編者按：近日，工信部等十部門聯(lián)合印發(fā)《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》，明確了構建工業(yè)互聯(lián)網(wǎng)安全保障體系的主要任務。提出了具體目標。到2020年底，初步建成國家工業(yè)互聯(lián)網(wǎng)安全技術保障平臺、基礎資源庫和安全測試驗證環(huán)境。本報特邀行業(yè)專家撰文解讀指導意見。

中國電子信息產(chǎn)業(yè)發(fā)展研究院副院長黃子河

國務院印發(fā)的《關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》指出，工業(yè)互聯(lián)網(wǎng)通過系統(tǒng)構建網(wǎng)絡、平臺、安全三大功能體系，打造人、機、物全面互聯(lián)的新型網(wǎng)絡基礎設旆，形成智能化發(fā)展的新興業(yè)態(tài)和應用模式，是推進制造強國和網(wǎng)絡強國建設的重要基礎，是全面建成小康社會和建設社會主義現(xiàn)代化強國的有力支撐。

近年來，兩化深度融合催生互聯(lián)網(wǎng)在工業(yè)控制系統(tǒng)中的應用，打破了傳統(tǒng)工業(yè)控制系統(tǒng)相對封閉可信的環(huán)境，將互聯(lián)網(wǎng)上的傳統(tǒng)安全威脅滲透進了工業(yè)領域，使得網(wǎng)絡型攻擊可以直達生產(chǎn)現(xiàn)場，造成生產(chǎn)中斷甚至危及人員生命。針對工業(yè)控制系統(tǒng)的各種安全事件日益增多。例如，烏克蘭氯氣站被攻擊、委內(nèi)瑞拉全國性斷電等安全事件，目前通過網(wǎng)絡攻擊，“勒索病毒”可以直接利用被控制的控制器進行勒索，在工廠側，被“鎖屏勒索”的安全事件也屢見不鮮。

近日，工業(yè)和信息化部等十部委共同印發(fā)的《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》為工業(yè)互聯(lián)網(wǎng)安全能力建設提出了有效的發(fā)展思路，遵循其任務內(nèi)容和指導思想，結合自身測評服務實踐，不斷強化能力建設，為我國工業(yè)互聯(lián)網(wǎng)安全進行保障。

從工控本質(zhì)看工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)

工業(yè)控制系統(tǒng)的本質(zhì)目標是控制，互聯(lián)網(wǎng)的核心目標是交換。相較于傳統(tǒng)互聯(lián)網(wǎng)采用平等關系的點對點傳輸模式，工業(yè)互聯(lián)網(wǎng)多采用基于主從關系的非對等網(wǎng)絡。工業(yè)互聯(lián)網(wǎng)同臨的安全挑戰(zhàn)需從工業(yè)控制系統(tǒng)的安全防護能力的視角來看。從工業(yè)控制系統(tǒng)設計思路上看，工業(yè)控制系統(tǒng)的傳統(tǒng)設計都是使用專用的相對封閉可信的通信線路。但隨著工業(yè)控制系統(tǒng)向互聯(lián)網(wǎng)的轉移，與企業(yè)其他業(yè)務應用程序的整合，也越來越容易遭遇來自互聯(lián)網(wǎng)的攻擊，暴露了許多先天缺陷。比如基于離線系統(tǒng)技術要求的設計思路，沒有考慮規(guī)劃設計安全防護機制;比如由于控制器的弱計算力，只設計了對于弱計算力的防護機制。從工業(yè)控制系統(tǒng)運維來看，很多企業(yè)出于工業(yè)控制系統(tǒng)是封閉的考慮，開放了遠程調(diào)試功能，同時沒有考慮遠程調(diào)試的訪問控制，很多攻擊是利用了遠程調(diào)試的訪問控制漏洞實現(xiàn)滲透。從工業(yè)控制系統(tǒng)通信協(xié)議看，絕大多數(shù)的工業(yè)控制系統(tǒng)通信協(xié)議，設計之初都未考慮機密性問題，基本采用明文傳輸，且國內(nèi)尚未建立自有的、安全的工業(yè)互聯(lián)網(wǎng)通信協(xié)議、數(shù)據(jù)交換協(xié)議。

當前，面臨嚴峻的工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)，很多工業(yè)控制系統(tǒng)查漏補缺存在難度，是長久戰(zhàn)。明確責任，建立規(guī)范安全規(guī)程、操作準則和安全管理體系，加強意識宣貫和人才培育，逐步完善工業(yè)互聯(lián)網(wǎng)安全體系，顯得尤為重要。

從工業(yè)互聯(lián)網(wǎng)安全指導意見看能力提升舉措

為深人貫徹習近平新時代中國特色社會主義思想和黨的十九大精神，全面落實《國務院關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》（以下簡稱《指導意見》）部署要求，加快構建工業(yè)互聯(lián)網(wǎng)安全保障體系，提升工業(yè)互聯(lián)網(wǎng)安全保障能力，促進工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展，推動現(xiàn)代化經(jīng)濟體系建設，護航制造強國和網(wǎng)絡強國戰(zhàn)略實施，工業(yè)和信息化部會同有關部門起草發(fā)布了《關于加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》。

