工業信息安全:全力護航強國建設
http://www.sharifulalam.com 2018-11-27 16:52 來源:國家工業信息安全發展研究中心主任 尹麗波
習近平總書記指出,沒有網絡安全就沒有國家安全。隨著新一代信息技術與工業產業加速融合,工業經濟由數字化向網絡化、智能化深度拓展,工業設備和系統通過映射和具象,愈發成為網絡空間的重要組成部分。回顧改革開放40年歷程,伴隨著工業領域信息化程度不斷提高,一條持續躍升的曲線記錄了我國工業信息安全建設不平凡的歷史進程,為制造強國和網絡強國建設奠定了堅實基礎。
孕育期(2010年以前):工業信息安全重要性始受關注
20世紀90年代,隨著改革開放進程不斷深化,我國工業企業開始規模使用MRPⅡ/ERP軟件系統,通過局域網管理財務、采購、銷售、庫存等運營工作。企業網絡基本是物理隔離,與外界交換信息的頻率和數量有限,網絡安全問題尚不明顯。工業企業將ERP等系統接入互聯網,訂單、庫存等企業管理信息開始通過網絡在上下游企業間傳遞。而此時病毒種類少、危害程度低,加之信息交互基本不涉及生產過程,工業領域的信息安全風險尚未形成實質性威脅。
進入21世紀后,電力、石油、化工等涉及國計民生且信息化程度較高的工業領域開始關注信息安全問題,一些企業部署安全監測系統、工業防火墻、工業隔離網關等基礎防護產品。
2005年,原國家電監會發布《電力二次系統安全防護總體規定》,要求生產控制大區和信息管理大區之間必須部署專用安全隔離裝置,是工業領域信息安全工作先行者。
萌芽期(2010-2015年):從探索工業控制系統信息安全防護起步
隨著大量工業設備、生產系統與互聯網連接,病毒、木馬等傳統信息安全威脅開始向工業領域擴散,工業控制系統信息安全問題日益突出。2010年,“震網”病毒爆發并造成伊朗上千臺離心機報廢,敲響了工業領域信息安全的警鐘,更多國家意識到關鍵工業系統感染病毒的毀滅性后果。美國依托新成立的工業控制系統網絡應急響應小組(ICS-CERT),編制《保護工業控制系統戰略》,加強對能源、電力等行業的工業控制系統保護。2013年,歐盟建立Scada Lab實驗室,開發若干工業控制安全測試床,工業控制安全防護技術體系己見雛形。
與此同時,我國也充分認識到工業控制安全的重要性。2011年,工業和信息化部發布《關于加強工業控制系統信息安全管理的通知》,正式拉開我國工業信息安全工作序幕。2012年,工業控制安全年度檢查工作啟動,通過對重點行業、區域、企業的檢查評估,逐步摸清我國工業控制安全現狀。電力等重點行業越來越重視工業控制安全工作,2014年國家發展改革委發布《電力監控系統安全防護規定》,2015年國家能源局出臺《電力監控系統安全防護總體方案》,行業的信息安全管理能力不斷提升。
2009年,我們開始關注工業控制安全問題,支撐工業和信息化部開展政策研究、檢查評估等工作。2015年,初步建成工業控制安全在線監測平臺,具備了信息安全態勢分析、安全檢查、監測預警等方面的基本服務能力,成長為支撐國家工業控制安全工作的重要力量。
成長期(2016年至今):積極構建工業信息安全保障體系
隨著工業生產環境進一步走向開放互聯,暴露在互聯網上的工業信息系統及設備數量持續上升,工業信息安全事件頻發,工業信息安全形勢日趨嚴峻。據我們監測,2017年全球超過10萬個工業控制系統及設備暴露于互聯網上,同比增加42.9%;收集研判的工業控制、智能設備、物聯網漏洞中,高危漏洞占59%;惡意軟件“Industroyer”、僵尸網絡“IoT_reaper”、勒索病毒“WannaCry”等造成大規模停產,給工業企業帶來實質性危害。
