陈荣
强化工业控制系统的网络安全,是制造强国战略稳步推进的基石。
“十三五”规划纲要和今年政府工作报告再次对制造强国进行部署,制造业作为立国之本、兴国之器、强国之基的地位愈发受到重视。在产业大规模升级和两化深度融合的情况下,我国工业控制系统的网络信息安全问题也愈发突出,亟待补齐短板。
工业控制系统是制造业基础设施运行的“大脑”,广泛应用于电力、航空航天、铁路、汽车、交通、石化等领域。2010年“震网”病毒攻击伊朗核设施,2011年“火焰”病毒入侵中东国家,2015年底“黑暗能源”病毒攻击乌克兰电网……一系列突发事件表明,工业控制系统的网络安全面临严峻的挑战。无论以美国为代表的“工业互联网”,还是以德国为代表的“工业4.0”,都将工业控制系统的网络安全视为重中之重。
中国政府对工业系统的网络安全同样极为重视。2011年开始,国务院先后出台的《工业转型升级规划(2011-2015)》、《关于大力推进信息化发展和切实保障信息安全的若干意见》、《中国制造2025》等一系列文件,都强调了两化融合中网络安全保障的重要性。
然而,与工业系统的快速数字化、信息化和智能化相比,中国工业控制系统的网络安全保障进展缓慢,防护薄弱,问题仍较为突出。
乌克兰电网被攻击后,国内相关网络安全公司的监测报告显示,在国内交通、能源、水利等多个领域的各类工业控制设备中,完全暴露在外、可以被轻易攻击的多达935个。有些城市和地区的工业控制系统面临较大的安全风险。
造成这一隐患的原因众多,关键是一些企事业单位在借助信息化提高生产效率的同时,没有考虑工业控制系统的网络安全防护。而即使认识到工业控制系统安全的重要性,在系统改造实施过程中,由于没有专业知识、人员和部门支撑,所采取的安全措施也往往浮于表面,未得实效。
从实际情况看,中国的工业控制系统虽然还没有发生影响巨大、后果严重的网络安全事件,但不少领域的企业都已经或多或少遭遇了因计算机病毒引发的安全事故。如果上升到国家安全层面,一旦这些控制系统的安全漏洞被利用,将有可能导致核电站过载、电网停电、地铁失控等灾难性后果,这绝非危言耸听。
面对日益严峻的网络安全形势,加强工业控制系统的网络安全保障迫在眉睫。既要有国家自上而下的体系化顶层设计,也要有产业和企业自下而上的探索与实践。
从国家层面来看,在保障体系的机制建设上,需要一个高规格的协调机构,以应对关键基础设施和重要系统可能遭受的高强度攻击,同时组建以工业企业、信息网络、公共安全为主的应急联动机制,制定应急响应处理办法。
与此同时,做好重点行业的工业控制系统威胁情报研究,各方联动,形成合力,提供有价值的威胁情报信息,建立更有实用性的威胁情报库,为政府机构、安全厂商、企事业单位提供更好的支持。
在技术上,要做好整个安全保障体系的“供应链”安全,特别是在一些关键基础设施和重要信息系统新建项目上,必须强化项目规划和设计阶段的网络安全风险评估,引入第三方安全机构或服务商对技术实施方案和产品供应链进行审查。同时加大投资力度,大力发展具有自主知识产权的安全防护技术和产品。
从企业层面来看,最迫切的工作是提高对工业控制系统的网络安全意识,开展企业工业控制系统网络安全检查评估,根据业务发展需求,部署有针对性的全生命周期的防护措施。
作为一项涉及到国家安全、产业发展以及社会稳定的系统性工作,工业控制系统网络安全应该是“整体联动、可持续发展”的系统性安全。只有安全可控,制造强国战略才能固本行远,把命运牢牢掌握在自已手中。