汪禮俊

隨著“一帶一路”建設(shè)的深入推進(jìn)，我國(guó)重大裝備、智能化工廠“走出去”成效顯著。同時(shí)，這些裝備也成為了網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)，面臨著巨大的安全隱患。長(zhǎng)期以來，我國(guó)對(duì)工業(yè)信息安全的重視不足，國(guó)內(nèi)大量工業(yè)控制系統(tǒng)和設(shè)備的運(yùn)維服務(wù)依賴國(guó)外廠商，我國(guó)工業(yè)信息安全產(chǎn)業(yè)開拓國(guó)際市場(chǎng)面臨諸多挑戰(zhàn)。

“走出去”短板暴露工業(yè)信息安全隱患

近年來，我國(guó)制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化水平持續(xù)提升，支撐保障能力穩(wěn)步提高，但仍處于向世界第二梯隊(duì)邁進(jìn)的爬坡過坎關(guān)鍵期，在技術(shù)和產(chǎn)業(yè)發(fā)展上與美德等發(fā)達(dá)國(guó)家差距較大。在實(shí)施國(guó)際合作的過程中，盡管我國(guó)國(guó)際話語權(quán)相較過去有了較大程度提升，但“西強(qiáng)我弱”的格局還沒有根本改變。

首先，我國(guó)制定的工業(yè)網(wǎng)絡(luò)化標(biāo)準(zhǔn)國(guó)際認(rèn)可度偏低。如工業(yè)互聯(lián)網(wǎng)領(lǐng)域各項(xiàng)標(biāo)準(zhǔn)多被通用電氣、西門子等國(guó)外廠商以設(shè)備和軟件系統(tǒng)強(qiáng)行捆綁的方式壟斷，我國(guó)擁有自主知識(shí)產(chǎn)權(quán)的技術(shù)標(biāo)準(zhǔn)僅有工廠自動(dòng)化以太網(wǎng)路（EPA）、工業(yè)過程自動(dòng)化的無線網(wǎng)絡(luò)（WIA-PA）等少數(shù)幾項(xiàng)，且未被市場(chǎng)廣泛接受。其次，國(guó)產(chǎn)工業(yè)智能化產(chǎn)品面臨國(guó)際市場(chǎng)慘淡困境。如在工業(yè)機(jī)器人領(lǐng)域，“四大家族”發(fā)那科、ABB、安川、庫(kù)卡占據(jù)全球近60%市場(chǎng)份額，其他國(guó)際知名品牌也分別在全球有超過4%的份額，相比之下，國(guó)內(nèi)機(jī)器人在全球市場(chǎng)占有率較低，共計(jì)僅10%左右。

在此背景下，“走出去”的重大裝備和智能化工業(yè)設(shè)施多采用國(guó)外工業(yè)控制系統(tǒng)及設(shè)備作為配套產(chǎn)品，產(chǎn)品運(yùn)行多參照歐美標(biāo)準(zhǔn)體系。以高鐵為例，高鐵已經(jīng)成為我國(guó)對(duì)外交流合作的新名片和共建“一帶一路”倡議的重要領(lǐng)域，但目前“走出去”的動(dòng)車組列車關(guān)鍵零部件仍多從國(guó)外進(jìn)口，只是在國(guó)內(nèi)完成規(guī)?；M裝。列車三大核心技術(shù)產(chǎn)品——網(wǎng)絡(luò)控制系統(tǒng)、制動(dòng)系統(tǒng)、牽引系統(tǒng)（牽引變流器和牽引變壓器）仍由ABB、西門子、川崎、克諾爾等國(guó)外廠商壟斷。即使與我國(guó)簽訂了技術(shù)轉(zhuǎn)讓合同，也多通過出讓安裝圖紙代替設(shè)計(jì)原理等形式完成，國(guó)內(nèi)廠商無法做到舉一反三，運(yùn)維服務(wù)依然高度依賴國(guó)外。因工業(yè)系統(tǒng)與生產(chǎn)管理緊密結(jié)合，使用國(guó)外廠商的相應(yīng)設(shè)備大大增加了安全隱患，存在工業(yè)數(shù)據(jù)難采集難讀取、系統(tǒng)及設(shè)備漏洞難發(fā)現(xiàn)難修補(bǔ)、“后門”入侵難察覺難防范等重大安全風(fēng)險(xiǎn)。尤其是在能源、電力、交通等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，設(shè)備不出問題則已，一出問題就可能導(dǎo)致電力癱瘓、交通中斷等嚴(yán)重后果，具有很大的破壞性和殺傷力。

