網絡安全護航中國制造

陳榮

強化工業控制系統的網絡安全，是制造強國戰略穩步推進的基石。

“十三五”規劃綱要和今年政府工作報告再次對制造強國進行部署，制造業作為立國之本、興國之器、強國之基的地位愈發受到重視。在產業大規模升級和兩化深度融合的情況下，我國工業控制系統的網絡信息安全問題也愈發突出，亟待補齊短板。

工業控制系統是制造業基礎設施運行的“大腦”，廣泛應用于電力、航空航天、鐵路、汽車、交通、石化等領域。2010年“震網”病毒攻擊伊朗核設施，2011年“火焰”病毒入侵中東國家，2015年底“黑暗能源”病毒攻擊烏克蘭電網……一系列突發事件表明，工業控制系統的網絡安全面臨嚴峻的挑戰。無論以美國為代表的“工業互聯網”，還是以德國為代表的“工業4.0”，都將工業控制系統的網絡安全視為重中之重。

中國政府對工業系統的網絡安全同樣極為重視。2011年開始，國務院先后出臺的《工業轉型升級規劃（2011-2015）》、《關于大力推進信息化發展和切實保障信息安全的若干意見》、《中國制造2025》等一系列文件，都強調了兩化融合中網絡安全保障的重要性。

然而，與工業系統的快速數字化、信息化和智能化相比，中國工業控制系統的網絡安全保障進展緩慢，防護薄弱，問題仍較為突出。

烏克蘭電網被攻擊后，國內相關網絡安全公司的監測報告顯示，在國內交通、能源、水利等多個領域的各類工業控制設備中，完全暴露在外、可以被輕易攻擊的多達935個。有些城市和地區的工業控制系統面臨較大的安全風險。

造成這一隱患的原因眾多，關鍵是一些企事業單位在借助信息化提高生產效率的同時，沒有考慮工業控制系統的網絡安全防護。而即使認識到工業控制系統安全的重要性，在系統改造實施過程中，由于沒有專業知識、人員和部門支撐，所采取的安全措施也往往浮于表面，未得實效。

從實際情況看，中國的工業控制系統雖然還沒有發生影響巨大、后果嚴重的網絡安全事件，但不少領域的企業都已經或多或少遭遇了因計算機病毒引發的安全事故。如果上升到國家安全層面，一旦這些控制系統的安全漏洞被利用，將有可能導致核電站過載、電網停電、地鐵失控等災難性后果，這絕非危言聳聽。

面對日益嚴峻的網絡安全形勢，加強工業控制系統的網絡安全保障迫在眉睫。既要有國家自上而下的體系化頂層設計，也要有產業和企業自下而上的探索與實踐。

從國家層面來看，在保障體系的機制建設上，需要一個高規格的協調機構，以應對關鍵基礎設施和重要系統可能遭受的高強度攻擊，同時組建以工業企業、信息網絡、公共安全為主的應急聯動機制，制定應急響應處理辦法。

與此同時，做好重點行業的工業控制系統威脅情報研究，各方聯動，形成合力，提供有價值的威脅情報信息，建立更有實用性的威脅情報庫，為政府機構、安全廠商、企事業單位提供更好的支持。

在技術上，要做好整個安全保障體系的“供應鏈”安全，特別是在一些關鍵基礎設施和重要信息系統新建項目上，必須強化項目規劃和設計階段的網絡安全風險評估，引入第三方安全機構或服務商對技術實施方案和產品供應鏈進行審查。同時加大投資力度，大力發展具有自主知識產權的安全防護技術和產品。

從企業層面來看，最迫切的工作是提高對工業控制系統的網絡安全意識，開展企業工業控制系統網絡安全檢查評估，根據業務發展需求，部署有針對性的全生命周期的防護措施。

作為一項涉及到國家安全、產業發展以及社會穩定的系統性工作，工業控制系統網絡安全應該是“整體聯動、可持續發展”的系統性安全。只有安全可控，制造強國戰略才能固本行遠，把命運牢牢掌握在自已手中。