安全 保障 落地

當自網(wǎng)絡安全法正式實施以來，針對關鍵信息基礎設施的保護便成為了熱門話題，其中在事關國家經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全的工業(yè)信息安全領域更是成為重中之重。

在大安全時代下，應當如何應對關乎國際民生的關鍵信息基礎設施的安全，中國網(wǎng)絡空間戰(zhàn)略研究所所長秦安解讀了在大安全時代下的強控制理念，應當防范全面控制，聚焦工業(yè)控制，實現(xiàn)自主控制。

中國網(wǎng)絡空間戰(zhàn)略研究所所長、《網(wǎng)信軍民融合》副總編輯 秦安

中國軟件評測中心工控與汽車測評工程技術中心副主任 陳曦

工業(yè)信息安全的范圍十分廣泛，涵蓋了工業(yè)領域信息系統(tǒng)的方方面面，事實上，在整個工業(yè)信息領域的背后，都存在安全的問題。工業(yè)信息安全包括了工業(yè)控制系統(tǒng)安全（工控安全）、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)大數(shù)據(jù)安全、工業(yè)云平臺安全等等（如圖1）。

隨著工業(yè)化與信息化、制造業(yè)與互聯(lián)網(wǎng)的深度融合，工業(yè)領域的“神經(jīng)中樞”——工控系統(tǒng)正在從專用走向通用、從封閉走向開放、單機走向互聯(lián)、從自動化走向智能化，網(wǎng)絡空間與工業(yè)物理空間正在逐漸融為一體，而針對工控系統(tǒng)的安全問題也愈加突出。

工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術與工業(yè)系統(tǒng)全方位深度融合所形成的產(chǎn)業(yè)和應用業(yè)態(tài)，是工業(yè)智能化發(fā)展的關鍵綜合信息基礎設施。其本質(zhì)是以機器、原材料、控制系統(tǒng)、信息系統(tǒng)、產(chǎn)品以及人之間的網(wǎng)絡互聯(lián)為基礎，通過對工業(yè)數(shù)據(jù)的全面深度感知、實時傳輸交換、快速計算處理和高級建模分析，實現(xiàn)智能控制、運營優(yōu)化和生產(chǎn)組織方式變革。

圖1 工業(yè)信息安全的內(nèi)容

工業(yè)互聯(lián)網(wǎng)可以從“網(wǎng)絡”、“數(shù)據(jù)”、“安全”三個方面來理解，網(wǎng)絡是基礎，數(shù)據(jù)是核心，安全是保障。工業(yè)互聯(lián)網(wǎng)安全體系框架主要包括設備安全、網(wǎng)絡安全、控制安全、應用安全和數(shù)據(jù)安全五大重點。

工業(yè)大數(shù)據(jù)安全則包括兩層含義：一是工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理，包括數(shù)據(jù)收集、存儲、處理、轉(zhuǎn)移、刪除等環(huán)節(jié)的安全防護能力；二是工業(yè)數(shù)據(jù)分級分類管理，包括數(shù)據(jù)流動、數(shù)據(jù)留存、數(shù)據(jù)泄露等。

近年來針對工業(yè)信息系統(tǒng)的攻擊呈現(xiàn)出上升趨勢，單是2017年就爆發(fā)了諸如WannaCry勒索病毒以及TRITON攻擊工業(yè)安全保護（SIS）系統(tǒng)等多起攻擊事件，尤其是工控信息安全形勢尤為嚴峻。

據(jù)中國軟件評測中心工控與汽車測評工程技術中心副主任陳曦介紹，當前我國工控安全主要呈現(xiàn)以下幾個特征：

工業(yè)控制系統(tǒng)日益走向互聯(lián)開放，攻擊難度逐步降低；

工業(yè)控制系統(tǒng)的攻擊工具“武器化”，成為國家安全新“威懾”；

工業(yè)控制系統(tǒng)攻擊目的日趨復雜化，勒索攻擊模式日益盛行；

工業(yè)輔助系統(tǒng)安全隱患日益突出，嚴重威脅工業(yè)信息安全。

具體來說，在工控安全方面在由封閉走向開放的同時，尚面臨多種網(wǎng)絡風險：一方面，工控系統(tǒng)自設計之初就缺乏針對信息安全的設計考量，致使工控安全漏洞眾多且增長迅速，此外，操作系統(tǒng)“陳舊”、通信協(xié)議“私有”、系統(tǒng)“封閉、多樣”等也增加了安全風險；另一方面，越來越多的通用產(chǎn)品在工業(yè)領域的應用，引入了更多的安全漏洞，并成為攻擊工控系統(tǒng)的路徑；最后，在工控運維信息安全意識方面的不足，例如安全預算、安全規(guī)劃、安全培訓等工作滯后，信息安全管理制度不健全等，也制約了工控安全防護工作的推進（如圖2）。

圖2 工控系統(tǒng)面臨的網(wǎng)絡風險

而隨著工業(yè)互聯(lián)網(wǎng)的建設，工業(yè)與云計算的結合很好地順應了企業(yè)數(shù)字化轉(zhuǎn)型的潮流，為工業(yè)企業(yè)生產(chǎn)效率的提升做出了巨大貢獻。

工業(yè)云平臺建設的背后，同樣存在諸多安全風險，如圖3。

制度保障

在國家層面，網(wǎng)絡安全法中明確規(guī)定了對于國家關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。

在行業(yè)層面，早在2016年10月工信部就正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護指南》，明確了工業(yè)企業(yè)開展工控安全防護工作的要求。

2017年，工信部印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》（以下簡稱“行動計劃”），提出到2020年建成“一網(wǎng)一庫三平臺”的目標。

同時，行動計劃也從工業(yè)企業(yè)層面突出了落實企業(yè)主體責任的要求，工業(yè)企業(yè)要按照“誰主管、誰負責；誰運營、誰負責”的原則，建立工控安全責任制。

助力落地

行動計劃中提到要建設“一網(wǎng)一庫三平臺”的目標以及促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展，提升產(chǎn)業(yè)供給能力，培育一批龍頭骨干企業(yè)，創(chuàng)建3-5個國家新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全）。

因此，若要實現(xiàn)從政策到產(chǎn)業(yè)的落地，需要包括政府、企業(yè)、科研機構等在內(nèi)的各方的共同努力，在政策的指導下，明確各方做什么和怎么做，最終實現(xiàn)我國工業(yè)企業(yè)工控安全防護能力的提升以及工業(yè)信息安全產(chǎn)業(yè)的發(fā)展。

圖3 工業(yè)互聯(lián)網(wǎng)云平臺安全風險