當(dāng)自網(wǎng)絡(luò)安全法正式實(shí)施以來，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)便成為了熱門話題，其中在事關(guān)國(guó)家經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定和國(guó)家安全的工業(yè)信息安全領(lǐng)域更是成為重中之重。

在大安全時(shí)代下，應(yīng)當(dāng)如何應(yīng)對(duì)關(guān)乎國(guó)際民生的關(guān)鍵信息基礎(chǔ)設(shè)施的安全，中國(guó)網(wǎng)絡(luò)空間戰(zhàn)略研究所所長(zhǎng)秦安解讀了在大安全時(shí)代下的強(qiáng)控制理念，應(yīng)當(dāng)防范全面控制，聚焦工業(yè)控制，實(shí)現(xiàn)自主控制。

中國(guó)網(wǎng)絡(luò)空間戰(zhàn)略研究所所長(zhǎng)、《網(wǎng)信軍民融合》副總編輯 秦安

中國(guó)軟件評(píng)測(cè)中心工控與汽車測(cè)評(píng)工程技術(shù)中心副主任 陳曦

工業(yè)信息安全的范圍十分廣泛，涵蓋了工業(yè)領(lǐng)域信息系統(tǒng)的方方面面，事實(shí)上，在整個(gè)工業(yè)信息領(lǐng)域的背后，都存在安全的問題。工業(yè)信息安全包括了工業(yè)控制系統(tǒng)安全（工控安全）、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)大數(shù)據(jù)安全、工業(yè)云平臺(tái)安全等等（如圖1）。

隨著工業(yè)化與信息化、制造業(yè)與互聯(lián)網(wǎng)的深度融合，工業(yè)領(lǐng)域的“神經(jīng)中樞”——工控系統(tǒng)正在從專用走向通用、從封閉走向開放、單機(jī)走向互聯(lián)、從自動(dòng)化走向智能化，網(wǎng)絡(luò)空間與工業(yè)物理空間正在逐漸融為一體，而針對(duì)工控系統(tǒng)的安全問題也愈加突出。

工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術(shù)與工業(yè)系統(tǒng)全方位深度融合所形成的產(chǎn)業(yè)和應(yīng)用業(yè)態(tài)，是工業(yè)智能化發(fā)展的關(guān)鍵綜合信息基礎(chǔ)設(shè)施。其本質(zhì)是以機(jī)器、原材料、控制系統(tǒng)、信息系統(tǒng)、產(chǎn)品以及人之間的網(wǎng)絡(luò)互聯(lián)為基礎(chǔ)，通過對(duì)工業(yè)數(shù)據(jù)的全面深度感知、實(shí)時(shí)傳輸交換、快速計(jì)算處理和高級(jí)建模分析，實(shí)現(xiàn)智能控制、運(yùn)營(yíng)優(yōu)化和生產(chǎn)組織方式變革。

圖1 工業(yè)信息安全的內(nèi)容

工業(yè)互聯(lián)網(wǎng)可以從“網(wǎng)絡(luò)”、“數(shù)據(jù)”、“安全”三個(gè)方面來理解，網(wǎng)絡(luò)是基礎(chǔ)，數(shù)據(jù)是核心，安全是保障。工業(yè)互聯(lián)網(wǎng)安全體系框架主要包括設(shè)備安全、網(wǎng)絡(luò)安全、控制安全、應(yīng)用安全和數(shù)據(jù)安全五大重點(diǎn)。

工業(yè)大數(shù)據(jù)安全則包括兩層含義：一是工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理，包括數(shù)據(jù)收集、存儲(chǔ)、處理、轉(zhuǎn)移、刪除等環(huán)節(jié)的安全防護(hù)能力；二是工業(yè)數(shù)據(jù)分級(jí)分類管理，包括數(shù)據(jù)流動(dòng)、數(shù)據(jù)留存、數(shù)據(jù)泄露等。

近年來針對(duì)工業(yè)信息系統(tǒng)的攻擊呈現(xiàn)出上升趨勢(shì)，單是2017年就爆發(fā)了諸如WannaCry勒索病毒以及TRITON攻擊工業(yè)安全保護(hù)（SIS）系統(tǒng)等多起攻擊事件，尤其是工控信息安全形勢(shì)尤為嚴(yán)峻。

