党的二十届三中全会审议通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》从因地制宜发展新质生产力、促进实体经济和数字经济深度融合、提升产业链供应链韧性和安全水平等方面对健全推动经济高质量发展体制机制作出系统部署,提出推动产业深度转型升级、加快推进新型工业化、全链条推进工业软件等重点产业链技术攻关与成果应用等重要举措。工业控制系统作为工业生产运行的基础核心,其网络安全既是发展新质生产力的前沿方向,又是护航新型工业化的必要条件,也是提升产业链韧性和安全水平的关键支撑。
当前,保障工业控制系统网络安全政策陆续出台,工业控制系统网络安全技术能力稳步发展、防护水平与日俱进。新时期新征程,面对新形势、新任务、新要求,应着力建立协调机制、完善政策标准、筑牢技术根基、保护数据资源,切实提升工业控制系统网络安全能力,为实现以高水平安全护航新型工业化高质量发展奠定坚实基础。
深刻认识工业控制系统网络安全重大意义
发展新质生产力的前沿方向。目前,以智能制造为主要模式的新一代工业制造技术,以云计算、大数据、物联网为典型的新一代信息技术,以自主智能、人机融合为特征的人工智能技术,汇聚形成以开放化、数字化、网联化、智能化为特征的新一代工业控制系统,这决定了工业控制系统网络安全必然要向数字化、智能化技术的方向演进,必须集创新性、关键性技术于一身,必定代表新质生产力的前沿发展方向,从而通过适应多种工业场景的安全运营、满足多类工业主体的安全需求,为大幅提高生产力、推动工业高质量发展提供条件。
护航新型工业化的必要条件。保障工业控制系统网络安全,就是保障相关系统、设备、软件、数据等资产安全,保障工业产线的稳定可靠运行,为走好、走稳新型工业化发展道路、实现国民经济高质量发展提供必要的基础条件。当前,工业控制系统网络安全威胁频现,制造企业因网络系统漏洞被利用造成内网服务器被攻破而致核心业务生产系统被控、因跨行业跨领域工业互联网平台漏洞被利用致使代码仓库受控等事件频发,表明工业控制系统网络安全风险隐患较大,强化安全保障势在必行、刻不容缓。
提升产业链韧性和安全水平的关键支撑。工业特别是制造业是国家经济命脉所系,是立国之本、强国之基。国内部分生产企业使用国外供应链系统或组件产品,包括Linux内核、Windows内核等基础操作系统以及基于OpenSSH、Fastjson等开源组件开发的软件等,上述软件系统存在命令执行、任意文件上传、“永恒之蓝”等传统高危漏洞,对工业企业造成较大安全威胁。在这种情况下,加强工业控制系统网络安全,确保“外来”产品安全威胁可防、“自用”产品风险隐患可知,既是提升制造业整体网络安全水平的关键环节,也是确保制造业产业链供应链安全的关键支撑。
深入理解工业控制系统网络安全重点举措
出台工业控制系统网络安全政策文件。党的十八大报告提出“推动信息化和工业化深度融合”,此后,工业控制系统网络安全作为“制造业与互联网融合发展的基础保障”地位得以明确,围绕管理、技术、产业等方面逐步建章立制。2024年,为适应新型工业化发展形势,工业和信息化部正式印发《工业控制系统网络安全防护指南》,聚焦新时期工业控制系统的新应用趋势及新安全风险,围绕安全管理、技术防护、安全运营、责任落实四方面提出33项安全防护基线要求,指导工业企业开展工业控制系统网络安全防护工作。同时,工业和信息化部部署开展护航新型工业化网络安全专项行动,深化工业控制系统网络安全管理,创新工业控制系统网络安全服务赋能,推动网络安全贯穿新型工业化发展全过程,为加强工业控制系统网络安全能力建设、提高工业控制系统网络安全保障水平指明了方向。
强化工业控制系统网络安全技术能力。国家工业信息安全发展研究中心在工业和信息化部指导下,持续强化工业控制系统网络安全技术能力,为护航新型工业化发展提供坚实支撑。一是构建国家、省/行业、企业三级联动的工业控制系统网络安全监测网络,主动发现未知威胁,及时开展通报预警,在国家重大活动网络安全保障工作中发挥重要作用。二是建设工业控制产品安全漏洞专业库(CICSVD),基于环境搭建、挖掘测试、验证复现、评估评分的全生命周期技术闭环,实现漏洞收集、研判、通报、处置一体化综合管理。三是组织开展网络关键设备安全检测,公布一批符合要求的PLC(可编程逻辑控制器)设备,支撑提升工业控制产品安全水平。四是强化工业控制系统网络安全威胁分析,支持建设化工、智能制造等9个行业共11套靶标系统,开展攻防模拟测试,破解实物靶标系统高成本问题,有效提高靶场共性资源利用率。
提升工业控制系统网络安全防护水平。在工业控制系统网络安全相关政策的指导下,国家工业信息安全发展研究中心聚焦主责、主动作为,助力企业工业控制系统网络安全防护水平持续提升。一是在全国范围内面向地方工信主管部门及重点工业企业开展政策标准宣贯活动20场,累计培训8000余人。二是在全国12个省(区、市)组织开展13场深度行活动,工业企业、安全厂商共5000余人参与,带动促进各地方、各行业企业安全服务提质、安全管理增效成果明显。三是聚焦原材料工业、装备工业、消费品工业和电子信息制造业等重点行业,连续三年支撑开展“铸网”安全演练,助推提高企业风险防范与事件处置能力。
······
以上文章摘取自《中国网信》2024年第8期,如需获取全文,请点击以下卡片跳转至《中国网信》电子刊。
