习近平总书记在党的十九大报告中全面系统深刻地论述了坚持总体国家安全观的重要思想。2018年4月20-21日召开的全国网络安全和信息化工作会议上,习近平总书记进一步强调指出,要“树立正确的网络安全观,加强信息基础设施网络安全防护”。我国政府对网络安全,特别是工业互联网安全非常重视。工业和信息化部联合教育部、人力资源社会保障部、生态环境部、卫生健康委员会、应急管理部、国有资产监督管理委员会、国家市场监管总局、国家能源局、国防科技工业局等十部委共同印发了《加强工业互联网安全工作的指导意见》(以下简称《安全指导意见》),体系化推进工业互联网工作。《安全指导意见》正式颁布,是我国工业互联网安全体系建设的一个重要进步,意味着我国工业互联网安全建设进入到法治化、制度化、专业化的新阶段,标志着中国工业互联网安全体系基本形成。《安全指导意见》从企业主体责任、政府监管责任出发,围绕设备、控制、网络、平台、数据安全等方面,以健全制度机制、建设技术手段、促进产业发展、强化人才培育为基本内容,实现工业互联网安全的全面管理。《安全指导意见》对加快构建工业互联网安全保障体系,提升工业互联网安全保障能力,促进工业互联网高质量发展,推动现代化经济体系建设,护航制造强国和网络强国战略实施,有着极其重要的意义。
在“互联网+先进制造业”的新时代背景下,《安全指导意见》以全面保障工业互联网安全为出发点,对制度机制、技术手段、产业发展等方面制定相关目标,充分体现了工业互联网领域的统筹指导原则,依法构建科学严密规范的监管制度,最大限度地保障工业互联网的安全。
《安全指导意见》清晰地界定了工业互联网安全保障体系初步建立的近期目标和远期目标,为工业互联网建立依法共建共治共享的安全体系打下基础。
《安全指导意见》从工业互联网安全的几个方面入手,分别提出了切实可行的目标。制度机制方面,建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制,制定设备、平台、数据等至少20项亟需的工业互联网安全标准,探索构建工业互联网安全评估体系。技术手段方面,初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境。产业发展方面,在汽车、电子信息、航空航天、能源等重点领域,形成至少20个创新实用的安全产品、解决方案的试点示范,培育若干具有核心竞争力的工业互联网安全企业。这些制度,为工业互联网中各方向的目标提出了明确的要求,为良好的管理体系提供了重要的制度保障。
尤其值得注意的是,为了确保目标的前瞻性,《安全指导意见》还提出了远期目标,到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。这个目标是对近期目标的提升,能够更有效确保目标路线的清晰。
任何有效的安全体系建设必须分解为不同的任务,通过各类任务的推进达到目标。《安全指导意见》提出了以下关键任务:推动工业互联网安全责任落实,构建工业互联网安全管理体系,提升企业工业互联网安全防护水平,强化工业互联网数据安全保护能力,建设国家工业互联网安全技术手段,加强工业互联网安全公共服务能力,推动工业互联网安全科技创新与产业发展。这些关键任务覆盖工业互联网安全的各个方面、各个环节中的各类要素,以及各类主体。这些任务要求的是不同领域和不同议题上政策间的高度融合,是各相关政府部门和机构间的高度协同,以及各类管理方式和管理工具的综合使用。
针对《安全指导意见》中的主要任务,有以下几方面需要我们强化和完善:
(1)目前,我国的工业企业已经提高了自身对安全的重视程度,关注工业互联网安全建设,也愿意在安全方面进行投入,这对工业互联网安全责任落实有着极大的好处,且很多工业企业已将安全建设相关预算列入到企业整体预算之中去。但是,目前企业对自身安全状况缺乏了解,无法得到一个适合自身的解决方案,在安全方面的投入主要集中在购买防护类产品,并没有根据自身情况量身定制的相关防护,即便是购买了安全咨询服务,也仅限于对自身进行一些安全评估、安全咨询和安全设计,并没有进行到实施或运营层面。当然,这些也有赖于相关工业互联网安全产业企业的发展,才能促进工业企业的安全建设。相信在政府履行监督管理责任,工业和信息化部组织开展工业互联网安全相关政策制定、标准研制等综合性工作的不断推进之下,未来,会给工业企业以及工业互联网安全企业发展带来更多的便利和机遇。
(2)构建工业互联网安全管理体系需要自上而下逐层推进。工业互联网安全管理体系通过构建涵盖工业全系统的安全防护体系,打造满足工业需求的安全技术体系和相应管理机制,识别和抵御来自内外部的安全威胁,化解各种安全风险,是工业互联网可靠运行,实现工业智能化的安全可信保障。为了构建完善的工业互联网安全管理体系,需要在风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制,就需要对企业工业互联网行业分类、企业分级指标进行规范,而这方面的工作目前还很少,需要相关部门积极推进,结合产业发展需求,加快实现安全体系与工业互联网产业发展的同步推进,提升安全体系的先进性、适用性和有效性。
