中國電子信息產(chǎn)業(yè)發(fā)展研究院副院長 黃子河

近日，工信部等十部門聯(lián)合印發(fā)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》，明確了構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系的主要任務(wù)。提出了具體目標(biāo)，到2020 年底，初步建成國家工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺(tái)、基礎(chǔ)資源庫和安全測試驗(yàn)證環(huán)境。

國務(wù)院印發(fā)的《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》指出，工業(yè)互聯(lián)網(wǎng)通過系統(tǒng)構(gòu)建網(wǎng)絡(luò)、平臺(tái)、安全三大功能體系，打造人、機(jī)、物全面互聯(lián)的新型網(wǎng)絡(luò)基礎(chǔ)設(shè)施，形成智能化發(fā)展的新興業(yè)態(tài)和應(yīng)用模式，是推進(jìn)制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國建設(shè)的重要基礎(chǔ)，是全面建成小康社會(huì)和建設(shè)社會(huì)主義現(xiàn)代化強(qiáng)國的有力支撐。

近年來，兩化深度融合催生互聯(lián)網(wǎng)在工業(yè)控制系統(tǒng)中的應(yīng)用，打破了傳統(tǒng)工業(yè)控制系統(tǒng)相對封閉可信的環(huán)境，將互聯(lián)網(wǎng)上的傳統(tǒng)安全威脅滲透進(jìn)了工業(yè)領(lǐng)域，使得網(wǎng)絡(luò)型攻擊可以直達(dá)生產(chǎn)現(xiàn)場，造成生產(chǎn)中斷甚至危及人員生命。

針對工業(yè)控制系統(tǒng)的各種安全事件日益增多。例如，烏克蘭氯氣站被攻擊、委內(nèi)瑞拉全國性斷電等安全事件，目前通過網(wǎng)絡(luò)攻擊，“勒索病毒”可以直接利用被控制的控制器進(jìn)行勒索，在工廠側(cè)，被“鎖屏勒索”的安全事件也屢見不鮮。

近日，工業(yè)和信息化部等十部委共同印發(fā)的《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》為工業(yè)互聯(lián)網(wǎng)安全能力建設(shè)提出了有效的發(fā)展思路，遵循其任務(wù)內(nèi)容和指導(dǎo)思想，結(jié)合自身測評(píng)服務(wù)實(shí)踐，不斷強(qiáng)化能力建設(shè)，為我國工業(yè)互聯(lián)網(wǎng)安全進(jìn)行保障。

從工控本質(zhì)看工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)

工業(yè)控制系統(tǒng)的本質(zhì)目標(biāo)是控制，互聯(lián)網(wǎng)的核心目標(biāo)是交換。

相較于傳統(tǒng)互聯(lián)網(wǎng)采用平等關(guān)系的點(diǎn)對點(diǎn)傳輸模式，工業(yè)互聯(lián)網(wǎng)多采用基于主從關(guān)系的非對等網(wǎng)絡(luò)。

工業(yè)互聯(lián)網(wǎng)面臨的安全挑戰(zhàn)需從工業(yè)控制系統(tǒng)的安全防護(hù)能力的視角來看。

從工業(yè)控制系統(tǒng)設(shè)計(jì)思路上看

從工業(yè)控制系統(tǒng)設(shè)計(jì)思路上看，工業(yè)控制系統(tǒng)的傳統(tǒng)設(shè)計(jì)都是使用專用的相對封閉可信的通信線路。

但隨著工業(yè)控制系統(tǒng)向互聯(lián)網(wǎng)的轉(zhuǎn)移，與企業(yè)其他業(yè)務(wù)應(yīng)用程序的整合，也越來越容易遭遇來自互聯(lián)網(wǎng)的攻擊，暴露了許多先天缺陷。

比如基于離線系統(tǒng)技術(shù)要求的設(shè)計(jì)思路，沒有考慮規(guī)劃設(shè)計(jì)安全防護(hù)機(jī)制;比如由于控制器的弱計(jì)算力，只設(shè)計(jì)了對于弱計(jì)算力的防護(hù)機(jī)制。

從工業(yè)控制系統(tǒng)運(yùn)維來看

從工業(yè)控制系統(tǒng)運(yùn)維來看，很多企業(yè)出于工業(yè)控制系統(tǒng)是封閉的考慮，開放了遠(yuǎn)程調(diào)試功能，同時(shí)沒有考慮遠(yuǎn)程調(diào)試的訪問控制，很多攻擊是利用了遠(yuǎn)程調(diào)試的訪問控制漏洞實(shí)現(xiàn)滲透。

