2018:工控安全关键年
扫描二维码
随时随地手机看文章
在过去的一年中,工业控制系统与工业互联网在安全层面都得到了一定程度的积累。无论是工控系统本身的安全,还是工业互联网的安全,都应该在得到充分重视的同时,按照顶层设计的高度,得到切实有效的落实和发展。
工业控制系统信息安全(以下简称工控安全)是实施制造强国和网络强国战略的重要保障。近年来,随着中国制造全面推进,工业数字化、网络化、智能化加快发展,我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新的挑战。
若能够将以大数据、人工智能等为代表的新技术引入到工业控制系统信息安全工作中,利用新技术解决我国在工业控制系统信息安全发展过程中所遇到的实际问题,不仅能够促进新技术的实际应用,还能够大力提升工业控制系统信息安全的程度。为指导工业控制系统信息安全建立相关标准、监督机制等提供意见或建议。提高工控领域整体安全意识,将工业控制系统信息安全上升到最高级。
观察近一段时间以来我国对于工业控制系统领域所部署的工作,能够看出2018年将是工控安全工作开展落实的关键年。
宏观指导明确为加快我国工业控制系统信息安全保障体系建设,提升工业企业工业控制系统信息安全防护能力,促进工业信息安全产业发展,2017年底,国家工业和信息化部制定并印发了《工业控制系统信息安全行动计划(2018-2020年)》(以下简称《计划》)。
近日,工业和信息化部信息化和软件服务业司负责人就《计划》内容进行了解读。据了解,《计划》明确将全面贯彻落实党的十九大精神,以习近平新时代中国特色社会主义思想为指引,坚持总体国家安全观,以落实企业主体责任为关键,紧紧围绕新时期两化深度融合发展需求,重点提升工控安全态势感知、安全防护和应急处置能力,促进产业创新发展,建立多级联防联动工作机制,为制造强国和网络强国战略建设奠定坚实基础。确保信息安全与信息化建设同步规划、同步建设、同步运行。坚持落实企业主体责任。坚持因地制宜分类指导。坚持技术和管理并重。
主要目标是,2020年全系统工控安全管理工作体系基本建立,全社会工控安全意识明显增强。建成全国在线监测网络,应急资源库,仿真测试、信息共享、信息通报平台(一网一库三平台),态势感知、安全防护、应急处置能力显著提升。培育一批影响力大、竞争力强的龙头骨干企业,创建3~5个国家新型工业化产业示范基地(工业信息安全),产业创新发展能力大幅提高。
根据工信部信息化和软件服务业司的解读,《计划》的制定为工控安全保障工作制定了时间表和路线图,进一步明确了部门、地方和企业做什么和怎么做,为下一步深入落实工控安全工作提供了依据和指导。
对于“一网一库三平台”,上述负责人解释:“一网”是指全国工控安全在线监测网络。将支持国家工业信息安全发展研究中心牵头,联合地方、行业等技术机构,建设以国家工控安全在线监测平台为中心,纵向连接省级分中心,横向覆盖重点工业行业的多级监测网络,实现对全国重要工业控制系统运行状态、风险隐患的实时感知、精准研判和科学决策。
“一库”是指工控安全应急资源库。按照《国家网络安全事件应急预案》总体要求,支持国家工业信息安全发展研究中心建设应急资源库,汇聚漏洞、风险、解决方案、预案等信息,实现辅助决策、预案演练等功能。在突发工业信息安全事件时,支撑行业主管部门协调技术专家和专业队伍对事件开展分析研判,并调动相关应急资源及时有效的开展处置工作。
“三平台”是指工控安全仿真测试平台、信息共享平台和信息通报平台。建设工控安全仿真测试平台,以化工生产、管道输送、污水处理、智能制造等真实工业控制场景为基础,模拟业务流程,还原真实现场,满足培训、测试、验证、试验等多元化需求。充分利用云计算、大数据等技术手段,建设国家工控安全信息共享平台,建立共享清单,明确共享内容,推动形成政府引导、企业主体、社会参与、利益共享的工作机制。支持建设工控安全信息通报预警平台,及时发布风险预警信息,跟踪风险防范工作进展,形成快速高效、各方联动的信息通报预警体系。
“工控安全是工业生产安全的重要组成部分,工业企业作为工业控制系统运营者应承担主体责任。”上述负责人表示,企业要建立工控安全责任制,明确企业法人代表、经营负责人第一责任者的责任。抽调信息化、生产管理、运营维护、设备管理等相关部门人员,组建企业工控安全管理机构。同时,持续加大工控安全投入,落实防护技术改造和隐患治理专项经费。
同时,在对《计划》的保障措施中,还特别提到,加大政策支持:坚持政府引导和市场运作相结合,充分调动社会力量支持工控安全保障体系建设。支持有条件的地方设立专项,加大对工控安全基础设施建设、关键技术验证测试平台建设、产业创新发展的支持力度。利用国家政策性信贷资金支持工业信息安全产业示范基地建设。
