【业内热点】我国工控信息安全体系建设迫在眉睫
工业控制系统安全是国家关键信息基础设施安全的重要组成部分。在工业互联网、"工业4.0"等趋势驱动下,随着云计算、物联网、大数据技术的成熟,信息化与工业化进行了深度融合,在拓展了工业控制系统发展空间的同时,也带来了工业控制系统网络安全问题。我国工业控制领域正在发生重大变革,工业控制系统和设备大量暴露在互联网上,也已成为工业信息安全的重要威胁和软肋。工业控制系统所面临的信息安全问题已不再仅是信息泄露、信息系统无法使用等“小”问题,而是可能会对社会安全稳定、经济健康发展等造成不可估量影响的大问题。
从各调研机构公布的数据来看,我国乃至全球工控安全事件频频发生,工控安全漏洞数量持续增长,工控系统面临着日益严峻的安全形势。尤其是电力、水利、交通、核能、制造业等领域,工控系统的非法入侵事件频繁发生,在给相关企业造成重大的经济损失,甚至威胁国家的战略安全。比如2010年齐鲁石化、2011年大庆石化炼油厂,某装置控制系统分别感染Conficker病毒,都造成控制系统服务器与控制器通讯不同程度的中断。
信息安全作为"十三五"重点建设方向,重磅支持政策加速出台。随着近年来国内网络安全事件地频繁发生,我国政府对于信息安全防护,尤其是工业信息安全防护,建设意识逐渐加强,政策支持力度不断上升。未来工业信息安全发展重点主要在安全防护体系构建和信息安全防护技术提升上。预计未来5年中国工业信息安全市场规模实现快速增长,复合增长率为55%左右,到2023年工业信息安全行业市场规达到77.48亿水平。
2018-2023年中国工业信息安全行业市场规模预测(单位:亿元)
为保障工业控制系统的信息安全,更加迫切地需要有关政府部门发布相关法令法规,引起各行业足够的重视,并规范行业实践。工业控制系统涉及众多行业,例如石化、电力、核电等。各行业的具体管理要求和系统设备工作环境不尽相同。因此,我们必须深入研究我国工业控制系统的行业特点和需求,有针对性地制定相关行业信息安全保障应用行规。同时,以工业自动化标准化机构为先导,联合相关组织机构,研究我国工业信息安全标准体系,积极开展工业控制系统信息安全评估标准的制定工作,健全工业信息安全评估认证机制,建立有效的工业控制系统信息安全应急系统,形成我国自主的工业控制系统信息安全产业和管理体系。
为全面落实国家安全战略,提升工业企业工控安全防护能力,促进工业信息安全产业发展,加快我国工控安全保障体系建设,近几年工信部先后发布了《工业控制系统信息安全防护指南》、《工业控制系统信息安全防护能力评估工作管理办法》和《工业控制系统信息安全行动计划(2018-2020)》。
2016年10月17日,工信部印发了《工业控制系统信息安全防护指南》,从配置和补丁管理、边界安全防护、安全监测和应急预案演练等方面,对工业企业提出了30项工控安全防护要求。《指南》的发布对工业企业以及从事工业控制系统安全工作的企业起到了很好的指导作用,对摆在大家面前的很多困惑和难题给出了解答,并提供了针对工业控制系统面临的网络安全问题的解决思路和落地技术手段。为检验《指南》的实践效果,综合评价工业企业工控安全防护能力,2017年,工信部又印发了《工业控制系统信息安全防护能力评估工作管理办法》,旨在规范工控安全防护能力评估工作,切实提升工控安全防护水平。
2017年12月12日,工信部正式印发了《工业控制系统信息安全行动计划(2018-2020)》,明确了未来三年工信部在工控安全方面的工作重点和方向,为全面落实国家安全战略,提升工业企业工控安全防护能力,加快我国工控安全保障体系建设,促进工业信息安全产业健康发展指明了道路。《行动计划》的出台,是工控安全工作开展和实施的顶层设计,具有高度战略意义,既明确了产学研用各方责任、今后工作方向和部署,又有效地形成了多方合力,打造高效、快速、联动的行动方针,为我国实现工业强国和网络强国战略的开展奠定了坚实的基础,全面保障了国民经济安全有序稳定运行。相信在政府部门的政策引导及实施落地下,在产业发展联盟、工业生产企业、工控系统制造商、工控安全服务商等相关单位的共同参与和努力下,我国的工控安全体系将进入全面建设阶段,更好地做到服务国家利益,保障国家安全。