查看原文
其他

改革开放40年·两化融合丨尹丽波:工业信息安全,全力护航强国建设

编者的话:两化深度融合是建设制造强国和网络强国的必由之路,是我国制造业实现“换道超车”的必然选择。党的十八大以来,我国两化深度融合不断取得新进展,顶层设计逐步加强,推进体系持续完善,发展成效不断显现,两化深度融合发展步入快速发展轨道,为中国经济转型、提质增效提供了强大动力。为集中反映我国两化深度融合发展的方方面面,中国电子报特别策划推出“改革开放40年·两化融合”特刊,邀请主管部门、专家学者撰写文章,从工业互联网平台、制造业“双创”、工业电子商务、两化融合体系贯标、工业信息安全、产业数字化转型、网络化协同制造等方面,讲述改革开放以来两化融合发展的主要成就,提出新时代我国两化融合发展的思路建议。

国家工业信息安全发展研究中心主任

尹丽波

习近平总书记指出,没有网络安全就没有国家安全。随着新一代信息技术与工业产业加速融合,工业经济由数字化向网络化、智能化深度拓展,工业设备和系统通过映射和具象,愈发成为网络空间的重要组成部分。回顾改革开放40年历程,伴随着工业领域信息化程度不断提高,一条持续跃升的曲线记录了我国工业信息安全建设不平凡的历史进程,为制造强国和网络强国建设奠定了坚实基础。


孕育期(2010年以前):工业信息安全重要性始受关注


20世纪90年代,随着改革开放进程不断深化,我国工业企业开始规模使用MRPⅡ/ERP软件系统,通过局域网管理财务、采购、销售、库存等运营工作。


企业网络基本是物理隔离,与外界交换信息的频率和数量有限,网络安全问题尚不明显。工业企业将ERP等系统接入互联网,订单、库存等企业管理信息开始通过网络在上下游企业间传递。而此时病毒种类少、危害程度低,加之信息交互基本不涉及生产过程,工业领域的信息安全风险尚未形成实质性威胁。


进入21世纪后,电力、石油、化工等涉及国计民生且信息化程度较高的工业领域开始关注信息安全问题,一些企业部署安全监测系统、工业防火墙、工业隔离网关等基础防护产品。


2005年,原国家电监会发布《电力二次系统安全防护总体规定》,要求生产控制大区和信息管理大区之间必须部署专用安全隔离装置,是工业领域信息安全工作先行者。


萌芽期(2010-2015年):从探索工业控制系统信息安全防护起步


随着大量工业设备、生产系统与互联网连接,病毒、木马等传统信息安全威胁开始向工业领域扩散,工业控制系统信息安全问题日益突出。2010年,“震网”病毒爆发并造成伊朗上千台离心机报废,敲响了工业领域信息安全的警钟,更多国家意识到关键工业系统感染病毒的毁灭性后果。美国依托新成立的工业控制系统网络应急响应小组(ICS-CERT),编制《保护工业控制系统战略》,加强对能源、电力等行业的工业控制系统保护。2013年,欧盟建立Scada Lab实验室,开发若干工业控制安全测试床,工业控制安全防护技术体系己见雏形。


与此同时,我国也充分认识到工业控制安全的重要性。2011年,工业和信息化部发布《关于加强工业控制系统信息安全管理的通知》,正式拉开我国工业信息安全工作序幕。2012年,工业控制安全年度检查工作启动,通过对重点行业、区域、企业的检查评估,逐步摸清我国工业控制安全现状。电力等重点行业越来越重视工业控制安全工作,2014年国家发展改革委发布《电力监控系统安全防护规定》,2015年国家能源局出台《电力监控系统安全防护总体方案》,行业的信息安全管理能力不断提升。


2009年,我们开始关注工业控制安全问题,支撑工业和信息化部开展政策研究、检查评估等工作。2015年,初步建成工业控制安全在线监测平台,具备了信息安全态势分析、安全检查、监测预警等方面的基本服务能力,成长为支撑国家工业控制安全工作的重要力量。