加快人才培养:鼓励工业企业加强与院校合作,联合培养工控安全专业人才。打造国家工控安全高端智库,为工控安全战略部署、规划制定、决策咨询、重大问题提供智力支持和技术支撑,培养一支门类齐全、技术精湛的工控安全专业人才队伍。
鼓励社会参与:充分发挥行业协会、产业联盟等中介组织的积极作用,支持开展技术研发、技能竞赛、标准推广、公共服务、国际合作等工作,促进技术交流、加强信息沟通,形成政产学研用高效联动的发展格局。
多维度提升安全等级随着互联网和新一代信息技术的不断渗透和蔓延,占据工业互联网“控制大脑”地位的工业控制系统也不可避免地朝着“互联网+”方向发展。工业控制系统原有相对封闭的使用环境逐渐被打破,开放性和互联性越来越强,使得工业控制系统与各种业务系统的协作成为可能,工业设备、人、信息系统和数据的联系越来越紧密,系统一体化、设备智能化、业务协同化、信息共享化、决策需求全景化、全部过程网络化等成为工业控制系统的发展趋势。据数据显示,数以亿计的工业控制系统已经与互联网连接。因此,工业互联网安全意识的提升,也将成为工控安全的重要影响因素。
在工业互联网领域,同样也面临着很多安全问题。例如:网络化下攻击路径增多;传统IT产品带来的安全漏洞;新型技术在工业控制领域的防御系统上不完善等等。
面对这些问题,2017年11月27日经李克强总理签批,国务院日前印发《关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《意见》)。《意见》的基本考虑是,以党的十九大精神为指引,全面落实习近平新时代中国特色社会主义思想,以供给侧结构性改革为主线,以全面支撑制造强国、网络强国建设为目标,围绕推动互联网与实体经济深度融合,构建网络、平台、安全三大功能体系,推动现代化经济体系建设。
其中,工业和信息化部对于《意见》中涉及安全领域的内容是这样解读的:《指导意见》以构建工业互联网安全保障体系为目标,重点从提升工业互联网安全防护能力、建立数据安全保护体系、推动安全技术手段建设等方面提出了具体任务,全面强化工业互联网安全保障能力。
提升工业互联网安全防护能力。《指导意见》从技术和管理两个层面双管齐下,构建覆盖设备、控制、网络、平台和数据的工业互联网安全保障体系。在技术层面,加大技术研发和成果转化支持力度,重点突破标识解析系统安全、工业互联网平台安全、工业控制系统安全、工业大数据安全等相关核心技术,推动面向工业互联网的攻击防护、漏洞挖掘、入侵发现、态势感知、安全审计、可信芯片等安全产品的研发。在管理层面,通过构建工业互联网安全评估认证体系,依托产业联盟等第三方机构开展安全能力评估和认证,推动工业互联网安全产品和服务推广应用,工业互联网企业安全防护能力不断提升。
建立数据安全保护体系。工业互联网上承载着大量价值巨大的工业数据,能够揭示工业生产情况及运行规律,也承载了大量市场、客户、供应链等信息,是工业互联网核心要素,数据安全因此成为工业互联网安全保障的重要任务之一。一方面,推动建立工业互联网全产业链数据安全管理体系,明确相关主体的数据安全保护责任和具体要求,加强数据生命周期各环节的安全防护能力,避免用户隐私或重要工业数据遭到不法窃取或利用;另一方面,建立工业数据分级分类管理制度,形成工业互联网数据流动管理机制,明确数据留存、数据泄露通报要求;最后,通过加强监督检查落实工业互联网企业的数据安全保护责任。
推动安全技术手段建设。技术手段建设是提升工业互联网安全保障能力的重要途径,《指导意见》分别从企业、行业、国家三个层面提出了安全技术手段建设任务。企业层面,要求相关企业落实网络安全主体责任,加大安全投入,通过加强技术手段建设提升自身安全防护能力,开展工业互联网安全试点示范;行业层面,支持相关产业联盟积极发挥引导作用,整合行业资源,创新安全服务模式,提升行业整体安全保障服务能力;国家层面,充分发挥国家专业机构和社会力量的作用,增强国家级工业互联网安全技术支撑能力,着力提升隐患排查、攻击发现、应急处置和攻击溯源能力。
能够看出,这些即将落实在工业互联网层面的安全建设中,不乏与工业控制系统密切相关的内容。在过去的一年中,工业控制系统与工业互联网在安全层面都得到了一定程度的积累。我国对于制造业信息化的投资和期望值有目共睹,无论是工控系统本身的安全,还是工业互联网的安全,都应该在得到充分重视的同时,按照顶层设计的高度,得到切实有效的落实和发展。2018年,工控系统及其相关领域的安全工作,将得到重大推动。