汪禮俊

隨著“一帶一路”建設的深入推進，我國重大裝備、智能化工廠“走出去”成效顯著。同時，這些裝備也成為了網(wǎng)絡攻擊的重點目標，面臨著巨大的安全隱患。長期以來，我國對工業(yè)信息安全的重視不足，國內(nèi)大量工業(yè)控制系統(tǒng)和設備的運維服務依賴國外廠商，我國工業(yè)信息安全產(chǎn)業(yè)開拓國際市場面臨諸多挑戰(zhàn)。

“走出去”短板暴露工業(yè)信息安全隱患

近年來，我國制造業(yè)數(shù)字化、網(wǎng)絡化、智能化水平持續(xù)提升，支撐保障能力穩(wěn)步提高，但仍處于向世界第二梯隊邁進的爬坡過坎關鍵期，在技術和產(chǎn)業(yè)發(fā)展上與美德等發(fā)達國家差距較大。在實施國際合作的過程中，盡管我國國際話語權相較過去有了較大程度提升，但“西強我弱”的格局還沒有根本改變。

首先，我國制定的工業(yè)網(wǎng)絡化標準國際認可度偏低。如工業(yè)互聯(lián)網(wǎng)領域各項標準多被通用電氣、西門子等國外廠商以設備和軟件系統(tǒng)強行捆綁的方式壟斷，我國擁有自主知識產(chǎn)權的技術標準僅有工廠自動化以太網(wǎng)路（EPA）、工業(yè)過程自動化的無線網(wǎng)絡（WIA-PA）等少數(shù)幾項，且未被市場廣泛接受。其次，國產(chǎn)工業(yè)智能化產(chǎn)品面臨國際市場慘淡困境。如在工業(yè)機器人領域，“四大家族”發(fā)那科、ABB、安川、庫卡占據(jù)全球近60%市場份額，其他國際知名品牌也分別在全球有超過4%的份額，相比之下，國內(nèi)機器人在全球市場占有率較低，共計僅10%左右。

在此背景下，“走出去”的重大裝備和智能化工業(yè)設施多采用國外工業(yè)控制系統(tǒng)及設備作為配套產(chǎn)品，產(chǎn)品運行多參照歐美標準體系。以高鐵為例，高鐵已經(jīng)成為我國對外交流合作的新名片和共建“一帶一路”倡議的重要領域，但目前“走出去”的動車組列車關鍵零部件仍多從國外進口，只是在國內(nèi)完成規(guī)?；M裝。列車三大核心技術產(chǎn)品——網(wǎng)絡控制系統(tǒng)、制動系統(tǒng)、牽引系統(tǒng)（牽引變流器和牽引變壓器）仍由ABB、西門子、川崎、克諾爾等國外廠商壟斷。即使與我國簽訂了技術轉讓合同，也多通過出讓安裝圖紙代替設計原理等形式完成，國內(nèi)廠商無法做到舉一反三，運維服務依然高度依賴國外。因工業(yè)系統(tǒng)與生產(chǎn)管理緊密結合，使用國外廠商的相應設備大大增加了安全隱患，存在工業(yè)數(shù)據(jù)難采集難讀取、系統(tǒng)及設備漏洞難發(fā)現(xiàn)難修補、“后門”入侵難察覺難防范等重大安全風險。尤其是在能源、電力、交通等關鍵信息基礎設施領域，設備不出問題則已，一出問題就可能導致電力癱瘓、交通中斷等嚴重后果，具有很大的破壞性和殺傷力。

綜上，提升工業(yè)信息安全保障能力、推動工業(yè)信息安全同步“走出去”，已成為補齊“一帶一路”建設短板的重要組成。

工業(yè)信息安全“走出去”面臨的主要問題

第一，工業(yè)信息安全意識薄弱。近年來，工業(yè)和信息化部組織開展了《工業(yè)控制系統(tǒng)信息安全防護指南》《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》等政策宣貫培訓，工業(yè)企業(yè)工業(yè)信息安全意識有所提升，但仍然存在以下問題：社會意識不強，部分地區(qū)、部門對工業(yè)信息安全問題重視不夠，如主管部門指導企業(yè)開展工業(yè)信息安全的文件未能有效執(zhí)行；部分工業(yè)企業(yè)未建立工業(yè)信息安全專職部門、未安排年度工業(yè)信息安全專項經(jīng)費；工業(yè)信息安全管理混亂，存在員工未按規(guī)定開展工作、責任不明等問題。同時，在國際產(chǎn)能合作和重大裝備“走出去”過程中，對工業(yè)信息安全技術與產(chǎn)品的重視程度不足，導致高科技裝備缺乏與之相配套的安全防護產(chǎn)品與服務。

