徐晓兰:系统推进工业互联网安全保障能力建设
人民网-科技频道 2019-10-12

中国工业互联网研究院院长 徐晓兰

加快工业互联网创新发展,是以习近平同志为核心的党中央把握全球产业变革趋势、针对我国经济发展实际作出的重大战略部署,是建设现代化经济体系,促进互联网、大数据、人工智能和实体经济深度融合的必然要求,对推进制造强国和网络强国建设具有重大意义。

近年来,世界主要发达国家围绕工业互联网核心标准、技术、平台等加快布局,抢占新一轮工业革命制高点,加快塑造全球产业竞争力。国务院《关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《指导意见》)发布实施以来,我国工业互联网加速创新发展态势明显。

然而,全球工业互联网安全威胁日益严峻复杂,国家级工业互联网安全事件时有发生,工厂内外部安全威胁相互交织,国家安全和利益面临更深层次挑战。安全是工业互联网健康发展的前提和保障。把握工业互联网的历史性发展机遇,系统推进安全保障能力建设至关重要。

此次,工业和信息化部、教育部、人力资源和社会保障部、生态环境部、卫生健康委、应急管理部、国务院国资委、国家市场监管总局、国家能源局、国防科工局十部门联合出台实施《加强工业互联网安全工作的指导意见》(以下简称《安全指导意见》),系统推进工业互联网安全制度、技术、产业体系建设,协同推动安全保障能力和服务水平提升,是促进工业互联网高质量发展,护航制造强国和网络强国建设的战略之举。

准确把握文件内涵,深刻认识对工业互联网安全的重大意义

立足当前形势,谋划长远发展。《安全指导意见》深入贯彻《指导意见》精神主旨,紧抓当前工业互联网安全监管难点、行业防护痛点,构建了较为完备的安全监管体系,是我国工业互联网安全顶层设计文件,具有重要的理论和实践意义,为当前和今后一个时期工业互联网安全发展指明了方向。

一是指导和规范工业互联安全工作的政策纲领。工业互联网安全工作涉及多部门、多行业、多领域,需要立足全局,统筹联动,形成合力。《安全指导意见》深入贯彻习近平总书记总体国家安全观,严格落实《网络安全法》等法律法规,高度凝聚十部门共识,形成了工信部统筹推进、地方分级管理、部门协同联动的安全监管格局,构建了较为完善的安全监管体系,为规范和指导我国工业互联网安全工作,提供了顶层的政策纲领。

二是拓展强化工业互联网安全能力建设的行动指南。工业互联网安全能力建设是一项复杂的系统工程,需要突出重点、分类施策、协同推进。《安全指导意见》立足国际国内工业互联网安全发展新形势和技术业务发展新趋势,围绕制度机制、技术手段、产业发展明确了总体目标,提出要结合各地实际、突出重点、分步推进,集中力量指导、监管重要行业、重点企业,鼓励重点领域技术突破等系列原则,构建了可落地、可实施的行动举措,为加快和强化工业互联网安全能力建设提供了科学的行动指南。

三是加速构建工业互联网安全生态的重要驱动。我国工业互联网安全技术和产业基础薄弱,生态体系建立需要政产学研用协同共建。《安全指导意见》提出系列保障措施,坚持汇聚整合政产学研用多方力量,加大政府支持力度,鼓励企业技术创新和安全应用,深化产教融合、校企合作,充分调动科研机构和社会力量,为加速构建工业互联网安全生态提供了重要驱动,为工业互联网安全健康生态提供了基础保障。

牢牢抓住根本任务,系统推进工业互联网安全保障体系建设

坚持整体布局,统筹能力提升。工业互联网开放、互联、跨界、融合的特点,为网络安全管理和防护带来新的挑战。《安全指导意见》围绕设备、控制、网络、平台、应用和数据安全,以“制度机制、技术手段、产业发展”为核心,进一步明确了七大任务、十七项重点工程,细化了各项工作措施,建立了系统化的工业互联网安全保障体系。

一是突出安全责任和管理体系建设。《安全指导意见》明确了企业安全主体责任和政府安全监管责任,特别是进一步明确了地方工业和信息化主管部门、通信管理局各自监管职责范围,构建了明晰的工业互联网安全责任体系。围绕“管理制度、管理机制、标准体系”,提出健全安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等管理制度,建立行业企业分级分类管理机制,为工业互联网安全健康发展提供了制度保障。

二是突出提高安全整体防护能力。《安全指导意见》围绕“设备、控制、网络、平台、应用”提出了系列保障措施,明确企业在平台上线前开展安全评估,完善工业APP应用前安全检测机制,特别强调提升设备和控制系统的本质安全。同时,将数据安全放在更加突出重要位置,提出“分级分类、安全防护、跨境评估监测、泄露响应”等举措,提升工业互联网全流程环节、全生命周期、全产业链的数据安全水平。

