深化互聯網、大數據、人工智能與實體經濟融合提升工業信息安全保障能力

改革開放40年，我國信息技術產業砥礪奮進，發展迅猛，開啟了新的偉大歷史征程，逐步實現了從“趕上時代”到“引領時代”的偉大跨越。信息技術作為制造業創新發展的引擎，為我國推進信息化和工業化深度融合，搶抓新工業革命機遇奠定了基礎。與此同時，我們也深刻認識到，工業數字化、網絡化、智能化快速發展，使網絡安全威脅向工業領域加速滲透，網絡攻擊手段日趨復雜多樣，工業信息安全面臨嚴重安全隱患。新形勢下，如何貫徹落實黨的十九大精神，切實以習近平新時代中國特色社會主義思想武裝頭腦、指導實踐，正確處理好制造強國建設和工業信息安全的關系，探索走出一條符合新時代發展需要的工業信息安全道路，仍需進一步厘清思路，統籌規劃，切實做好安全保障體系建設。

一、深刻認識工業信息安全復雜多變新形勢

(一)針對工業控制系統的大規模高強度攻擊事件頻發，嚴重影響社會穩定和國家安全。

自2010年“震網”事件爆發以來，工業信息安全事件頻發，事件數量整體呈上升趨勢。2017年，開源第三方代碼庫漏洞(Devil’s Ivy)威脅數百萬聯網系統安全，新型勒索軟件(Bad Rabbit)襲擊東歐諸國，工控惡意軟件(TRITON)導致能源工廠停運等工業信息安全事件，對社會穩定和國家安全造成重大影響。

(二)工業控制系統頻曝高危漏洞，網絡攻擊手段愈發多樣。

2017年，國家工業信息安全發展研究中心(以下簡稱國家工信安全中心)跟蹤研判工業信息安全相關漏洞近400個，其中近60%由于涉及范圍廣、影響程度深、安全危害大被認定為高危漏洞，僵尸網絡攻擊、定向攻擊等新型攻擊手段更為多樣，工業信息安全防護壓力陡增。

(三)大量工業控制系統暴露于互聯網，已經成工業信息安全防護的軟肋。

全球暴露在互聯網上的工業信息系統及設備數量持續上升，工業信息安全風險點進一步增加。據國家工信安全中心監測發現，截至2017年，全球超過10萬個工控系統及設備暴露于互聯網，比2016年增加了42.9%。

(四)我國工業信息安全產業發展不充分，嚴重滯后于工業信息安全發展需求。

我國工業信息安全在產業結構、資源配置、市場環境、業態發展等方面明顯不足，尚未形成完整的產業鏈。威脅態勢感知與預警、漏洞挖掘、攻擊者畫像與溯源、容災備份等核心技術積累不足，仍然處于跟跑狀態。

二、全面推進工業信息安全防護工作

黨中央、國務院高度重視工業信息安全工作，全方位布局工業信息安全保障體系建設，指導出臺一系列政策性文件，組建國家級工業信息安全專業支撐機構，著力發展工業信息安全產業，發布一批技術指導性規范指南，培養工業信息安全高素質專業人才。

(一)科學構建工業信息安全總體布局。

習近平新時代中國特色社會主義思想和基本方略為工業信息安全工作提供了戰略指引。《中華人民共和國網絡安全法》對保障包括工控系統在內的關鍵信息基礎設施安全作出明確規定;國務院先后發布《關于深化制造業與互聯網融合發展的指導意見》《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》等指導性文件，圍繞制造強國和網絡強國建設的安全保障需求，明確了工業信息安全發展路徑，提出了具體要求，指明了方向。

(二)建立健全工業信息安全管理體系。

工業信息安全是實現制造強國和網絡強國的重要前提。近年來，工業和信息化部從政策標準制定、檢查評估、應急通報等方面推動開展工業信息安全管理工作。一是制定《工業控制系統信息安全防護指南》《工業控制系統信息安全行動計劃(2018—2020年)》等政策文件，形成工業信息安全政策體系。二是構建工業信息安全國家標準體系，推動發布分類分級、管理要求、評估方法等基礎共性標準。三是持續開展年度檢查評估工作，逐步建立“以查促建、以查促改、以查促防”的常態化工作機制。四是開展工業信息安全信息報送與通報工作，建立信息采集、匯總、分析、通報和共享機制。