綜上，提升工業(yè)信息安全保障能力、推動(dòng)工業(yè)信息安全同步“走出去”，已成為補(bǔ)齊“一帶一路”建設(shè)短板的重要組成。

工業(yè)信息安全“走出去”面臨的主要問題

第一，工業(yè)信息安全意識(shí)薄弱。近年來，工業(yè)和信息化部組織開展了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020年）》等政策宣貫培訓(xùn)，工業(yè)企業(yè)工業(yè)信息安全意識(shí)有所提升，但仍然存在以下問題：社會(huì)意識(shí)不強(qiáng)，部分地區(qū)、部門對(duì)工業(yè)信息安全問題重視不夠，如主管部門指導(dǎo)企業(yè)開展工業(yè)信息安全的文件未能有效執(zhí)行；部分工業(yè)企業(yè)未建立工業(yè)信息安全專職部門、未安排年度工業(yè)信息安全專項(xiàng)經(jīng)費(fèi)；工業(yè)信息安全管理混亂，存在員工未按規(guī)定開展工作、責(zé)任不明等問題。同時(shí)，在國(guó)際產(chǎn)能合作和重大裝備“走出去”過程中，對(duì)工業(yè)信息安全技術(shù)與產(chǎn)品的重視程度不足，導(dǎo)致高科技裝備缺乏與之相配套的安全防護(hù)產(chǎn)品與服務(wù)。

第二，工業(yè)信息安全政策體系有待完善。由于我國(guó)工業(yè)企業(yè)數(shù)量眾多，體制及管理機(jī)制關(guān)系復(fù)雜，在對(duì)行業(yè)和產(chǎn)品的管理上，缺乏系統(tǒng)完善的法律體制和對(duì)工業(yè)信息安全國(guó)際合作全領(lǐng)域覆蓋的管理機(jī)制。盡管國(guó)務(wù)院先后發(fā)布《關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》等一系列文件，工業(yè)和信息化部出臺(tái)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020年）》等文件，明確了工業(yè)信息安全發(fā)展路徑，為工業(yè)信息安全建設(shè)指明了方向。但我國(guó)尚未出臺(tái)專門推動(dòng)工業(yè)信息安全產(chǎn)業(yè)國(guó)際合作發(fā)展等方面的系列指導(dǎo)性文件，且對(duì)于工業(yè)互聯(lián)網(wǎng)安全、工業(yè)云安全、工業(yè)大數(shù)據(jù)安全等新興領(lǐng)域的安全管理也尚未提出有效的政策指引與規(guī)范。

第三，發(fā)達(dá)國(guó)家搶占“話語權(quán)”，我國(guó)標(biāo)準(zhǔn)制定處于起步階段。歐美等發(fā)達(dá)國(guó)家及跨國(guó)公司在工業(yè)信息安全領(lǐng)域起步較早，充分利用其在安全技術(shù)上的先發(fā)優(yōu)勢(shì)和主導(dǎo)地位，憑借制訂標(biāo)準(zhǔn)、指南與行業(yè)規(guī)范影響全球工業(yè)信息安全防護(hù)體系架構(gòu)，搶占行業(yè)發(fā)展先機(jī)。目前，沿線國(guó)家多采用國(guó)際標(biāo)準(zhǔn)化組織及歐美權(quán)威標(biāo)準(zhǔn)化機(jī)構(gòu)發(fā)布的具有極大影響力的國(guó)際標(biāo)準(zhǔn)，并結(jié)合其實(shí)際開展相關(guān)標(biāo)準(zhǔn)制定與推進(jìn)工作，導(dǎo)致我國(guó)工業(yè)信息安全類產(chǎn)品進(jìn)入國(guó)際市場(chǎng)面臨諸多限制。如由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的《工業(yè)控制系統(tǒng)安全指南》（NIST-SP800-82）已成為“一帶一路”沿線國(guó)家和地區(qū)采用最多、影響最廣、推進(jìn)力度最大的工業(yè)信息安全標(biāo)準(zhǔn)。而我國(guó)在標(biāo)準(zhǔn)方面處于起步期，近年來發(fā)布了《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全》等一批急需急用的工控安全相關(guān)標(biāo)準(zhǔn)，擬逐步形成涵蓋安全管理、系統(tǒng)安全防護(hù)、產(chǎn)品安全評(píng)估等全面的工業(yè)信息安全標(biāo)準(zhǔn)體系，但目前絕大多數(shù)標(biāo)準(zhǔn)正處于草案或征求意見階段。

