/ 中存储网

深化互联网、大数据、人工智能与实体经济融合 提升工业信息安全保障能力

2018-07-09 17:38:41 来源:中国电子报

改革开放40年,信息技术产业砥砺奋进,发展迅猛,开启了新的伟大历史征程,逐步实现了从“赶上时代”到“引领时代”的伟大跨越。信息技术作为制造业创新发展的引擎,为推进信息化和工业化深度融合,抢抓新工业革命机遇奠定了基础。与此同时,我们也深刻认识到,工业数字化、网络化、智能化快速发展,使网络安全威胁向工业领域加速渗透,网络攻击手段日趋复杂多样,工业信息安全面临严重安全隐患。新形势下,如何正确处理好制造强国建设和工业信息安全的关系,探索走出一条符合新时代发展需要的工业信息安全道路,仍需进一步厘清思路,统筹规划,切实做好安全保障体系建设。

一、深刻认识工业信息安全复杂多变新形势

(一)针对工业控制系统的大规模高强度攻击事件频发,严重影响社会稳定。自2010年“震网”事件爆发以来,工业信息安全事件频发,事件数量整体呈上升趋势。2017年,开源第三方代码库漏洞(Devil’s Ivy)威胁数百万联网系统安全,新型勒索软件(Bad Rabbit)袭击东欧诸国,工控恶意软件(TRITON)导致能源工厂停运等工业信息安全事件,对社会稳定造成重大影响。

(二)工业控制系统频曝高危漏洞,网络攻击手段愈发多样。2017年,工业信息安全相关漏洞近400个。其中近60%由于涉及范围广、影响程度深、安全危害大被认定为高危漏洞,僵尸网络攻击、定向攻击等新型攻击手段更为多样,工业信息安全防护压力陡增。

(三)大量工业控制系统暴露于互联网,已经成工业信息安全防护的软肋。全球暴露在互联网上的工业信息系统及设备数量持续上升,工业信息安全风险点进一步增加。截至2017年,全球超过10万个工控系统及设备暴露于互联网,比2016年增加了42.9%。

(四)我国工业信息安全产业发展不充分,严重滞后于工业信息安全发展需求。我国工业信息安全在产业结构、资源配置、市场环境、业态发展等方面明显不足,尚未形成完整的产业链。威胁态势感知与预警、漏洞挖掘、攻击者画像与溯源、容灾备份等核心技术积累不足,仍然处于跟跑状态。

二、全面推进工业信息安全防护工作

(一)科学构建工业信息安全总体布局。《中华人民共和国网络安全法》对保障包括工控系统在内的关键信息基础设施安全作出明确规定;《关于深化制造业与互联网融合发展的指导意见》《关于深化“互联网+先进制造业”发展工业互联网的指导意见》等指导性文件,围绕制造强国和网络强国建设的安全保障需求,明确了工业信息安全发展路径,提出了具体要求,指明了方向。

(二)建立健全工业信息安全管理体系。工业信息安全是实现制造强国和网络强国的重要前提。近年来,工业和信息化部从政策标准制定、检查评估、应急通报等方面推动开展工业信息安全管理工作。一是制定《工业控制系统信息安全防护指南》《工业控制系统信息安全行动计划(2018—2020年)》等政策文件,形成工业信息安全政策体系。二是构建工业信息安全国家标准体系,推动发布分类分级、管理要求、评估方法等基础共性标准。三是持续开展年度检查评估工作,逐步建立“以查促建、以查促改、以查促防”的常态化工作机制。四是开展工业信息安全信息报送与通报工作,建立信息采集、汇总、分析、通报和共享机制。

(三)综合提高工业信息安全保障能力。我国工业信息安全技术实力显著增强,工业信息安全产业支撑效应逐步显现,专业人才队伍初具规模,工业信息安全保障水平得到明显提升。一是推进国家级工业信息安全保障机构建设,组建了国家工信安全中心。二是建设国家级在线安全监测、信息共享、仿真测试平台,初步形成工业信息安全技术保障能力。三是成立国家工业信息安全产业发展联盟,汇聚工业企业、设备企业、安全企业、高校及科研院所,推动“产学研用”战略合作和供需对接。四是组织开展国家级工业信息安全技能大赛,广泛发动全国科研院所、著名高校和知名企业选手参赛,加大对专业人才的选拔和培养力度。

三、实施新时代工业信息安全新举措

目前,通过扎实推进工业信息安全各项工作,工业信息安全管理体系、评估体系、应急体系、技术支撑体系初步构建,工业信息安全国家级技术队伍建设初具规模,工业信息安全“产、学、研、用”协作模式初步形成。但是面对日益严峻的工业信息安全形势,必须牢固树立正确的网络安全观,坚持网络安全和信息化发展并重的理念,提高认识,找准方法,一手抓监督管理,一手抓技术支撑,切实落实企业安全防护主体责任。从政策标准、技术创新、综合防护、生态构建等方面入手,不断完善工业信息安全保障体系,为加快推动制造业质量变革、效率变革、动力变革提供安全保障。

(一)完善工业信息安全规章制度。坚持积极防御、有效应对原则,推进工业信息安全制度体系建设。贯彻落实《中华人民共和国网络安全法》,编制工业信息安全领域实施细则、指南及司法解释,研究出台工业信息安全管理办法等规章制度,明确主体责任,指导相关工作,监督工业领域关键信息基础设施运行安全保护,防范、制止和惩治破坏工业信息安全的行为。引导地方政府出台工业信息安全顶层设计、总体规划,推动工业信息安全工作健康有序开展。

(二)强化工业企业安全主体责任。贯彻落实《工业控制系统信息安全行动计划(2018—2020年)》《工业控制系统信息安全防护指南》等政策文件,推动信息安全与信息化建设同步规划、同步建设、同步运行,建立健全监督检查、监测预警、事件通报、应急处置等工作机制。落实工业信息安全责任制,强化企业安全责任和义务,加大企业投入,积极主动开展防护能力评估。明确地方行业主管部门的监管职责,推动地方能力建设,持续完善地方工业信息安全保障体系。

(三)筑牢工业信息安全技术防线。建设涵盖三级架构的国家工业信息安全保障技术支撑体系,着力提升隐患排查、攻击发现、应急处置和攻击溯源等能力,实现整体安全态势感知、威胁信息共享和重大突发事件协同处置。推动建设国家级攻防技术演练、标准试验验证、公共服务、众测众研等平台和环境。加快专业技术人才队伍建设,打造工业信息安全技术保障国家队。面向大数据、云计算、人工智能等新技术在工业领域的应用,研究安全威胁应对策略和技术手段,提升安全风险防范能力。

(四)培育工业信息安全产业生态。推动建设国家新型工业化产业示范基地(工业信息安全),促进产业集聚发展。培育一批核心技术能力突出、辐射带动面广的工业信息安全龙头企业,增强安全产品和服务供给能力。加快自主可控工业信息安全产品研发,组织开展产品示范应用,推动规模化、产业化应用。加强工业信息安全产业“走出去”,以与“一带一路”沿线国家和地区合作为切入点,构建国际治理体系,建设工业信息安全命运共同体。