伴隨“十三五”開局,我國積極部署制造強國和網絡強國建設,越來越多的工業控制系統與企業管理網之間實現了互聯、互通、互操作,攻擊者可從研發端、管理端、消費端、生產端任意一端對工業控制系統發起攻擊,工業信息安全問題凸顯。近兩年,工業和信息化部陸續發布《工業控制系統信息安全防護指南》《工業控制系統信息安全行動計劃(2018-2020年)》等政策文件,組織制定《工業控制系統信息安全防護能力分級規范》等國家標準,工業信息安全政策體系日趨完善。同時,還建立了檢查評估、信息報送、應急保障等常態化工作機制,多方參與、上下聯動的工業信息安全管理工作格局基本形成。
2017年,為落實《國務院關于深化制造業與互聯網融合發展的指導意見》,工業和信息化部所屬的電子科學技術情報研究所更名為國家工業信息安全發展研究中心,成為支撐我國工業信息安全的“國家隊”。我中心研發建設的工控安全監測平臺、互聯網工控威脅誘捕分析系統、國家工控安全信息共享平臺等技術平臺,有效提升了我國工業信息安全評估、監測預警、信息通報、應急響應能力。同年,我中心發起成立工業信息安全產業發展聯盟,首批成員單位達149家,推動構建政產學研用協同發展的產業生態。
展望:牢記使命,勇于擔當,開創工業信息安全新局面
立足現實,我們必須深刻認識到當前還存在工業控制關鍵設備及系統自主研發能力不足、產業發展不充分、企業安全意識不足、人才缺口大等關鍵問題。我們要以習近平新時代中國特色社會主義思想和黨的十九大精神為指引,堅持總體國家安全觀,在工業和信息化部黨組統一部署下,以新時代、新擔當、新作為的歷史責任感,撲下身子,埋頭苦干,銳意進取,從政策標準、保障能力、技術產業、人才隊伍等方面綜合施策,扎實做好新時期工業信息安全工作。
一是健全政策標準體系。圍繞工業互聯網、工業云、工業大數據等新技術、新業態、新模式的安全需求,健全政策體系,進一步加強安全管理的頂層設計。根據《網絡安全法》研究制定工業信息安全領域配套法規文件,進一步明確主體責任,指導開展相關工作。不斷完善工業信息安全技術標準體系,加快制定一批急需專用標準。組織開展政策標準宣貫培訓,提升行業監管部門、工業企業的安全意識和行為規范。
二是提升安全保障能力。加快建設以國家工業信息安全發展研究中心為核心,涵蓋國家、省級/行業級、企業級的國家工業信息安全技術綜合保障體系。緊跟信息技術發展,積極推進工業控制系統風險監測、漏洞挖掘、態勢感知、仿真測試、安全防護、應急處置等技術手段建設。緊抓工業互聯網發展機遇,著力提升設備接入、平臺運行、應用服務、標識解析和數據安全等綜合安全保障能力。
三是增強產業支撐能力。依托科研機構、高等院校、產業聯盟等社會力量,推動產業化資源匯聚整合。著力拓展工業關鍵生產設備、工業軟件、控制系統的產業化研發和規模化應用,加快主機防護、網絡防護、威脅檢測、態勢感知等安全防護技術的產業化步伐,探索形成自主工業信息安全防護產品和解決方案。研究出臺鼓勵性政策,培育一批工業信息安全骨干企業,形成大中小微企業融通發展的產業格局。
四是加強人才隊伍建設。推動工業信息安全相關學科建設,培養一批工業信息安全專業型、復合型人才,特別重視選拔領軍型技術和管理人才。依托宣貫培訓、技能大賽、攻防演練、論壇研討等多種形式,普及工業信息安全意識和基本技能,提高從業人員技術素質。依托重點工業信息安全技術機構,打造工業信息安全高端智庫和關鍵安全技術保障力量,建設科研實力雄厚、技術能力突出的國家級智庫。
作者為國家工業信息安全發展研究中心主任 尹麗波
相關新聞
編輯精選