第二，工業(yè)信息安全政策體系有待完善。由于我國工業(yè)企業(yè)數(shù)量眾多，體制及管理機制關系復雜，在對行業(yè)和產(chǎn)品的管理上，缺乏系統(tǒng)完善的法律體制和對工業(yè)信息安全國際合作全領域覆蓋的管理機制。盡管國務院先后發(fā)布《關于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》《關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》等一系列文件，工業(yè)和信息化部出臺了《工業(yè)控制系統(tǒng)信息安全防護指南》《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》等文件，明確了工業(yè)信息安全發(fā)展路徑，為工業(yè)信息安全建設指明了方向。但我國尚未出臺專門推動工業(yè)信息安全產(chǎn)業(yè)國際合作發(fā)展等方面的系列指導性文件，且對于工業(yè)互聯(lián)網(wǎng)安全、工業(yè)云安全、工業(yè)大數(shù)據(jù)安全等新興領域的安全管理也尚未提出有效的政策指引與規(guī)范。

第三，發(fā)達國家搶占“話語權”，我國標準制定處于起步階段。歐美等發(fā)達國家及跨國公司在工業(yè)信息安全領域起步較早，充分利用其在安全技術上的先發(fā)優(yōu)勢和主導地位，憑借制訂標準、指南與行業(yè)規(guī)范影響全球工業(yè)信息安全防護體系架構，搶占行業(yè)發(fā)展先機。目前，沿線國家多采用國際標準化組織及歐美權威標準化機構發(fā)布的具有極大影響力的國際標準，并結合其實際開展相關標準制定與推進工作，導致我國工業(yè)信息安全類產(chǎn)品進入國際市場面臨諸多限制。如由美國國家標準與技術研究院（NIST）發(fā)布的《工業(yè)控制系統(tǒng)安全指南》（NIST-SP800-82）已成為“一帶一路”沿線國家和地區(qū)采用最多、影響最廣、推進力度最大的工業(yè)信息安全標準。而我國在標準方面處于起步期，近年來發(fā)布了《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡安全》等一批急需急用的工控安全相關標準，擬逐步形成涵蓋安全管理、系統(tǒng)安全防護、產(chǎn)品安全評估等全面的工業(yè)信息安全標準體系，但目前絕大多數(shù)標準正處于草案或征求意見階段。

第四，我國工業(yè)信息安全產(chǎn)業(yè)規(guī)模小、實力弱，難與跨國公司競爭。近年來，在工業(yè)互聯(lián)網(wǎng)、工業(yè)云、工業(yè)大數(shù)據(jù)等產(chǎn)業(yè)發(fā)展需求的帶動下，我國工業(yè)信息安全產(chǎn)業(yè)快速發(fā)展。據(jù)工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟發(fā)布的《中國工業(yè)信息安全產(chǎn)業(yè)發(fā)展白皮書》顯示，2017年我國工業(yè)信息安全市場規(guī)模為5.57億元，較2016年市場增長率達53.6%，預計2018年這一增長率將接近55.4%，市場整體規(guī)模將增至8.66億元。即便如此，我國工業(yè)信息安全產(chǎn)品、技術、服務等占整個IT行業(yè)的比重不足2%，遠低于歐美發(fā)達國家近10%的水平。此外，與國外大型工控企業(yè)轉型工業(yè)信息安全領域不同，我國工業(yè)信息安全企業(yè)大多由傳統(tǒng)網(wǎng)絡安全企業(yè)向工業(yè)領域延伸，且95%以上屬中小企業(yè)，凈利潤超過1億元的安全企業(yè)屈指可數(shù)，無法比擬賽門鐵克、趨勢科技等行業(yè)巨頭，整體實力偏弱，難以形成國際競爭優(yōu)勢。

