工業(yè)控制系統(tǒng)安全是國家關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要組成部分。在工業(yè)互聯(lián)網(wǎng)、"中國制造2025"、"工業(yè)4.0"等趨勢驅(qū)動下,隨著云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)的成熟,信息化與工業(yè)化進(jìn)行了深度融合,在拓展了工業(yè)控制系統(tǒng)發(fā)展空間的同時,也帶來了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題。我國工業(yè)控制領(lǐng)域正在發(fā)生重大變革,工業(yè)控制系統(tǒng)和設(shè)備大量暴露在互聯(lián)網(wǎng)上,也已成為工業(yè)信息安全的重要威脅和軟肋。工業(yè)控制系統(tǒng)所面臨的信息安全問題已不再僅是信息泄露、信息系統(tǒng)無法使用等“小”問題,而是可能會對社會安全穩(wěn)定、經(jīng)濟健康發(fā)展等造成不可估量影響的大問題。
從各調(diào)研機構(gòu)公布的數(shù)據(jù)來看,我國乃至全球工控安全事件頻頻發(fā)生,工控安全漏洞數(shù)量持續(xù)增長,工控系統(tǒng)面臨著日益嚴(yán)峻的安全形勢。尤其是電力、水利、交通、核能、制造業(yè)等領(lǐng)域,工控系統(tǒng)的非法入侵事件頻繁發(fā)生,在給相關(guān)企業(yè)造成重大的經(jīng)濟損失,甚至威脅國家的戰(zhàn)略安全。比如2010年齊魯石化、2011年大慶石化煉油廠,某裝置控制系統(tǒng)分別感染Conficker病毒,都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度的中斷。
信息安全作為"十三五"重點建設(shè)方向,重磅支持政策加速出臺。隨著近年來國內(nèi)網(wǎng)絡(luò)安全事件地頻繁發(fā)生,我國政府對于信息安全防護(hù),尤其是工業(yè)信息安全防護(hù),建設(shè)意識逐漸加強,政策支持力度不斷上升。未來工業(yè)信息安全發(fā)展重點主要在安全防護(hù)體系構(gòu)建和信息安全防護(hù)技術(shù)提升上。預(yù)計未來5年中國工業(yè)信息安全市場規(guī)模實現(xiàn)快速增長,復(fù)合增長率為55%左右,到2023年工業(yè)信息安全行業(yè)市場規(guī)達(dá)到77.48億水平。
2018-2023年中國工業(yè)信息安全行業(yè)市場規(guī)模預(yù)測(單位:億元)
為保障工業(yè)控制系統(tǒng)的信息安全,更加迫切地需要有關(guān)政府部門發(fā)布相關(guān)法令法規(guī),引起各行業(yè)足夠的重視,并規(guī)范行業(yè)實踐。工業(yè)控制系統(tǒng)涉及眾多行業(yè),例如石化、電力、核電等。各行業(yè)的具體管理要求和系統(tǒng)設(shè)備工作環(huán)境不盡相同。因此,我們必須深入研究我國工業(yè)控制系統(tǒng)的行業(yè)特點和需求,有針對性地制定相關(guān)行業(yè)信息安全保障應(yīng)用行規(guī)。同時,以工業(yè)自動化標(biāo)準(zhǔn)化機構(gòu)為先導(dǎo),聯(lián)合相關(guān)組織機構(gòu),研究我國工業(yè)信息安全標(biāo)準(zhǔn)體系,積極開展工業(yè)控制系統(tǒng)信息安全評估標(biāo)準(zhǔn)的制定工作,健全工業(yè)信息安全評估認(rèn)證機制,建立有效的工業(yè)控制系統(tǒng)信息安全應(yīng)急系統(tǒng),形成我國自主的工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)和管理體系。
為全面落實國家安全戰(zhàn)略,提升工業(yè)企業(yè)工控安全防護(hù)能力,促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展,加快我國工控安全保障體系建設(shè),近幾年工信部先后發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作管理辦法》和《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020)》。
2016年10月17日,工信部印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》,從配置和補丁管理、邊界安全防護(hù)、安全監(jiān)測和應(yīng)急預(yù)案演練等方面,對工業(yè)企業(yè)提出了30項工控安全防護(hù)要求。《指南》的發(fā)布對工業(yè)企業(yè)以及從事工業(yè)控制系統(tǒng)安全工作的企業(yè)起到了很好的指導(dǎo)作用,對擺在大家面前的很多困惑和難題給出了解答,并提供了針對工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全問題的解決思路和落地技術(shù)手段。為檢驗《指南》的實踐效果,綜合評價工業(yè)企業(yè)工控安全防護(hù)能力,2017年,工信部又印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作管理辦法》,旨在規(guī)范工控安全防護(hù)能力評估工作,切實提升工控安全防護(hù)水平。
2017年12月12日,工信部正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020)》,明確了未來三年工信部在工控安全方面的工作重點和方向,為全面落實國家安全戰(zhàn)略,提升工業(yè)企業(yè)工控安全防護(hù)能力,加快我國工控安全保障體系建設(shè),促進(jìn)工業(yè)信息安全產(chǎn)業(yè)健康發(fā)展指明了道路。《行動計劃》的出臺,是工控安全工作開展和實施的頂層設(shè)計,具有高度戰(zhàn)略意義,既明確了產(chǎn)學(xué)研用各方責(zé)任、今后工作方向和部署,又有效地形成了多方合力,打造高效、快速、聯(lián)動的行動方針,為我國實現(xiàn)工業(yè)強國和網(wǎng)絡(luò)強國戰(zhàn)略的開展奠定了堅實的基礎(chǔ),全面保障了國民經(jīng)濟安全有序穩(wěn)定運行。相信在政府部門的政策引導(dǎo)及實施落地下,在產(chǎn)業(yè)發(fā)展聯(lián)盟、工業(yè)生產(chǎn)企業(yè)、工控系統(tǒng)制造商、工控安全服務(wù)商等相關(guān)單位的共同參與和努力下,我國的工控安全體系將進(jìn)入全面建設(shè)階段,更好地做到服務(wù)國家利益,保障國家安全。