第四，我國(guó)工業(yè)信息安全產(chǎn)業(yè)規(guī)模小、實(shí)力弱，難與跨國(guó)公司競(jìng)爭(zhēng)。近年來，在工業(yè)互聯(lián)網(wǎng)、工業(yè)云、工業(yè)大數(shù)據(jù)等產(chǎn)業(yè)發(fā)展需求的帶動(dòng)下，我國(guó)工業(yè)信息安全產(chǎn)業(yè)快速發(fā)展。據(jù)工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟發(fā)布的《中國(guó)工業(yè)信息安全產(chǎn)業(yè)發(fā)展白皮書》顯示，2017年我國(guó)工業(yè)信息安全市場(chǎng)規(guī)模為5.57億元，較2016年市場(chǎng)增長(zhǎng)率達(dá)53.6%，預(yù)計(jì)2018年這一增長(zhǎng)率將接近55.4%，市場(chǎng)整體規(guī)模將增至8.66億元。即便如此，我國(guó)工業(yè)信息安全產(chǎn)品、技術(shù)、服務(wù)等占整個(gè)IT行業(yè)的比重不足2%，遠(yuǎn)低于歐美發(fā)達(dá)國(guó)家近10%的水平。此外，與國(guó)外大型工控企業(yè)轉(zhuǎn)型工業(yè)信息安全領(lǐng)域不同，我國(guó)工業(yè)信息安全企業(yè)大多由傳統(tǒng)網(wǎng)絡(luò)安全企業(yè)向工業(yè)領(lǐng)域延伸，且95%以上屬中小企業(yè)，凈利潤(rùn)超過1億元的安全企業(yè)屈指可數(shù)，無法比擬賽門鐵克、趨勢(shì)科技等行業(yè)巨頭，整體實(shí)力偏弱，難以形成國(guó)際競(jìng)爭(zhēng)優(yōu)勢(shì)。

加強(qiáng)一帶一路工作中工業(yè)信息安全建設(shè)的幾點(diǎn)建議

加強(qiáng)政策引導(dǎo)，明確工業(yè)信息安全在國(guó)際產(chǎn)能合作中的重要性

針對(duì)社會(huì)意識(shí)不強(qiáng)烈、國(guó)際產(chǎn)能合作中忽視工業(yè)信息安全的現(xiàn)狀，要通過展會(huì)、論壇、培訓(xùn)、媒體宣傳等多種渠道，提升社會(huì)各界對(duì)工業(yè)信息安全的重視程度；加強(qiáng)政策宣貫培訓(xùn)，明確工業(yè)信息安全在國(guó)際產(chǎn)能合作中的重要地位，強(qiáng)化企業(yè)安全主體責(zé)任，提升工業(yè)信息安全意識(shí)。

強(qiáng)化頂層設(shè)計(jì)，完善產(chǎn)業(yè)發(fā)展及重點(diǎn)領(lǐng)域的安全管理政策體系

進(jìn)一步強(qiáng)化工業(yè)信息安全頂層設(shè)計(jì)，體系化推進(jìn)政策布局。研究編制工業(yè)信息安全產(chǎn)業(yè)方面的指導(dǎo)性文件，為構(gòu)建工業(yè)信息安全技術(shù)體系、突破關(guān)鍵核心產(chǎn)品、培育骨干企業(yè)、優(yōu)化產(chǎn)業(yè)生態(tài)環(huán)境等提供有力指引。加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全、工業(yè)云安全、工業(yè)大數(shù)據(jù)安全等新興領(lǐng)域的政策制定，從頂層設(shè)計(jì)、安全要求、產(chǎn)業(yè)發(fā)展等方面，建立新興領(lǐng)域安全管理政策體系，規(guī)范和指導(dǎo)新技術(shù)新應(yīng)用實(shí)現(xiàn)安全發(fā)展。