據(jù)中國(guó)軟件評(píng)測(cè)中心工控與汽車測(cè)評(píng)工程技術(shù)中心副主任陳曦介紹，當(dāng)前我國(guó)工控安全主要呈現(xiàn)以下幾個(gè)特征：

工業(yè)控制系統(tǒng)日益走向互聯(lián)開放，攻擊難度逐步降低；

工業(yè)控制系統(tǒng)的攻擊工具“武器化”，成為國(guó)家安全新“威懾”；

工業(yè)控制系統(tǒng)攻擊目的日趨復(fù)雜化，勒索攻擊模式日益盛行；

工業(yè)輔助系統(tǒng)安全隱患日益突出，嚴(yán)重威脅工業(yè)信息安全。

具體來說，在工控安全方面在由封閉走向開放的同時(shí)，尚面臨多種網(wǎng)絡(luò)風(fēng)險(xiǎn)：一方面，工控系統(tǒng)自設(shè)計(jì)之初就缺乏針對(duì)信息安全的設(shè)計(jì)考量，致使工控安全漏洞眾多且增長(zhǎng)迅速，此外，操作系統(tǒng)“陳舊”、通信協(xié)議“私有”、系統(tǒng)“封閉、多樣”等也增加了安全風(fēng)險(xiǎn)；另一方面，越來越多的通用產(chǎn)品在工業(yè)領(lǐng)域的應(yīng)用，引入了更多的安全漏洞，并成為攻擊工控系統(tǒng)的路徑；最后，在工控運(yùn)維信息安全意識(shí)方面的不足，例如安全預(yù)算、安全規(guī)劃、安全培訓(xùn)等工作滯后，信息安全管理制度不健全等，也制約了工控安全防護(hù)工作的推進(jìn)（如圖2）。

圖2 工控系統(tǒng)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)

而隨著工業(yè)互聯(lián)網(wǎng)的建設(shè)，工業(yè)與云計(jì)算的結(jié)合很好地順應(yīng)了企業(yè)數(shù)字化轉(zhuǎn)型的潮流，為工業(yè)企業(yè)生產(chǎn)效率的提升做出了巨大貢獻(xiàn)。

工業(yè)云平臺(tái)建設(shè)的背后，同樣存在諸多安全風(fēng)險(xiǎn)，如圖3。

制度保障

在國(guó)家層面，網(wǎng)絡(luò)安全法中明確規(guī)定了對(duì)于國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

在行業(yè)層面，早在2016年10月工信部就正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，明確了工業(yè)企業(yè)開展工控安全防護(hù)工作的要求。

2017年，工信部印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020年）》（以下簡(jiǎn)稱“行動(dòng)計(jì)劃”），提出到2020年建成“一網(wǎng)一庫(kù)三平臺(tái)”的目標(biāo)。

同時(shí)，行動(dòng)計(jì)劃也從工業(yè)企業(yè)層面突出了落實(shí)企業(yè)主體責(zé)任的要求，工業(yè)企業(yè)要按照“誰主管、誰負(fù)責(zé)；誰運(yùn)營(yíng)、誰負(fù)責(zé)”的原則，建立工控安全責(zé)任制。

助力落地

行動(dòng)計(jì)劃中提到要建設(shè)“一網(wǎng)一庫(kù)三平臺(tái)”的目標(biāo)以及促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展，提升產(chǎn)業(yè)供給能力，培育一批龍頭骨干企業(yè)，創(chuàng)建3-5個(gè)國(guó)家新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全）。

因此，若要實(shí)現(xiàn)從政策到產(chǎn)業(yè)的落地，需要包括政府、企業(yè)、科研機(jī)構(gòu)等在內(nèi)的各方的共同努力，在政策的指導(dǎo)下，明確各方做什么和怎么做，最終實(shí)現(xiàn)我國(guó)工業(yè)企業(yè)工控安全防護(hù)能力的提升以及工業(yè)信息安全產(chǎn)業(yè)的發(fā)展。

圖3 工業(yè)互聯(lián)網(wǎng)云平臺(tái)安全風(fēng)險(xiǎn)