引導和市場運作相結(jié)合,充分調(diào)動社會力量支持工控安全保障體系建設,。支持有條件的地方設立專項,,加大對工控安全基礎設施建設、關鍵技術(shù)驗證測試平臺建設,、產(chǎn)業(yè)創(chuàng)新發(fā)展的支持力度,。利用國家政策性信貸資金支持工業(yè)信息安全產(chǎn)業(yè)示范基地建設。
加快人才培養(yǎng):鼓勵工業(yè)企業(yè)加強與院校合作,,聯(lián)合培養(yǎng)工控安全專業(yè)人才,。打造國家工控安全高端智庫,為工控安全戰(zhàn)略部署,、規(guī)劃制定,、決策咨詢、重大問題提供智力支持和技術(shù)支撐,,培養(yǎng)一支門類齊全,、技術(shù)精湛的工控安全專業(yè)人才隊伍。
鼓勵社會參與:充分發(fā)揮行業(yè)協(xié)會,、產(chǎn)業(yè)聯(lián)盟等中介組織的積極作用,,支持開展技術(shù)研發(fā)、技能競賽,、標準推廣,、公共服務、國際合作等工作,,促進技術(shù)交流,、加強信息溝通,形成政產(chǎn)學研用高效聯(lián)動的發(fā)展格局,。
多維度提升安全等級
隨著互聯(lián)網(wǎng)和新一代信息技術(shù)的不斷滲透和蔓延,,占據(jù)工業(yè)互聯(lián)網(wǎng)“控制大腦”地位的工業(yè)控制系統(tǒng)也不可避免地朝著“互聯(lián)網(wǎng)+”方向發(fā)展。工業(yè)控制系統(tǒng)原有相對封閉的使用環(huán)境逐漸被打破,,開放性和互聯(lián)性越來越強,,使得工業(yè)控制系統(tǒng)與各種業(yè)務系統(tǒng)的協(xié)作成為可能,工業(yè)設備,、人,、信息系統(tǒng)和數(shù)據(jù)的聯(lián)系越來越緊密,系統(tǒng)一體化,、設備智能化,、業(yè)務協(xié)同化,、信息共享化、決策需求全景化,、全部過程網(wǎng)絡化等成為工業(yè)控制系統(tǒng)的發(fā)展趨勢,。據(jù)數(shù)據(jù)顯示,,數(shù)以億計的工業(yè)控制系統(tǒng)已經(jīng)與互聯(lián)網(wǎng)連接,。因此,工業(yè)互聯(lián)網(wǎng)安全意識的提升,,也將成為工控安全的重要影響因素,。
在工業(yè)互聯(lián)網(wǎng)領域,同樣也面臨著很多安全問題,。例如:網(wǎng)絡化下攻擊路徑增多,;傳統(tǒng)IT產(chǎn)品帶來的安全漏洞;新型技術(shù)在工業(yè)控制領域的防御系統(tǒng)上不完善等等,。
面對這些問題,,2017年11月27日經(jīng)李克強總理簽批,國務院日前印發(fā)《關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》(以下簡稱《意見》),?!兑庖姟返幕究紤]是,以黨的十九大精神為指引,,全面落實習近平新時代中國特色社會主義思想,,以供給側(cè)結(jié)構(gòu)性改革為主線,以全面支撐制造強國,、網(wǎng)絡強國建設為目標,,圍繞推動互聯(lián)網(wǎng)與實體經(jīng)濟深度融合,構(gòu)建網(wǎng)絡,、平臺,、安全三大功能體系,推動現(xiàn)代化經(jīng)濟體系建設,。
其中,,工業(yè)和信息化部對于《意見》中涉及安全領域的內(nèi)容是這樣解讀的:《指導意見》以構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系為目標,重點從提升工業(yè)互聯(lián)網(wǎng)安全防護能力,、建立數(shù)據(jù)安全保護體系,、推動安全技術(shù)手段建設等方面提出了具體任務,全面強化工業(yè)互聯(lián)網(wǎng)安全保障能力,。
提升工業(yè)互聯(lián)網(wǎng)安全防護能力,。《指導意見》從技術(shù)和管理兩個層面雙管齊下,,構(gòu)建覆蓋設備,、控制,、網(wǎng)絡、平臺和數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)安全保障體系,。在技術(shù)層面,,加大技術(shù)研發(fā)和成果轉(zhuǎn)化支持力度,重點突破標識解析系統(tǒng)安全,、工業(yè)互聯(lián)網(wǎng)平臺安全,、工業(yè)控制系統(tǒng)安全、工業(yè)大數(shù)據(jù)安全等相關核心技術(shù),,推動面向工業(yè)互聯(lián)網(wǎng)的攻擊防護,、漏洞挖掘、入侵發(fā)現(xiàn),、態(tài)勢感知,、安全審計、可信芯片等安全產(chǎn)品的研發(fā),。在管理層面,,通過構(gòu)建工業(yè)互聯(lián)網(wǎng)安全評估認證體系,依托產(chǎn)業(yè)聯(lián)盟等第三方機構(gòu)開展安全能力評估和認證,,推動工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品和服務推廣應用,,工業(yè)互聯(lián)網(wǎng)企業(yè)安全防護能力不斷提升。
建立數(shù)據(jù)安全保護體系,。工業(yè)互聯(lián)網(wǎng)上承載著大量價值巨大的工業(yè)數(shù)據(jù),,能夠揭示工業(yè)生產(chǎn)情況及運行規(guī)律,也承載了大量市場,、客戶,、供應鏈等信息,是工業(yè)互聯(lián)網(wǎng)核心要素,,數(shù)據(jù)安全因此成為工業(yè)互聯(lián)網(wǎng)安全保障的重要任務之一,。一方面,推動建立工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理體系,,明確相關主體的數(shù)據(jù)安全保護責任和具體要求,,加強數(shù)據(jù)生命周期各環(huán)節(jié)的安全防護能力,,避免用戶隱私或重要工業(yè)數(shù)據(jù)遭到不法竊取或利用,;另一方面,建立工業(yè)數(shù)據(jù)分級分類管理制度,,形成工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)流動管理機制,,明確數(shù)據(jù)留存、數(shù)據(jù)泄露通報要求,;最后,,通過加強監(jiān)督檢查落實工業(yè)互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)安全保護責任,。
推動安全技術(shù)手段建設。技術(shù)手段建設是提升工業(yè)互聯(lián)網(wǎng)安全保障能力的重要途徑,,《指導意見》分別從企業(yè),、行業(yè)、國家三個層面提出了安全技術(shù)手段建設任務,。企業(yè)層面,,要求相關企業(yè)落實網(wǎng)絡安全主體責任,加大安全投入,,通過加強技術(shù)手段建設提升自身安全防護能力,,開展工業(yè)互聯(lián)網(wǎng)安全試點示范,;行業(yè)層面,,支持相關產(chǎn)業(yè)聯(lián)盟積極發(fā)揮引導作用,整合行業(yè)資源,,創(chuàng)新安全服務模式,,提升行業(yè)整體安全保障服務能力;國家層面,,充分發(fā)揮國家專業(yè)機構(gòu)和社會力量的作用,,增強國家級工業(yè)互聯(lián)網(wǎng)安全技術(shù)支撐能力,著力提升隱患排查,、攻擊發(fā)現(xiàn),、應急處置和攻擊溯源能力。