開展標(biāo)準(zhǔn)研制，與沿線國(guó)家探討構(gòu)建工業(yè)信息安全管理體系

加速工業(yè)信息安全國(guó)家標(biāo)準(zhǔn)編制與推廣，并借助“一帶一路”建設(shè)，進(jìn)一步實(shí)質(zhì)性參與工業(yè)信息安全國(guó)際標(biāo)準(zhǔn)化工作。一方面可利用ISO/IEC JTC1/SC27等國(guó)際標(biāo)準(zhǔn)化交流平臺(tái)，推進(jìn)自主知識(shí)產(chǎn)權(quán)工業(yè)信息安全標(biāo)準(zhǔn)成為國(guó)際標(biāo)準(zhǔn)；另一方面與沿線國(guó)家合作共建研究機(jī)構(gòu)，開展工業(yè)信息安全測(cè)試、驗(yàn)證、評(píng)估、知識(shí)產(chǎn)權(quán)保護(hù)等共性技術(shù)研發(fā)共享，從而共同制定工業(yè)信息安全區(qū)域標(biāo)準(zhǔn)體系，共同探討建設(shè)覆蓋全產(chǎn)業(yè)生命周期的信息安全管理體系，推動(dòng)工業(yè)信息安全頂層設(shè)計(jì)合作取得更大進(jìn)展。

搭建服務(wù)平臺(tái)，整合各方資源加強(qiáng)產(chǎn)業(yè)合作服務(wù)全方位延伸

打造工業(yè)信息安全公共服務(wù)平臺(tái)，全面匯聚國(guó)內(nèi)工業(yè)控制系統(tǒng)安全服務(wù)能力和人才資源，推動(dòng)工業(yè)信息安全檢測(cè)、認(rèn)證、評(píng)估、知識(shí)產(chǎn)權(quán)保護(hù)等服務(wù)“走出去”，面向“一帶一路”沿線國(guó)家工業(yè)企業(yè)提供風(fēng)險(xiǎn)預(yù)警、檢測(cè)認(rèn)證、能力評(píng)估、安全防護(hù)、應(yīng)急處置、技術(shù)咨詢等一站式服務(wù)。同時(shí)充分利用平臺(tái)基礎(chǔ)，線下舉辦工業(yè)信息安全國(guó)際合作發(fā)展論壇、研討會(huì)、培訓(xùn)班，或聯(lián)合沿線國(guó)家開展工控信息安全測(cè)試與應(yīng)急演練等，實(shí)施小范圍“一帶一路”工控安全測(cè)試靶場(chǎng)、測(cè)試床等工程，以推動(dòng)簽訂雙邊、多邊工業(yè)信息安全領(lǐng)域備忘錄等合作文件，進(jìn)一步實(shí)現(xiàn)產(chǎn)業(yè)國(guó)際合作項(xiàng)目落地。

培育龍頭骨干企業(yè)，以工業(yè)信息安全示范基地為載體扶持安全企業(yè)

加快培育一批擁有關(guān)鍵技術(shù)與產(chǎn)品、競(jìng)爭(zhēng)力強(qiáng)的工業(yè)信息安全企業(yè)和服務(wù)商；設(shè)立工業(yè)信息安全“雙創(chuàng)”示范基地，發(fā)揮中小企業(yè)集聚力；充分利用各類中小企業(yè)扶持資金、“雙創(chuàng)”企業(yè)扶持政策、中小企業(yè)公共服務(wù)平臺(tái)等資源條件，對(duì)工業(yè)信息安全企業(yè)在技術(shù)研發(fā)、產(chǎn)品創(chuàng)新、標(biāo)準(zhǔn)建設(shè)等方面予以傾斜；依托國(guó)家級(jí)平臺(tái)機(jī)構(gòu)，搭建資源共享、優(yōu)勢(shì)互補(bǔ)的工業(yè)信息安全產(chǎn)業(yè)雙創(chuàng)合作平臺(tái)，培育產(chǎn)業(yè)生態(tài)圈。