成长期(2016年至今):积极构建工业信息安全保障体系


随着工业生产环境进一步走向开放互联,暴露在互联网上的工业信息系统及设备数量持续上升,工业信息安全事件频发,工业信息安全形势日趋严峻。据我们监测,2017年全球超过10万个工业控制系统及设备暴露于互联网上,同比增加42.9%;收集研判的工业控制、智能设备、物联网漏洞中,高危漏洞占59%;恶意软件“Industroyer”、僵尸网络“IoT_reaper”、勒索病毒“WannaCry”等造成大规模停产,给工业企业带来实质性危害。


伴随“十三五”开局,我国积极部署制造强国和网络强国建设,越来越多的工业控制系统与企业管理网之间实现了互联、互通、互操作,攻击者可从研发端、管理端、消费端、生产端任意一端对工业控制系统发起攻击,工业信息安全问题凸显。近两年,工业和信息化部陆续发布《工业控制系统信息安全防护指南》《工业控制系统信息安全行动计划(2018-2020年)》等政策文件,组织制定《工业控制系统信息安全防护能力分级规范》等国家标准,工业信息安全政策体系日趋完善。同时,还建立了检查评估、信息报送、应急保障等常态化工作机制,多方参与、上下联动的工业信息安全管理工作格局基本形成。


2017年,为落实《国务院关于深化制造业与互联网融合发展的指导意见》,工业和信息化部所属的电子科学技术情报研究所更名为国家工业信息安全发展研究中心,成为支撑我国工业信息安全的“国家队”。我中心研发建设的工控安全监测平台、互联网工控威胁诱捕分析系统、国家工控安全信息共享平台等技术平台,有效提升了我国工业信息安全评估、监测预警、信息通报、应急响应能力。同年,我中心发起成立工业信息安全产业发展联盟,首批成员单位达149家,推动构建政产学研用协同发展的产业生态。


展望:牢记使命,勇于担当,开创工业信息安全新局面


立足现实,我们必须深刻认识到当前还存在工业控制关键设备及系统自主研发能力不足、产业发展不充分、企业安全意识不足、人才缺口大等关键问题。我们要以习近平新时代中国特色社会主义思想和党的十九大精神为指引,坚持总体国家安全观,在工业和信息化部党组统一部署下,以新时代、新担当、新作为的历史责任感,扑下身子,埋头苦干,锐意进取,从政策标准、保障能力、技术产业、人才队伍等方面综合施策,扎实做好新时期工业信息安全工作。


一是健全政策标准体系。围绕工业互联网、工业云、工业大数据等新技术、新业态、新模式的安全需求,健全政策体系,进一步加强安全管理的顶层设计。根据《网络安全法》研究制定工业信息安全领域配套法规文件,进一步明确主体责任,指导开展相关工作。不断完善工业信息安全技术标准体系,加快制定一批急需专用标准。组织开展政策标准宣贯培训,提升行业监管部门、工业企业的安全意识和行为规范。


二是提升安全保障能力。加快建设以国家工业信息安全发展研究中心为核心,涵盖国家、省级/行业级、企业级的国家工业信息安全技术综合保障体系。紧跟信息技术发展,积极推进工业控制系统风险监测、漏洞挖掘、态势感知、仿真测试、安全防护、应急处置等技术手段建设。紧抓工业互联网发展机遇,着力提升设备接入、平台运行、应用服务、标识解析和数据安全等综合安全保障能力。


三是增强产业支撑能力。依托科研机构、高等院校、产业联盟等社会力量,推动产业化资源汇聚整合。着力拓展工业关键生产设备、工业软件、控制系统的产业化研发和规模化应用,加快主机防护、网络防护、威胁检测、态势感知等安全防护技术的产业化步伐,探索形成自主工业信息安全防护产品和解决方案。研究出台鼓励性政策,培育一批工业信息安全骨干企业,形成大中小微企业融通发展的产业格局。


四是加强人才队伍建设。推动工业信息安全相关学科建设,培养一批工业信息安全专业型、复合型人才,特别重视选拔领军型技术和管理人才。依托宣贯培训、技能大赛、攻防演练、论坛研讨等多种形式,普及工业信息安全意识和基本技能,提高从业人员技术素质。依托重点工业信息安全技术机构,打造工业信息安全高端智库和关键安全技术保障力量,建设科研实力雄厚、技术能力突出的国家级智库。



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存