三是突出强化技术保障和服务能力。《安全指导意见》坚持技术保障和安全服务能力并举,按照“上下联动、政企协同、合作共享”的思路,提出建设国家、省、企业三级协同的工业互联网安全技术保障平台。着重加强工业协议、安全漏洞等安全资源库储备,推动安全评估、测试认证、试验验证等安全公共服务,逐步构建起强有力的技术保障体系和公共服务能力。

四是突出提升安全技术和产业支撑能力。《安全指导意见》按照“技术创新、协同合作、重点突破、试点示范”路线,提出加强网络安全攻击防护、漏洞挖掘、态势感知、追踪溯源等核心技术研发,打造产学研用协同创新平台,在汽车、电子信息、航空航天、能源等重点领域开展试点示范,加大对技术研发和成果转化的支持力度,为工业互联网持续健康发展提供坚实的技术和产业支撑。

紧扣重点工作落实,全力护航制造强国和网络强国战略实施

不忘发展初心,肩负安全使命。工业互联网安全需要各方共同努力,国家顶层部署、地方大力推进、企业积极响应、多方协同联动,不断夯实工业互联网安全基石。我院作为国家级工业互联网研究机构,肩负工业互联网安全职责使命,将同各界一道认真落实好《安全指导意见》,全力护航制造强国和网络强国战略实施。结合工业互联网安全工作实际,提出以下建议:

一是工业互联网数据安全是核心。数字化网络化智能化是第四次工业革命之基石,是工业互联网创新发展之关键。工业互联网承载着数以亿计设备、系统、工艺参数、企业核心业务和经济运行数据。数据是工业互联网核心生产要素,也是工业互联网发展之血液,其安全关乎企业运营安全、行业发展安全和国家经济安全。要加快完善数据安全管理制度,研究制定工业互联网数据安全防护指南和配套标准规范,提升行业整体数据安全能力。建设国家工业互联网大数据中心,搭建国家级工业互联网数据安全监测平台,形成数据安全监测、跨境评估、应急响应等监管支撑和服务能力,有效维护我国工业互联网核心数据安全。

二是工业互联网资产安全是关键。工业互联网通过人、机、物的全面互联,全要素、全产业链、全价值链的全面链接,推动形成全新的工业生产制造和服务体系。工业互联网连接了海量设备、系统、平台、应用,工业互联网资产是工业互联网发展之骨骼,其安全关乎企业生产安全、人民生命财产安全和国家基础设施安全。要加快完善设备、系统、平台、应用安全防护标准,完善监督检查、安全评估、检测认证等机制,提升整体安全防护能力。搭建国家级工业互联网重要资源测绘平台,全面掌握我国工业互联网资产和安全状况,形成资产安全评估、威胁监测、损害评估等监管支撑和服务能力,有效维护我国工业互联网重要资产安全。

三是工业互联网安全公共服务是支撑。工业互联网安全需要充分调用各级各类资源,需要以大量公共服务为支撑。当前,我国工业互联网安全公共服务支撑能力尚显不足,特别是检测认证、评估评价等具有较强外溢和拉动作用、公共性质相对突出。要重点依托科研院所、行业组织,联合具备第三方权威资质机构,加快构建我国工业互联网漏洞库、恶意代码库等安全基础资源库,建设国家工业互联网安全测试中心,形成安全检测、评估认证、应急处置等安全公共服务能力,为我国工业互联网安全健康发展提供公共服务支撑。

四是工业互联网安全人才培养是保障。人是安全的核心,工业互联网安全保障体系的建设离不开大量的专业网络安全人员,工业互联网安全产业的发展更离不开高水平、高素质的网络安全从业人员。目前我国从事工业互联网安全的人才普遍短缺,特别是IT与OT融合性安全人才严重不足。要建立健全工业互联网安全人才教育体系,支持企事业单位联合高校建设国家工业互联网培训中心,共同培养实战能力强的多层次安全人才,为我国工业互联网安全提供有力的人才保障。

新时代下,我国工业互联网创新发展进入快车道,前景广阔、机遇可期。要牢固树立总体国家安全观和正确的网络安全观,以《安全指导意见》为指引,坚持安全与发展同步、技术与管理并重、规范和引导并举,凝聚政产学研用各方力量,奋力谱写工业互联网安全工作新篇章,筑牢工业互联网安全发展基石,全力护航制造强国和网络强国战略实施。

相关阅读
猜你喜欢