(3)提升企业工业互联网安全防护水平。工业互联网安全从防护对象、防护措施及防护管理三个维度构建。针对不同的防护对象部署相应的安全防护措施,根据实时监测结果发现网络中存在的或即将发生的安全问题并及时做出响应,并通过加强防护管理,明确基于安全目标的可持续改进的管理方针,从而保障工业互联网的安全。其中,IPv6的部署,5G网的建设,IaaS、PaaS、SaaS平台的使用,都是需要关注的重点。在安全防护过程中,需要跨行业的联合,各相关企业的配合,除了保障自身安全之外,还需要对各方相关接口处进行安全评估,以保障整体运行的安全性。
(4)工业互联网数据安全保护能力的提升。明确数据收集、存储、处理、转移、删除等环节安全保护要求,在加快推动数据资源开放共享和开发应用的同时,必须建立工业互联网数据安全保障体系,构筑适应工业互联网数据发展的法规制度,健全工业互联网数据时代信息安全新秩序。从政策上关注工业互联网数据战略性和基础性重点领域,加快相关法律法规的出台步伐,依法保护公民和国家的工业互联网数据安全。平衡释放数据经济活力、规范商业利用与数据资源安全和个人信息保护之间的关系,重点针对数据的收集和使用环节建立规则,明确工业互联网数据生态中不同主体的责任,促进网络基础设施的发展,开放数据资源,加强网络安全与个人信息保护。这意味需要充分了解企业内部数据的相关特征,之后针对不同类型数据采用不同安全保护等级,相关工作的责任划分以及负责人员的责任分工,执行起来需要有一个规范指导。
同时,为提升产业工业互联网数据安全保障能力,维护网络安全秩序,考虑到工业互联网数据安全问题的泛在性、复杂性、专业性,以及有关术语和标准匮乏的现状,需要建立工业互联网数据安全标准体系研究长效机制。建议立足我国国家安全管理要求和工业互联网数据有关产业发展现状,借鉴国际国外标准化工作模式和经验,逐步建立我国工业互联网数据安全标准体系研究长效机制,持续规划工业互联网数据安全标准有关术语规范、标准化体系等方面研究,以充分发挥工业互联网数据安全标准国家质量技术基础的支撑作用,有效引导工业互联网数据安全标准化工作科学推进。
(5)在建设国家工业互联网安全技术手段方面,目前工业互联网安全攻防演练相关工作迟缓,从事相关工作的企业对其理解不深入,攻防对抗技术研发流于表面形式。工业互联网安全技术研发是我国工业互联网产业自主发展的关键驱动,同时也是工业互联网安全标准的制定和落地实施的重要支撑。建议加强工业互联网安全技术研究,包括入侵检测、安全态势感知、网络攻击取证、威胁情报分析等,特别要重视主动防御关键技术的研究。主动防御是将被动防护、入侵检测、蜜罐诱捕、态势分析、响应反制等多种网络安全防御技术综合运用工业互联网实际环境形成的一套技术体系,在保证和增强原有网络安全的基础之上,通过大数据和人工智能形成一整套完备的工业互联网安全保护体系,提升工业互联网安全保障的能力。
(6)开展工业互联网安全评估认证,需要摸索一个合适的安全评价体系。工业互联网安全关系到国家安全、社会稳定和个人权益,依法对工业互联网进行安全审查和检测评估是保障我国国家安全、公共利益和公民权益的一个重要手段。工业互联网产业发展需要工业互联网安全检测评估相关标准支撑。针对当前缺乏工业互联网安全检测评估标准的问题,需要通过对工业互联网安全现状、安全需求和攻防技术的深入调研,全面分析工业互联网可能存在的安全隐患,确定工业互联网安全审查和检测评估的方向和重点,梳理和细化安全审查和检测评估内容,编制可量化、可操作的工业互联网安全审查和检测评估技术要求和测试评价方法相关标准。这个过程不但需要产学研相结合,探索路径,同时,安全评价体系的建立本身也是一个演进的过程,需要各方的积极努力,才能保证形成一个比较权威公正的体系。
(7)我国工业互联网安全领域的安全技术和产品主要依赖于国外厂商,尚未形成完整的安全服务产业生态体系。推动工业互联网安全科技创新与产业发展,需要产学研相结合,而目前工业企业—厂商—科研机构的链条不畅,缺乏促进合作的相关项目。同时,应注重开放创新,加强工业互联网各类行业客户、专业服务企业之间的协同合作,发挥其在所属领域的知识经验和资源优势,形成一系列重量级工业应用;积极打造开发者社区,通过提供开发工具,开发环境和微服务组件,吸引第三方开发者向平台聚集,形成一系列面向特点领域、特定场景、特定功能的创新性工业应用。
《安全指导意见》指出了我们加强工业互联网安全指导思想、基本原则和总体目标,并给出了主要任务,从政策法规方面对工业互联网安全建设给出了支持,进一步完善了工业互联网安全管理的体制机制。加强工业互联网安全是一项必要性、系统性、前瞻性的工作,相信《安全指导意见》将进一步凝聚包括企业界、学术界等在内的社会各界共识,形成共同参与、协同推进的良好局面。
作者信息:
姚羽,博士,东北大学教授、博士生导师,复杂网络系统安全保障技术教育部工程研究中心主任,沈阳大数据局副局长(2015-2017挂职),教育部新世纪人才。主要研究方向包括工控网络安全分析、网络空间安全态势感知、恶意软件攻防分析及建模、网络安全数据分析、网络安全数据可视化等。作为项目负责人主持国家自然科学基金项目、教育部“新世纪人才支持计划”项目、教育部基本科研业务费项目、辽宁省自然科学基金等科研项目10余项,发表学术论文40余篇,主编国内第一部工业信息安全专著《工控网络安全技术与实践》,获辽宁省科技进步二等奖、辽宁省自然科学学术成果一等奖。
(姚羽)
