“十九大报告55次提到‘安全’,其中18处是‘国家安全’。近年来,针对工业控制系统、关键信息基础设施的网络攻击愈发频繁,工业信息安全防护已成为守护国家安全的重要组成部分。”日前,国家工业信息安全发展研究中心对外合作研究中心主任汪礼俊在接受中国经济时报记者采访时表示,当前,我们亟须大力提升工业信息安全能力,为制造强国保驾护航。
攻坚克难,防范和化解新时代风险
据国家工业信息安全发展研究中心不完全统计,截至2017年上半年,全球超9万个工控系统暴露在互联网上,广泛应用于工业制造、能源、市政等重要领域。我国境内可被识别的联网工控系统及设备数量近3000个,境外近40个国家对我国工控系统发起网络探测与攻击,总计高达6万余次。
汪礼俊对此表示,工业信息安全一方面涵盖人们生产劳动的各个环节,另一方面也包括人们生活安居方方面面的安全,它是总体国家安全的重要组成部分。因此,未来几年工业信息安全发展的主要目标就是要攻坚克难,防范和化解新时代关乎经济发展和社会稳定的重大风险。
着力提升工业信息安全能力
如何提升工业信息安全能力,为制造强国战略保驾护航?汪礼俊认为,应着重从以下几方面整体提升工业信息安全能力。
第一,提升实体经济安全保障能力。汪礼俊表示,工业信息安全是为实体经济保驾护航的核心关键,要同步规划、同步建设、同步运行,提升实体经济的安全保障能力。一方面,要提升安全防护能力。建立覆盖设备安全、控制安全、网络安全、平台安全和数据安全的多层次工业信息安全保障体系;推动攻击防护、漏洞挖掘、入侵发现、态势感知、安全审计、可信芯片等安全产品的研发;构建工业信息安全设备、网络和平台的安全评估认证体系,依托产业联盟等第三方专业机制机构,开展安全能力的评估和认证,引领工业信息安全防护能力不断提升。
另一方面,要推动安全技术手段建设应用。要督促企业落实工业信息安全的主体责任,指导企业加大安全投入,加大安全防护和检测处置手段的建设;积极发挥相关产业联盟的引导作用,整合行业资源,鼓励联盟单位创新服务模式,提供安全运维、安全咨询等服务,提升行业整体安全保障服务能力;充分发挥国家专业机构和社会力量的作用,增强国家级工业信息安全技术支撑能力,着力提升隐患排查、攻击发现、应急处置和攻击溯源等能力。
第二,守护关键基础设施网络。汪礼俊建议,应加大针对关键信息基础设施的防护力度,加快安全态势感知能力建设,常态化开展安全检查评估工作,完善安全风险信息通报与应急处置工作机制,做到“安全风险清、防范能力强、处置路线明”。
第三,加快前沿技术创新突破。工业信息安全属于高科技产业。目前,我国工业信息安全市场主要集中在工业隔离网关、电力专用隔离装置和工业防火墙、电力防火墙等领域,硬件、服务业务占比量相对较低,特别是在芯片、核心软件等关键领域,我国仍处于“跟跑”阶段,急需大力开展工业信息安全仿真测试、漏洞挖掘、攻防对抗等非对称技术、前沿技术、颠覆性技术的攻关工作,研发自主可控且满足工控系统特点的专用工控安全防护工具,突破关键核心技术,占领创新发展前沿。
第四,构建安全命运共同体。从全球范围来看,工业信息安全发展仍处于起步阶段,具有广阔的合作发展空间。汪礼俊认为,可以通过建立工业信息安全技术、产品、平台、服务方面的国际合作机制,推动“引进来”和“走出去”,构建多边、民主、透明的工业信息安全国际治理体系,实现在工业信息安全领域开放合作取得更大进展。这其中,与“一带一路”沿线国家合作将成为重要突破口。
“在沿线国家工业化进程中,存在着巨大的工业信息安全市场需求。”汪礼俊说,我们应积极通过合作、援助、服务等途径,加速推动工业信息安全产业“走出去”,补齐工业产能合作的“短板”,实现“一带一路”工业信息安全“共商、共建、共享”。
第五,培养高水平的人才队伍。在此方面,要进一步加强工业信息安全领域人才队伍建设,一是引进和培养结合,创新人才使用机制,加大引进人才配套政策支持,广揽国内外人才;二是加强工业信息安全相关学科建设,培育技术人才和应用创新型人才;三是建立培育工业信息安全智库,开展前瞻性、战略性等重大问题的研究,对当前工业信息安全态势和面临的挑战进行系统深入的剖析,在新技术、新应用、新模式不断涌现的形势下,研究工业云、工业互联网、工业大数据等面临的信息安全问题,为后续政策制定、技术研发等提供研究支撑。
第六,加强工业信息安全法治保障。一是在《中华人民共和国网络安全法》基础上,进一步细化工业信息安全相关法律制度,建立规范化管理机制,加快新型应用领域法规制度的建设;二是在《工业控制系统信息安全防护指南》基础上,加速涵盖安全管理、系统安全防护、产品安全评估等全面的工业信息安全标准体系建设;三是营造良好的市场环境,深化简政放权、放管结合、优化服务改革,推动相关行业在技术、标准、政策等方面充分对接,健全协同发展机制,引导产业组织完善合作机制和利益共享机制。
“此外,在病毒漏洞数量激增、网络攻击愈演愈烈、网络犯罪日益猖獗的网络安全形势下,广大工业企业对工业信息安全重要性的认识不足、安全知识缺乏、安全技能薄弱、安全意识淡薄,不但不利于防范风险、应对威胁,甚至可能遭受重大财产损失,造成不良社会影响,危害国家安全。”汪礼俊说,在这种情况下,增强工业信息安全意识同样至关重要。
汪礼俊认为,在增强工业信息安全意识方面,要通过多种途径加强工业信息安全教育,增强全社会对工业信息安全意识。一是充分利用网络安全宣传周、世界互联网大会等渠道、平台,大力宣传推广工业信息安全,增强全社会对工业信息安全认识;二是通过高校、培训机构、网上课堂等多种渠道,开展工业信息安全相关课程培训;三是强化工业信息安全检查手段和机制,“以查促防”,提高工业企业安全防护意识。