網(wǎng)絡(luò)安全護(hù)航中國制造

陳榮

強(qiáng)化工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全，是制造強(qiáng)國戰(zhàn)略穩(wěn)步推進(jìn)的基石。

“十三五”規(guī)劃綱要和今年政府工作報告再次對制造強(qiáng)國進(jìn)行部署，制造業(yè)作為立國之本、興國之器、強(qiáng)國之基的地位愈發(fā)受到重視。在產(chǎn)業(yè)大規(guī)模升級和兩化深度融合的情況下，我國工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)信息安全問題也愈發(fā)突出，亟待補(bǔ)齊短板。

工業(yè)控制系統(tǒng)是制造業(yè)基礎(chǔ)設(shè)施運(yùn)行的“大腦”，廣泛應(yīng)用于電力、航空航天、鐵路、汽車、交通、石化等領(lǐng)域。2010年“震網(wǎng)”病毒攻擊伊朗核設(shè)施，2011年“火焰”病毒入侵中東國家，2015年底“黑暗能源”病毒攻擊烏克蘭電網(wǎng)……一系列突發(fā)事件表明，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全面臨嚴(yán)峻的挑戰(zhàn)。無論以美國為代表的“工業(yè)互聯(lián)網(wǎng)”，還是以德國為代表的“工業(yè)4.0”，都將工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全視為重中之重。

中國政府對工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全同樣極為重視。2011年開始，國務(wù)院先后出臺的《工業(yè)轉(zhuǎn)型升級規(guī)劃（2011-2015）》、《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》、《中國制造2025》等一系列文件，都強(qiáng)調(diào)了兩化融合中網(wǎng)絡(luò)安全保障的重要性。

然而，與工業(yè)系統(tǒng)的快速數(shù)字化、信息化和智能化相比，中國工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保障進(jìn)展緩慢，防護(hù)薄弱，問題仍較為突出。

烏克蘭電網(wǎng)被攻擊后，國內(nèi)相關(guān)網(wǎng)絡(luò)安全公司的監(jiān)測報告顯示，在國內(nèi)交通、能源、水利等多個領(lǐng)域的各類工業(yè)控制設(shè)備中，完全暴露在外、可以被輕易攻擊的多達(dá)935個。有些城市和地區(qū)的工業(yè)控制系統(tǒng)面臨較大的安全風(fēng)險。

造成這一隱患的原因眾多，關(guān)鍵是一些企事業(yè)單位在借助信息化提高生產(chǎn)效率的同時，沒有考慮工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)。而即使認(rèn)識到工業(yè)控制系統(tǒng)安全的重要性，在系統(tǒng)改造實施過程中，由于沒有專業(yè)知識、人員和部門支撐，所采取的安全措施也往往浮于表面，未得實效。

從實際情況看，中國的工業(yè)控制系統(tǒng)雖然還沒有發(fā)生影響巨大、后果嚴(yán)重的網(wǎng)絡(luò)安全事件，但不少領(lǐng)域的企業(yè)都已經(jīng)或多或少遭遇了因計算機(jī)病毒引發(fā)的安全事故。如果上升到國家安全層面，一旦這些控制系統(tǒng)的安全漏洞被利用，將有可能導(dǎo)致核電站過載、電網(wǎng)停電、地鐵失控等災(zāi)難性后果，這絕非危言聳聽。

面對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，加強(qiáng)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保障迫在眉睫。既要有國家自上而下的體系化頂層設(shè)計，也要有產(chǎn)業(yè)和企業(yè)自下而上的探索與實踐。

從國家層面來看，在保障體系的機(jī)制建設(shè)上，需要一個高規(guī)格的協(xié)調(diào)機(jī)構(gòu)，以應(yīng)對關(guān)鍵基礎(chǔ)設(shè)施和重要系統(tǒng)可能遭受的高強(qiáng)度攻擊，同時組建以工業(yè)企業(yè)、信息網(wǎng)絡(luò)、公共安全為主的應(yīng)急聯(lián)動機(jī)制，制定應(yīng)急響應(yīng)處理辦法。

與此同時，做好重點行業(yè)的工業(yè)控制系統(tǒng)威脅情報研究，各方聯(lián)動，形成合力，提供有價值的威脅情報信息，建立更有實用性的威脅情報庫，為政府機(jī)構(gòu)、安全廠商、企事業(yè)單位提供更好的支持。

在技術(shù)上，要做好整個安全保障體系的“供應(yīng)鏈”安全，特別是在一些關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)新建項目上，必須強(qiáng)化項目規(guī)劃和設(shè)計階段的網(wǎng)絡(luò)安全風(fēng)險評估，引入第三方安全機(jī)構(gòu)或服務(wù)商對技術(shù)實施方案和產(chǎn)品供應(yīng)鏈進(jìn)行審查。同時加大投資力度，大力發(fā)展具有自主知識產(chǎn)權(quán)的安全防護(hù)技術(shù)和產(chǎn)品。

從企業(yè)層面來看，最迫切的工作是提高對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全意識，開展企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全檢查評估，根據(jù)業(yè)務(wù)發(fā)展需求，部署有針對性的全生命周期的防護(hù)措施。

作為一項涉及到國家安全、產(chǎn)業(yè)發(fā)展以及社會穩(wěn)定的系統(tǒng)性工作，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)該是“整體聯(lián)動、可持續(xù)發(fā)展”的系統(tǒng)性安全。只有安全可控，制造強(qiáng)國戰(zhàn)略才能固本行遠(yuǎn)，把命運(yùn)牢牢掌握在自已手中。