(三)綜合提高工業信息安全保障能力。

我國工業信息安全技術實力顯著增強，工業信息安全產業支撐效應逐步顯現，專業人才隊伍初具規模，工業信息安全保障水平得到明顯提升。一是推進國家級工業信息安全保障機構建設，組建了國家工信安全中心。二是建設國家級在線安全監測、信息共享、仿真測試平臺，初步形成工業信息安全技術保障能力。三是成立國家工業信息安全產業發展聯盟，匯聚工業企業、設備企業、安全企業、高校及科研院所，推動“產學研用”戰略合作和供需對接。四是組織開展國家級工業信息安全技能大賽，廣泛發動全國科研院所、著名高校和知名企業選手參賽，加大對專業人才的選拔和培養力度。

三、實施新時代工業信息安全新舉措

目前，通過扎實推進工業信息安全各項工作，工業信息安全管理體系、評估體系、應急體系、技術支撐體系初步構建，工業信息安全國家級技術隊伍建設初具規模，工業信息安全“產、學、研、用”協作模式初步形成。但是面對日益嚴峻的工業信息安全形勢，必須牢固樹立正確的網絡安全觀，堅持網絡安全和信息化發展并重的理念，提高認識，找準方法，一手抓監督管理，一手抓技術支撐，切實落實企業安全防護主體責任。從政策標準、技術創新、綜合防護、生態構建等方面入手，不斷完善工業信息安全保障體系，為加快推動制造業質量變革、效率變革、動力變革提供安全保障。

(一)完善工業信息安全規章制度。

堅持積極防御、有效應對原則，推進工業信息安全制度體系建設。貫徹落實《中華人民共和國網絡安全法》，編制工業信息安全領域實施細則、指南及司法解釋，研究出臺工業信息安全管理辦法等規章制度，明確主體責任，指導相關工作，監督工業領域關鍵信息基礎設施運行安全保護，防范、制止和懲治破壞工業信息安全的行為。引導地方政府出臺工業信息安全頂層設計、總體規劃，推動工業信息安全工作健康有序開展。

(二)強化工業企業安全主體責任。

貫徹落實《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》《工業控制系統信息安全行動計劃 (2018—2020年 )》《工 業控制系統信息安全防護指南》等政策文件，推動信息安全與信息化建設同步規劃、同步建設、同步運行，建立健全監督檢查、監測預警、事件通報、應急處置等工作機制。落實工業信息安全責任制，強化企業安全責任和義務，加大企業投入，積極主動開展防護能力評估。明確地方行業主管部門的監管職責，推動地方能力建設，持續完善地方工業信息安全保障體系。

(三)筑牢工業信息安全技術防線。

建設涵蓋國家級、省/行業級、企業級三級架構的國家工業信息安全保障技術支撐體系，著力提升隱患排查、攻擊發現、應急處置和攻擊溯源等能力，實現整體安全態勢感知、威脅信息共享和重大突發事件協同處置。推動建設國家級攻防技術演練、標準試驗驗證、公共服務、眾測眾研等平臺和環境。加快專業技術人才隊伍建設，打造工業信息安全技術保障國家隊。面向大數據、云計算、人工智能等新技術在工業領域的應用，研究安全威脅應對策略和技術手段，提升安全風險防范能力。

(四)培育工業信息安全產業生態。

推動建設國家新型工業化產業示范基地(工業信息安全)，促進產業集聚發展。培育一批核心技術能力突出、輻射帶動面廣的工業信息安全龍頭企業，增強安全產品和服務供給能力。加快自主可控工業信息安全產品研發，組織開展產品示范應用，推動規模化、產業化應用。加強工業信息安全產業“走出去”，以與“一帶一路”沿線國家和地區合作為切入點，構建國際治理體系，建設工業信息安全命運共同體。（來源：中國電子報）