從工業(yè)控制系統(tǒng)通信協(xié)議看

從工業(yè)控制系統(tǒng)通信協(xié)議看，絕大多數(shù)的工業(yè)控制系統(tǒng)通信協(xié)議，設(shè)計(jì)之初都未考慮機(jī)密性問題，基本采用明文傳輸，且國內(nèi)尚未建立自有的、安全的工業(yè)互聯(lián)網(wǎng)通信協(xié)議、數(shù)據(jù)交換協(xié)議。

當(dāng)前，面臨嚴(yán)峻的工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)，很多工業(yè)控制系統(tǒng)查漏補(bǔ)缺存在難度，是長久戰(zhàn)。

明確責(zé)任，建立規(guī)范安全規(guī)程、操作準(zhǔn)則和安全管理體系，加強(qiáng)意識(shí)宣貫和人才培育，逐步完善工業(yè)互聯(lián)網(wǎng)安全體系，顯得尤為重要。

從工業(yè)互聯(lián)網(wǎng)安全指導(dǎo)意見看能力提升舉措

為深入貫徹習(xí)近平新時(shí)代中國特色社會(huì)主義思想和黨的十九大精神，全面落實(shí)《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》部署要求，加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系，提升工業(yè)互聯(lián)網(wǎng)安全保障能力，促進(jìn)工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展，推動(dòng)現(xiàn)代化經(jīng)濟(jì)體系建設(shè)，護(hù)航制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略實(shí)施，工業(yè)和信息化部會(huì)同有關(guān)部門起草發(fā)布了《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》(以下簡稱《指導(dǎo)意見》)。

《指導(dǎo)意見》指出了企業(yè)、監(jiān)管部門和專業(yè)機(jī)構(gòu)的能力建設(shè)方向。

在企業(yè)側(cè)

在企業(yè)側(cè)，針對工業(yè)設(shè)備、工業(yè)網(wǎng)絡(luò)、工業(yè)互聯(lián)網(wǎng)平臺(tái)和工業(yè)APP 四方面指導(dǎo)工業(yè)企業(yè)強(qiáng)化防護(hù)能力。

強(qiáng)化工業(yè)設(shè)備的安全接入和防護(hù)，提升設(shè)備和控制系統(tǒng)的本質(zhì)安全;強(qiáng)化工業(yè)互聯(lián)網(wǎng)安全，提升企業(yè)內(nèi)外網(wǎng)的安全防護(hù)能力;強(qiáng)化平臺(tái)安全，針對邊緣層、IaaS 層、工業(yè)PaaS 層、工業(yè)SaaS 層分層部署安全防護(hù)措施;強(qiáng)化工業(yè)APP 安全，建立健全工業(yè)APP 應(yīng)用前安全檢測機(jī)制，強(qiáng)化應(yīng)用過程中用戶信息和數(shù)據(jù)安全保護(hù)。

在監(jiān)管部門側(cè)

在監(jiān)管部門側(cè)，建設(shè)國家、省、企業(yè)三級(jí)協(xié)同的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺(tái)，強(qiáng)化地方、企業(yè)與國家平臺(tái)之間的系統(tǒng)對接、數(shù)據(jù)共享、業(yè)務(wù)協(xié)作，打造整體態(tài)勢感知、信息共享和應(yīng)急協(xié)同能力。

在專業(yè)機(jī)構(gòu)側(cè)

在專業(yè)機(jī)構(gòu)側(cè)，指導(dǎo)第三方專業(yè)機(jī)構(gòu)建設(shè)工業(yè)互聯(lián)網(wǎng)企業(yè)持續(xù)開展安全能力評(píng)測評(píng)估服務(wù)能力。

鼓勵(lì)建設(shè)檢測評(píng)估、安全監(jiān)測、攻防測試、應(yīng)急響應(yīng)等公共服務(wù)能力，面向機(jī)械制造、電子信息、汽車、石油化工等行業(yè)領(lǐng)域提供安全診斷評(píng)估、安全咨詢、數(shù)據(jù)保護(hù)、代碼檢查、系統(tǒng)加固、云端防護(hù)等服務(wù)。

