做好新時期新形勢下的工業信息安全工作 切實維護國家安全

　　作者：國家工業信息安全發展研究中心 尹麗波

　　習近平總書記在黨的十九大報告中指出，“堅持總體國家安全觀。統籌發展和安全，增強憂患意識，做到居安思危，是我們黨治國理政的一個重大原則。”工業信息安全作為國家安全的重要組成部分，事關經濟運行、社會穩定和國家安全。當前，隨著雲計算、大數據、人工智能等新一代信息技術與製造技術加速融合，工業信息安全形勢日趨嚴峻，亟須加快提升工業信息安全保障能力，為工業生産安全和兩化融合健康發展撐起“保護傘”，為製造強國和網絡強國戰略實施築牢“防護墻”。

　　一、工業信息安全關乎國計民生，重要性日益凸顯

　　工業自動化和信息化系統是工業的核心組成部分，是支撐國民經濟的重要基礎設施，是工業各行業、企業的“神經中樞”。工業信息安全的核心任務是確保這些“神經中樞”的安全。這些“神經中樞”一旦遭受攻擊，將可能導致系統停滯、設備損壞等，影響工業生産運營，還可能造成斷電、斷水、斷氣、網絡癱瘓、交通堵塞等，影響人民日常生活辦公，甚至還會引發火災、爆炸等威脅人民生命財産安全的惡性事件。隨著工業互聯網發展進入“快車道”，工業互聯網安全問題愈發突出，一旦發生工業互聯網安全事件，其後果影響更為嚴重，將可能造成全生産鏈、全産業鏈乃至全局性重創。近年來，“震網”病毒入侵導致伊朗上千台離心機報廢、烏克蘭電網被攻擊導致140余萬家庭斷電、“WannaCry”勒索病毒導致國際知名汽車製造廠商被迫停産、工控惡意軟體“Triton”導致能源工廠停運等工業信息安全事件層出不窮，對當事國的經濟社會穩定運行和國家安全造成巨大衝擊。

　　二、工業信息安全風險持續攀升，工業領域面臨越來越嚴峻的安全形勢

　　隨著製造業向數字化、網絡化、智慧化、服務化方向加速發展，在促進兩化深度融合、工業轉型升級的同時，工業信息安全形勢也變得更加複雜嚴峻，具體表現為，“三大風險”呈現增勢，“一項短板”尤為突出。

　　工業信息安全領域“三大風險”愈演愈烈。一是越來越多的工業控制系統及設備暴露于互聯網，極易被駭客探測發現。據國家工業信息安全發展研究中心（以下簡稱國家工信安全中心）監測發現，全球聯網工業控制系統及設備數量持續上升，近兩年增幅尤其明顯，使得駭客發現攻擊目標的難度大大降低。二是工控安全漏洞層出不窮，製造、能源、交通等重要領域首當其衝。據美國工業控制系統網絡應急響應小組（ICS-CERT）統計，工控安全相關漏洞數量自2012年以來持續走高，且大量高危漏洞集中于裝備製造、交通、能源、智慧樓宇等重要領域，極易被駭客利用併發起攻擊，嚴重威脅國家關鍵信息基礎設施安全。三是大規模、高強度工業信息安全事件頻發，工業領域成為網絡攻擊“重災區”。自2010年“震網”事件爆發以來，德國鋼鐵廠遭受高級可持續性威脅（APT）攻擊、烏克蘭斷電、美國網絡癱瘓等事件屢屢發生，全球工業信息安全事件數量整體呈上升趨勢。2018年以來，相繼發生“熔斷”和“幽靈”漏洞威脅工業控制系統、雲服務平臺及工業互聯網平臺安全，金雅拓Safenet軟體許可服務産品漏洞對大量工業控制系統造成影響，美國天然氣輸氣管道遭供應鏈攻擊引發系統故障等安全事件，工業信息安全警鐘長鳴。

　　隨著我國工業互聯網加速發展，加強工業互聯網安全保障成為當前工業信息安全工作的前沿與重點。然而，我國工業互聯網安全保障能力相對薄弱，成為現階段工業信息安全工作的一項明顯短板。目前，工業互聯網標識解析、工業雲平臺、大數據智慧分析等核心技術和産業鏈關鍵環節仍然掌控在美歐等發達國家手中，我國工業核心設備及系統自主研發能力不足，安全技術和産品相對匱乏，産業支撐效應不明顯，遠遠難以滿足當前工業信息安全發展的現實需求。

　　三、加快提升工業信息安全保障能力，為國家安全保駕護航

　　近年來，在工業和信息化部的指導下，國家工信安全中心始終堅持總體國家安全觀，積極開展工業信息安全政策標準研製、檢查評估、監測預警、信息通報、應急保障、産業促進、人才隊伍建設等一系列工作，取得了實際成效。但是，我國仍然存在工業企業安全意識不強、關鍵核心技術能力不足、産業發展基礎薄弱、專業人才隊伍缺乏等問題和短板。今後，我們要在習近平新時代中國特色社會主義思想和黨的十九大精神的指引下，做好新時期新形勢下的工業信息安全工作，切實為國家安全保駕護航。

　　一是抓落實，強化工業企業安全主體責任。“安全為重，責任為先”，工業信息安全保障需要工業企業切實肩負起安全主體責任。下一步，我們要積極貫徹落實《國務院關於深化“互聯網+先進製造業”發展工業互聯網的指導意見》《工業控制系統信息安全行動計劃（2018-2020年）》《工業控制系統信息安全防護指南》等政策文件，落實工業信息安全責任制，強化企業安全意識和責任義務。

　　二是建手段，增強工業信息安全技術實力。爭取工業信息安全主動性的基石在於核心技術突破，扭轉核心技術受制於人的局面已迫在眉睫。今後，要大力支持國家級工業信息安全技術機構建設全國工控安全監測網絡、應急資源庫、倣真測試平臺、信息共享平臺、信息通報平臺（一網一庫三平臺），著力提升態勢感知、隱患排查、攻擊發現、應急處置等技術能力。

　　三是強産業，促進工業信息安全産業發展。我國工業信息安全在産業結構、資源配置、市場環境、業態發展等方面明顯不足，須儘快推動建設3-5家國家新型工業化産業示範基地（工業信息安全），促進産業集聚發展。培育一批工業信息安全骨幹企業，打造特色優勢産業集群。優化産業發展環境，發揮産業聯盟作用，增強産業鏈協同互動，構建協調發展的産業生態系統。

　　四是育人才，打造工業信息安全專業隊伍。做好工業信息安全工作，人才是關鍵。我國工業信息安全人才缺口較大，亟須加快人才隊伍建設。依託國家級工業信息安全技術機構，建立完善工業信息安全培訓認證體系，加快培養領軍人才、複合型人才，加強漏洞挖掘、滲透測試等技術人才儲備。充分發揮産業聯盟“産學研用”合作基礎優勢，開展意識教育、産業促進等培訓，打造梯隊健全、技術精湛、聽從指揮、響應迅速的工業信息安全隊伍。