加强工业信息安全建设,为一带一路工作保驾护航
2019-04-25汪礼俊
汪礼俊
随着“一带一路”建设的深入推进,我国重大装备、智能化工厂“走出去”成效显著。同时,这些装备也成为了网络攻击的重点目标,面临着巨大的安全隐患。长期以来,我国对工业信息安全的重视不足,国内大量工业控制系统和设备的运维服务依赖国外厂商,我国工业信息安全产业开拓国际市场面临诸多挑战。
“走出去”短板暴露工业信息安全隐患
近年来,我国制造业数字化、网络化、智能化水平持续提升,支撑保障能力稳步提高,但仍处于向世界第二梯队迈进的爬坡过坎关键期,在技术和产业发展上与美德等发达国家差距较大。在实施国际合作的过程中,尽管我国国际话语权相较过去有了较大程度提升,但“西强我弱”的格局还没有根本改变。
首先,我国制定的工业网络化标准国际认可度偏低。如工业互联网领域各项标准多被通用电气、西门子等国外厂商以设备和软件系统强行捆绑的方式垄断,我国拥有自主知识产权的技术标准仅有工厂自动化以太网路(EPA)、工业过程自动化的无线网络(WIA-PA)等少数几项,且未被市场广泛接受。其次,国产工业智能化产品面临国际市场惨淡困境。如在工业机器人领域,“四大家族”发那科、ABB、安川、库卡占据全球近60%市场份额,其他国际知名品牌也分别在全球有超过4%的份额,相比之下,国内机器人在全球市场占有率较低,共计仅10%左右。
在此背景下,“走出去”的重大装备和智能化工业设施多采用国外工业控制系统及设备作为配套产品,产品运行多参照欧美标准体系。以高铁为例,高铁已经成为我国对外交流合作的新名片和共建“一带一路”倡议的重要领域,但目前“走出去”的动车组列车关键零部件仍多从国外进口,只是在国内完成规模化组装。列车三大核心技术产品——网络控制系统、制动系统、牵引系统(牵引变流器和牵引变压器)仍由ABB、西门子、川崎、克诺尔等国外厂商垄断。即使与我国签订了技术转让合同,也多通过出让安装图纸代替设计原理等形式完成,国内厂商无法做到举一反三,运维服务依然高度依赖国外。因工业系统与生产管理紧密结合,使用国外厂商的相应设备大大增加了安全隐患,存在工业数据难采集难读取、系统及设备漏洞难发现难修补、“后门”入侵难察觉难防范等重大安全风险。尤其是在能源、电力、交通等关键信息基础设施领域,设备不出问题则已,一出问题就可能导致电力瘫痪、交通中断等严重后果,具有很大的破坏性和杀伤力。
综上,提升工业信息安全保障能力、推动工业信息安全同步“走出去”,已成為补齐“一带一路”建设短板的重要组成。
工业信息安全“走出去”面临的主要问题
第一,工业信息安全意识薄弱。近年来,工业和信息化部组织开展了《工业控制系统信息安全防护指南》《工业控制系统信息安全行动计划(2018-2020年)》等政策宣贯培训,工业企业工业信息安全意识有所提升,但仍然存在以下问题:社会意识不强,部分地区、部门对工业信息安全问题重视不够,如主管部门指导企业开展工业信息安全的文件未能有效执行;部分工业企业未建立工业信息安全专职部门、未安排年度工业信息安全专项经费;工业信息安全管理混乱,存在员工未按规定开展工作、责任不明等问题。同时,在国际产能合作和重大装备“走出去”过程中,对工业信息安全技术与产品的重视程度不足,导致高科技装备缺乏与之相配套的安全防护产品与服务。
第二,工业信息安全政策体系有待完善。由于我国工业企业数量众多,体制及管理机制关系复杂,在对行业和产品的管理上,缺乏系统完善的法律体制和对工业信息安全国际合作全领域覆盖的管理机制。尽管国务院先后发布《关于深化制造业与互联网融合发展的指导意见》《关于深化“互联网+先进制造业”发展工业互联网的指导意见》等一系列文件,工业和信息化部出台了《工业控制系统信息安全防护指南》《工业控制系统信息安全防护能力评估工作管理办法》《工业控制系统信息安全事件应急管理工作指南》《工业控制系统信息安全行动计划(2018-2020年)》等文件,明确了工业信息安全发展路径,为工业信息安全建设指明了方向。但我国尚未出台专门推动工业信息安全产业国际合作发展等方面的系列指导性文件,且对于工业互联网安全、工业云安全、工业大数据安全等新兴领域的安全管理也尚未提出有效的政策指引与规范。