《指導(dǎo)意見》提出了明確責(zé)任，完善安全管理體系。

落實(shí)企業(yè)主體責(zé)任，企業(yè)明確工業(yè)互聯(lián)網(wǎng)安全責(zé)任部門和責(zé)任人，建立安全事件報(bào)告和問責(zé)機(jī)制，保障工業(yè)互聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行。

構(gòu)建工業(yè)互聯(lián)網(wǎng)安全管理體系。企業(yè)應(yīng)圍繞工業(yè)互聯(lián)網(wǎng)安全監(jiān)督檢查、風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)保護(hù)、信息共享和通報(bào)、應(yīng)急處置等方面建立健全安全管理制度和工作機(jī)制，強(qiáng)化對企業(yè)的安全監(jiān)管。

明確政府監(jiān)督管理責(zé)任，工業(yè)和信息化部組織開展工業(yè)互聯(lián)網(wǎng)安全相關(guān)政策制定、標(biāo)準(zhǔn)研制等綜合性工作，并開展行業(yè)指導(dǎo)、監(jiān)管。

地方工業(yè)和信息化主管部門指導(dǎo)本行政區(qū)域內(nèi)應(yīng)用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)的安全工作，同步推進(jìn)安全產(chǎn)業(yè)發(fā)展;地方通信管理局監(jiān)管本行政區(qū)域內(nèi)標(biāo)識(shí)解析系統(tǒng)、公共工業(yè)互聯(lián)網(wǎng)平臺(tái)等的安全工作，并在公共互聯(lián)網(wǎng)上對聯(lián)網(wǎng)設(shè)備、系統(tǒng)等進(jìn)行安全監(jiān)測。

生態(tài)環(huán)境、衛(wèi)生健康、能源、國防科工等部門根據(jù)各自安全管理職責(zé)，開展本行業(yè)領(lǐng)域工業(yè)互聯(lián)網(wǎng)推廣應(yīng)用的安全指導(dǎo)、監(jiān)管工作。

《指導(dǎo)意見》提出了加快安全人才培養(yǎng)。

深入推進(jìn)產(chǎn)教融合、校企合作，建立安全人才聯(lián)合培養(yǎng)機(jī)制，培養(yǎng)復(fù)合型、創(chuàng)新型高技能人才。

開展工業(yè)互聯(lián)網(wǎng)安全宣傳教育，提升企業(yè)和相關(guān)從業(yè)人員安全意識(shí)。

以測促用助力工業(yè)互聯(lián)網(wǎng)安全能力建設(shè)

在《指導(dǎo)意見》的主要任務(wù)中，提出了加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力，開展工業(yè)互聯(lián)網(wǎng)安全評(píng)估認(rèn)證，鼓勵(lì)和支持專業(yè)機(jī)構(gòu)、安全企業(yè)等建設(shè)檢測評(píng)估、安全監(jiān)測、攻防測試、應(yīng)急響應(yīng)等公共服務(wù)平臺(tái)，面向多個(gè)行業(yè)領(lǐng)域提供安全診斷評(píng)估、安全咨詢、數(shù)據(jù)保護(hù)、代碼檢查、系統(tǒng)加固、云端防護(hù)等服務(wù)。

中國電子信息產(chǎn)業(yè)發(fā)展研究院依托工業(yè)控制系統(tǒng)安全測評(píng)共性技術(shù)工信部重點(diǎn)實(shí)驗(yàn)室，通過已建設(shè)的國家工業(yè)控制系統(tǒng)安全公共技術(shù)服務(wù)、可編程邏輯控制器(PLC)安全仿真測試、工控系統(tǒng)通信總線安全仿真測試、主動(dòng)式工控設(shè)備安全檢測及態(tài)勢感知平臺(tái)等國家級(jí)平臺(tái)，開展了石油石化、軌道交通、電力電網(wǎng)、鋼鐵、汽車、水處理、有色等行業(yè)領(lǐng)域的質(zhì)量驗(yàn)收、安全測評(píng)、滲透測試、標(biāo)準(zhǔn)編制、方案及設(shè)計(jì)咨詢、專項(xiàng)培訓(xùn)、應(yīng)急演練等服務(wù)，支撐部委開展工業(yè)控制系統(tǒng)安全檢查和安全防護(hù)能力驗(yàn)證，承擔(dān)國家重大活動(dòng)安全保衛(wèi)工作。

通過開展工業(yè)互聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)安全測評(píng)工作，以測促用、以測促改，全面推進(jìn)指導(dǎo)意見的實(shí)施，提升我國工業(yè)互聯(lián)網(wǎng)的安全能力。