加強一帶一路工作中工業(yè)信息安全建設的幾點建議

加強政策引導，明確工業(yè)信息安全在國際產(chǎn)能合作中的重要性

針對社會意識不強烈、國際產(chǎn)能合作中忽視工業(yè)信息安全的現(xiàn)狀，要通過展會、論壇、培訓、媒體宣傳等多種渠道，提升社會各界對工業(yè)信息安全的重視程度；加強政策宣貫培訓，明確工業(yè)信息安全在國際產(chǎn)能合作中的重要地位，強化企業(yè)安全主體責任，提升工業(yè)信息安全意識。

強化頂層設計，完善產(chǎn)業(yè)發(fā)展及重點領域的安全管理政策體系

進一步強化工業(yè)信息安全頂層設計，體系化推進政策布局。研究編制工業(yè)信息安全產(chǎn)業(yè)方面的指導性文件，為構建工業(yè)信息安全技術體系、突破關鍵核心產(chǎn)品、培育骨干企業(yè)、優(yōu)化產(chǎn)業(yè)生態(tài)環(huán)境等提供有力指引。加強工業(yè)互聯(lián)網(wǎng)安全、工業(yè)云安全、工業(yè)大數(shù)據(jù)安全等新興領域的政策制定，從頂層設計、安全要求、產(chǎn)業(yè)發(fā)展等方面，建立新興領域安全管理政策體系，規(guī)范和指導新技術新應用實現(xiàn)安全發(fā)展。

開展標準研制，與沿線國家探討構建工業(yè)信息安全管理體系

加速工業(yè)信息安全國家標準編制與推廣，并借助“一帶一路”建設，進一步實質(zhì)性參與工業(yè)信息安全國際標準化工作。一方面可利用ISO/IEC JTC1/SC27等國際標準化交流平臺，推進自主知識產(chǎn)權工業(yè)信息安全標準成為國際標準；另一方面與沿線國家合作共建研究機構，開展工業(yè)信息安全測試、驗證、評估、知識產(chǎn)權保護等共性技術研發(fā)共享，從而共同制定工業(yè)信息安全區(qū)域標準體系，共同探討建設覆蓋全產(chǎn)業(yè)生命周期的信息安全管理體系，推動工業(yè)信息安全頂層設計合作取得更大進展。

搭建服務平臺，整合各方資源加強產(chǎn)業(yè)合作服務全方位延伸

打造工業(yè)信息安全公共服務平臺，全面匯聚國內(nèi)工業(yè)控制系統(tǒng)安全服務能力和人才資源，推動工業(yè)信息安全檢測、認證、評估、知識產(chǎn)權保護等服務“走出去”，面向“一帶一路”沿線國家工業(yè)企業(yè)提供風險預警、檢測認證、能力評估、安全防護、應急處置、技術咨詢等一站式服務。同時充分利用平臺基礎，線下舉辦工業(yè)信息安全國際合作發(fā)展論壇、研討會、培訓班，或聯(lián)合沿線國家開展工控信息安全測試與應急演練等，實施小范圍“一帶一路”工控安全測試靶場、測試床等工程，以推動簽訂雙邊、多邊工業(yè)信息安全領域備忘錄等合作文件，進一步實現(xiàn)產(chǎn)業(yè)國際合作項目落地。

培育龍頭骨干企業(yè)，以工業(yè)信息安全示范基地為載體扶持安全企業(yè)

加快培育一批擁有關鍵技術與產(chǎn)品、競爭力強的工業(yè)信息安全企業(yè)和服務商；設立工業(yè)信息安全“雙創(chuàng)”示范基地，發(fā)揮中小企業(yè)集聚力；充分利用各類中小企業(yè)扶持資金、“雙創(chuàng)”企業(yè)扶持政策、中小企業(yè)公共服務平臺等資源條件，對工業(yè)信息安全企業(yè)在技術研發(fā)、產(chǎn)品創(chuàng)新、標準建設等方面予以傾斜；依托國家級平臺機構，搭建資源共享、優(yōu)勢互補的工業(yè)信息安全產(chǎn)業(yè)雙創(chuàng)合作平臺，培育產(chǎn)業(yè)生態(tài)圈。