第三,发达国家抢占“话语权”,我国标准制定处于起步阶段。欧美等发达国家及跨国公司在工业信息安全领域起步较早,充分利用其在安全技术上的先发优势和主导地位,凭借制订标准、指南与行业规范影响全球工业信息安全防护体系架构,抢占行业发展先机。目前,沿线国家多采用国际标准化组织及欧美权威标准化机构发布的具有极大影响力的国际标准,并结合其实际开展相关标准制定与推进工作,导致我国工业信息安全类产品进入国际市场面临诸多限制。如由美国国家标准与技术研究院(NIST)发布的《工业控制系统安全指南》(NIST-SP800-82)已成为“一带一路”沿线国家和地区采用最多、影响最广、推进力度最大的工业信息安全标准。而我国在标准方面处于起步期,近年来发布了《工业自动化和控制系统网络安全》等一批急需急用的工控安全相关标准,拟逐步形成涵盖安全管理、系统安全防护、产品安全评估等全面的工业信息安全标准体系,但目前绝大多数标准正处于草案或征求意见阶段。
第四,我国工业信息安全产业规模小、实力弱,难与跨国公司竞争。近年来,在工业互联网、工业云、工业大数据等产业发展需求的带动下,我国工业信息安全产业快速发展。据工业信息安全产业发展联盟发布的《中国工业信息安全产业发展白皮书》显示,2017年我国工业信息安全市场规模为5.57亿元,较2016年市场增长率达53.6%,预计2018年这一增长率将接近55.4%,市场整体规模将增至8.66亿元。即便如此,我国工业信息安全产品、技术、服务等占整个IT行业的比重不足2%,远低于欧美发达国家近10%的水平。此外,与国外大型工控企业转型工业信息安全领域不同,我国工业信息安全企业大多由传统网络安全企业向工业领域延伸,且95%以上属中小企业,净利润超过1亿元的安全企业屈指可数,无法比拟赛门铁克、趋势科技等行业巨头,整体实力偏弱,难以形成国际竞争优势。
加强一带一路工作中工业信息安全建设的几点建议
加强政策引导,明确工业信息安全在国际产能合作中的重要性
针对社会意识不强烈、国际产能合作中忽视工业信息安全的现状,要通过展会、论坛、培训、媒体宣传等多种渠道,提升社会各界对工业信息安全的重视程度;加强政策宣贯培训,明确工业信息安全在国际产能合作中的重要地位,强化企业安全主体责任,提升工业信息安全意识。
强化顶层设计,完善产业发展及重点领域的安全管理政策体系
进一步强化工业信息安全顶层设计,体系化推进政策布局。研究编制工业信息安全产业方面的指导性文件,为构建工业信息安全技术体系、突破关键核心产品、培育骨干企业、优化产业生态环境等提供有力指引。加强工业互联网安全、工业云安全、工业大数据安全等新兴领域的政策制定,从顶层设计、安全要求、产业发展等方面,建立新兴领域安全管理政策体系,规范和指导新技术新应用实现安全发展。
开展标准研制,与沿线国家探讨构建工业信息安全管理体系
加速工业信息安全国家标准编制与推广,并借助“一带一路”建设,进一步实质性参与工业信息安全国际标准化工作。一方面可利用ISO/IEC JTC1/SC27等国际标准化交流平台,推进自主知识产权工业信息安全标准成为国际标准;另一方面与沿线国家合作共建研究机构,开展工业信息安全测试、验证、评估、知识产权保护等共性技术研发共享,从而共同制定工业信息安全区域标准体系,共同探讨建设覆盖全产业生命周期的信息安全管理体系,推动工业信息安全顶层设计合作取得更大进展。
搭建服務平台,整合各方资源加强产业合作服务全方位延伸
打造工业信息安全公共服务平台,全面汇聚国内工业控制系统安全服务能力和人才资源,推动工业信息安全检测、认证、评估、知识产权保护等服务“走出去”,面向“一带一路”沿线国家工业企业提供风险预警、检测认证、能力评估、安全防护、应急处置、技术咨询等一站式服务。同时充分利用平台基础,线下举办工业信息安全国际合作发展论坛、研讨会、培训班,或联合沿线国家开展工控信息安全测试与应急演练等,实施小范围“一带一路”工控安全测试靶场、测试床等工程,以推动签订双边、多边工业信息安全领域备忘录等合作文件,进一步实现产业国际合作项目落地。
培育龙头骨干企业,以工业信息安全示范基地为载体扶持安全企业
加快培育一批拥有关键技术与产品、竞争力强的工业信息安全企业和服务商;设立工业信息安全“双创”示范基地,发挥中小企业集聚力;充分利用各类中小企业扶持资金、“双创”企业扶持政策、中小企业公共服务平台等资源条件,对工业信息安全企业在技术研发、产品创新、标准建设等方面予以倾斜;依托国家级平台机构,搭建资源共享、优势互补的工业信息安全产业双创合作平台,培育产业生态圈。