《指導意見》指出了企業(yè)、監(jiān)管部門和專業(yè)機構的能力建設方向。在企業(yè)側，針對工業(yè)設備、工業(yè)網(wǎng)絡、工業(yè)互聯(lián)網(wǎng)平臺和工業(yè)APP四方面指導工業(yè)企業(yè)強化防護能力。強化工業(yè)設備的安全接人和防護，提升設備和控制系統(tǒng)的本質(zhì)安全;強化工業(yè)互聯(lián)網(wǎng)安全，提升企業(yè)內(nèi)外網(wǎng)的安全防護能力;強化平臺安全，針對邊緣層、Iaas層、工業(yè)P越s層、工業(yè)saas層分層部署安全防護措施;強化工業(yè)ApP安全，建立健全工業(yè)APP應用前安全檢測機制，強化應用過程中用戶信息和數(shù)據(jù)安全保護。在監(jiān)管部門側，建設國家、省、企業(yè)三級協(xié)同的工業(yè)互聯(lián)網(wǎng)安全技術保障平臺，強化地方、企業(yè)與國家平臺之間的系統(tǒng)對接、數(shù)據(jù)共享、業(yè)務協(xié)作，打造整體態(tài)勢感知、信息共享和應急協(xié)同能力。在專業(yè)機構側，指導第三方專業(yè)機構建設工業(yè)互聯(lián)網(wǎng)企業(yè)持續(xù)開展安全能力評測評估服務能力。鼓勵建設檢測評估、安全監(jiān)測、攻防測試、應急響應等公共服務能力，面向機械制造、電子信息、汽車、石油化工等行業(yè)領域提供安全診斷評估、安全咨詢、數(shù)據(jù)保護、代碼檢查、系統(tǒng)加固、云端防護等服務。

《指導意見》提出了明確責任，完善安全管理體系。落實企業(yè)主體責任，企業(yè)明確工業(yè)互聯(lián)網(wǎng)安全責任部門和責任人，建立安全事件報告和問責機制，保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運行。構建工業(yè)互聯(lián)網(wǎng)安全管理體系。企業(yè)應圍繞工業(yè)互聯(lián)網(wǎng)安全監(jiān)督檢查、風險評估、數(shù)據(jù)保護、信息共享和通報、應急處置等方面建立健全安全管理制度和工作機制，強化對企業(yè)的安全監(jiān)管。明確政府監(jiān)督管理責任，工業(yè)和信息化部組織開展工業(yè)互聯(lián)網(wǎng)安全相關政策制定、標準研制等綜合性工作，并開展行業(yè)指導、監(jiān)管。地方工業(yè)和信息化主管部門指導本行政區(qū)域內(nèi)應用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)的安全工作，同步推進安全產(chǎn)業(yè)發(fā)展;地方通信管理局監(jiān)管本行政區(qū)域內(nèi)標識解析系統(tǒng)、公共工業(yè)互聯(lián)網(wǎng)平臺等的安全工作，并在公共互聯(lián)網(wǎng)上對聯(lián)網(wǎng)設備、系統(tǒng)等進行安全監(jiān)測。生態(tài)環(huán)境、衛(wèi)生健康、能源、國防科工等部門根據(jù)各自安全管理職責，開展本行業(yè)領域工業(yè)互聯(lián)網(wǎng)推廣應用的安全指導、監(jiān)管工作。

《指導意見》提出了加快安全人才培養(yǎng)。深入推進產(chǎn)教融合、校企合作，建立安全人才聯(lián)合培養(yǎng)機制，培養(yǎng)復合型、創(chuàng)新型高技能人才。開展工業(yè)互聯(lián)網(wǎng)安全宣傳教育，提升企業(yè)和相關從業(yè)人員安全意識。

以測促評助力工業(yè)互聯(lián)網(wǎng)安全能力建設

在《指導意見》的主要任務中，提出了加強工業(yè)互聯(lián)網(wǎng)安全公共服務能力，開展工業(yè)互聯(lián)網(wǎng)安全評估認證，鼓勵和支持專業(yè)機構、安全企業(yè)等建設檢測評估、安全監(jiān)測、攻防測試、應急響應等公共服務平臺，面向多個行業(yè)領域提供安壘診斷評估、安全咨詢、數(shù)據(jù)保護、代碼檢查、系統(tǒng)加固、云端防護等服務。中國電子信息產(chǎn)業(yè)發(fā)展研究院依托工業(yè)控制系統(tǒng)安全測評共性技術工信部重點實驗室，通過已建設的國家工業(yè)控制系統(tǒng)安全公共技術服務、可編程邏輯控制器（PLc）安壘仿真測試、工控系統(tǒng)通信總線安全仿真測試、主動式工控設備安全檢測及態(tài)勢感知平臺等國家級平臺，開展了石油石化、軌道交通、電力電網(wǎng)、鋼鐵、汽車、水處理洧色等行業(yè)領域的質(zhì)量驗收、安全測評、滲透測試、標準編制、方案及設計咨詢、專項培訓、應急演練等服務，支撐部委開展工業(yè)控制系統(tǒng)安全檢查和安全防護能力驗證，承擔國家重大活動安全保衛(wèi)工作。

通過開展工業(yè)互聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)安全測評工作，以測促用、以測促改，全面推進指導意見的實施，提升我國工業(yè)互聯(lián)網(wǎng)的安全能力。