汪礼俊
随着全球范围内新一轮科技革命和产业变革的不断推进,工业互联网作为工业经济数字化、网络化、智能化变革的重要基础设施,越来越成为制造业数字化转型和扭转发展失衡局面、重构竞争优势的关键抓手,塑造未来产业竞争新优势、抢占产业制高点的重要手段。但是,我国工业互联网在网络、平台体系加速部署和推动的同时,也面临着严峻的安全挑战。
近年来,工业信息安全问题日益突出,委内瑞拉水电站被网络攻击、挪威铝业企业遭勒索病毒攻击而停产等重大安全事件频现,重大漏洞披露数量不断增多,GreyEnergy、Triton等多个恶意病毒仍旧活跃。概括起来,工业互联网安全挑战主要包括以下几个方面:
工业互联网互联互通的特性,极易导致“牵一发而动全身”。工业互联网将大量工业设备、生产系统和互联网连接,使大量设备和系统暴露在风险和威胁之中,任何存在安全风险的设备和系统都可能成为攻击的突破点,一旦攻击成功将导致整个工业互联网遭受严重安全威胁,给整个工业互联网的安全防护带来极大挑战。
工业互联网覆盖面广、海量设备接入,使安全防护和应急处置难度大大增加。工业互联网涉及众多行业领域,每个行业领域具有自己的行业特点,其安全防护和应急需求各不相同。同时,连接到工业互联网上的工业控制系统、工业设备和生产系统等设计缺乏安全考虑和安全防护能力,由于控制协议、通信协议、通信标准等不统一,及国产化率低、可能存在漏洞后门等安全隐患,很难开展全面的安全防护和快速有效的应急处置。
工业互联网承载、传输高价值数据,一旦发生安全事件影响巨大。工业互联网汇聚了来自生产制造领域全要素、全产业链、全价值链的海量数据,不仅包括工业生产运行数据、控制指令和安全防护数据,也涵盖了大量市场、客户和供应链等信息,这些高价值的工业数据是工业互联网安全防护的重要对象。工业互联网数据一旦遭受泄露或篡改,不仅会造成系统或服务中断、停工停产,甚至引发大面积断水断电、环境污染或爆炸等连锁连片反应,还可能导致经济发展命脉遭掌控,严重威胁社会稳定、经济发展和国家安全。
工业互联网应急能力是工业互联网安全保障体系建设的重要组成部分,其目的是预防和应对工业互联网安全事件,减少安全事件造成的损失和危害。加强工业互联网应急工作具有必要性和紧迫性。
提高工业互联网应急能力是提高安全保障能力的关键环节。加强工业互联网应急能力建设,旨在建立健全应急组织、信息监测、预警通报、应急处置等机制,提高各地区和行业预防和处置安全事件的能力,预防和减少工业互联网安全事件造成的危害和损失,是抵御工业互联网安全威胁的最后防线,关系着工业互联网能否快速恢复,对保障工业互联网高质量发展意义重大。
提高工业互联网应急能力是增强风险防范意识,做好事件应对准备的基础性工作。工业互联网应急工作坚持“预防为主,预防与应急相结合”的工作原则,强调日常防护和应急处置并重,注重宣传培训和应急演练,对于提高全社会工业互联网安全风险防范意识、增强技能、做好应对工作具有重要作用。
提高工业互联网应急能力是保障两个强国建设的必然要求。在当前国内外形势错综复杂的情况下,“制造强国”和“网络强国”建设需要工业互联网创新发展的有力支撑,而加强工业互联网应急能力能够有效保障工业互联网安全、稳定和可靠运行,促进制造业创新、快速发展。
面对万物互联时代工业信息安全这一全局性重大课题,政策引导和顶层设计至关重要。
为规范和指导工业互联网建设和发展,在充分借鉴国外经验的基础上,我国也陆续出台了一系列政策文件,旨在推动互联网、大数据、人工智能和实体经济深度融合,明确提出要加强工业互联网安全保障体系建设。
为进一步贯彻落实《关于深化“互联网+”先进制造业发展工业互联网的指导意见》,2019年7月26日,工业和信息化部等十部委联合发布《加强工业互联网安全工作的指导意见》(以下简称“指导意见”),强调了工业互联网安全的战略地位和重要作用,明确了推动工业互联网安全工作时间表、路线图和任务书,对于推动建设工业互联网安全保障体系,護航制造强国和网络强国建设具有里程碑意义。
《指导意见》明确指出,到2020年底,工业互联网安全保障体系初步建立;到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。这一总体目标表明了建设工业互联网安全保障体系的重要性和紧迫性。
工业互联网应急工作作为工业互联网保障体系建设的重要组成部分,在《指导意见》中得到了较为详细的阐述。根据《指导意见》,工业互联网应急工作应主要落实以下几方面要求:推动安全责任的落实、健全安全管理制度以及加强技术手段建设。
为切实落实《指导意见》,加快工业互联网安全保障体系建设,提升工业互联网应急能力,建议从应急工作机制、应急手段建设和资源储备、应急队伍和专家力量建设、应急演练等方面发力,加快提升我国工业互联网安全保障能力。
首先要建立健全工业互联网应急工作机制。建立健全工业互联网安全应急指挥和协调联动机制。明确各行业、地区应急指挥机构和职责,信息监测、事件报告和预警发布要求,以及应急处置流程和措施。建立工业互联网安全信息共享和通报机制。明确信息共享参与机构和职责,共享信息的分级、分类原则,信息共享范围和共享方式,信息通报时间要求、通报方式和通报范围。规范应急处置技术要求。针对不同行业、不同事件,明确应急处置技术方法、应急工具和操作程序。
其次要加强工业互联网应急技术手段建设和资源储备。通过建设国家、省、企业三级协同的工业互联网安全技术保障平台,实现工业互联网威胁监测、信息汇集和分析,不断提升工业互联网态势感知、信息共享和应急指挥和协同能力。加快工业信息安全漏洞库建设,提升漏洞挖掘、漏洞验证、漏洞修复等技术能力,完善漏洞上报、漏洞评分和漏洞共享和披露机制。加快工业互联网安全防护技术研发,加强应急装备、工具等储备,充分发挥工业互联网安全基础资源库的支撑作用。
此外,要加强应急技术队伍和专家力量建设。工业互联网安全应急技术力量建设对于快速、有效地开展应急处置具有重要作用。加强工业互联网应急技术力量建设,一是要加强应急技术队伍建设,各地区、行业和企业要建设覆盖本地区、行业的应急技术队伍,建立应急值守机制,规范应急处置流程。二是要加强应急专家组建设,专家资源应覆盖能源、水利、轨道交通和机械制造等行业,囊括自动化、信息通信和网络安全等专业和领域,为事件研判、应急处置提供智力支撑。
还要定期开展推动工业互联网应急演练。加快工业互联网安全攻防演练环境建设,搭建机械制造、电子信息、信息通信等重点行业、重要业务场景的演练环境。以提升应急响应能力和系统恢复能力为目标,鼓励重点行业、企业开展综合型应急演练,注重检验应急指挥、协调机制和应急处置流程,为落实企业主体责任,提升工业互联网安全防护能力奠定坚实的基础。