近日,由人民日报社《中国经济周刊》旗下的中国经济研究院主办、匡恩网络智能工业安全研究院协办的“新经济圆桌会议:工业控制网络安全”,在北京举行。
来自中央网信办、国家发改委、国资委、科技部、国家能源局控制工程网版权所有,中国互联网发展基金会、全国信息安全标准化委员会、中国网络安全产业联盟,民银国际投资有限公司、北京匡恩网络科技有限责任公司等部门、机构的各界专家,汇聚一堂,就目前国际安全新趋势、我国工业控制网络安全面临的挑战和机遇、以及如何促进工控网络安全产业发展等,进行了交流、研讨。以下为与会专家的发言摘要。
与会专家:
胥和平:工控网络安全问题已成为网络经济的一个重大问题
这次新经济圆桌会议选择了一个重大话题:工业控制系统的网络安全。
2015年国家明确提出“互联网+”、“中国制造2025”等重大战略举措,十八届五中全会和“十三五”规划明确指出,把拓展网络发展空间作为一个重大战略举措。一年多来,“互联网+”在各个领域的深度渗透,广泛推进,已经取得了明显的成效,大家一直在期待一个万物互联、互联互通的社会,期待一个基于“互联网+”的新的经济形态出现。但当所有设备、所有系统互联互通以后,安全问题就至关重要。
一个小小的病毒、一个网络的漏洞就可以导致大型工业系统、大型基础设施运转出现巨大的经济损失。这些问题成为网络经济的一个重大问题,也成为发展互联网经济的重要基础。
何帮喜:从战略高度加强工业控制网络安全顶层设计,明确责任部门
过去我当过商会会长,对工业领域很熟悉。我们经常遇到这样的事儿:很多企业在招标过程中,在实施技术过程中,突然计算机的机密文件、数据被盗。企业很着急,但无法解决。后来,经过调研,我了解到这属于工控网络安全问题。而且,还是非常普遍的现象。
今年全国两会召开前,我们经过调研和专家指导,写了《关于加强我国工控网络安全,应纳入国家战略的建议》的提案,多名政协委员联名提交。同时,十几名人大代表也联名提交了关于工控网络安全的议案。
我们的主要建议是:从国家战略高度加强工业控制网络安全顶层设计,明确责任部门;建立完备的工控网络安全体系,掌握芯片级核心技术;大力扶持新兴工控网络安全企业,鼓励技术创新和产业化;在各行业建设中同步进行工控网络安全规划和验收等。
董宝青:工控安全难度最大,相信未来几年内会扭转现状
万物互联的时代,我们从过去关注互联网安全、信息系统安全转向最底层次、最难的工控安全,因为它要解决信息空间跟物理、机械的融合问题。
首先,在国家顶层设计方面,目前看,比较清晰。大家也都非常关注和重视。其次,微观层面,所有的工业企业或者产业系统、实体经济体系,都要建立信息安全管理制度和组织落实制度。第三,要建立技术供应链全生命周期、全环节的把控能力,实施国产替代、自主可控、安全可靠的思路,打造我们的技术供应产业链。第四控制工程网版权所有,要建立日常的维护制度、运营制度、巡查制度等。第五,建立一些应急支援的队伍力量。第六,大力发展产业队伍。
我们在工业控制系统的市场占有率还不到10%,相信未来几年,通过企业的努力,国家政策制度的建立,能够扭转这种形势,安全可控、自主可控,能够放心地发展经济。
徐建平:首先要加强系统性的谋划和顶层设计
当前我们在网络安全方面面临几个问题:一、安全问题的认识问题。应该从根本上解决,建立容错机制。二、政策上也有很多需要完善的地方。比如推动自主化,真正的支持措施少。三、整个大的制造业大而不强。四、部门之间协同性要进一步加强。五、工业控制系统安全管理还存在很多缺陷。
我们应该加强系统性的谋划和顶层设计。我个人认为,部门之间虽然已经形成了一个相应的工作机制,但是离真正的加强安全管理要求,还差得很远,还有很大的空间。首先,在规划上,要真正把工业控制网络安全纳入到各级规划当中去。其次,突出重点,集中优势,突破关键。实质上就是要强化自主创新能力www.cechina.cn,落到实处。第三,加强法律法规的建设,通过法规的形式为信息安全、安全能力的建设提供保障。第四控制工程网版权所有,加强社会安全意识教育。
刘育新:国家如何支持、民企怎么进入,都需要认真研究
在国家科技管理体制发生变化、发生改革的情况下,对于工业控制网络安全怎么支持,是值得研究的问题。工业控制网络安全还有行业性的问题,不同行业要求不一样。应用基础性的研究怎么支持?政府的钱是有限的,这是一个导向作用的钱,政府支持哪个领域,市场上资金就会注意这个方向。
此外,这个技术或者产业发展起来,需要有竞争,是开放性的。网络安全的天然属性就是封闭性、体系性,因为它涉及到保密等问题。民营企业和社会资本怎么进入,政府的管理门槛怎么降低,这是需要认真考虑的。竞争不竞争,有时候差距很大。
孙耀唯:能源领域是公共系统网络安全的重要方面,我们不能轻视
能源系统对工控系统安全是比较重视的,这些年在工信部的支持指导下做了很多工作。比如一些预测预警,包括信息通报,也做过一些执法检查,还有专项监管。在国产化方面,我们也做了很多尝试和推广,包括装备,风电、水电、火电都在国产化,国产率越来越高。
从行业角度来讲:一、我们要培养安全意识,今后将加强教育和宣传。二、顶层设计分工。国家总体有筹划、部署、规划;分行业建立一个完整的规划;地方公安系统都有网络安全测试实验室,但还要加上企业。三、人才培养方面,我们一直很重视加强专业性的培养,每个岗位不仅要有安全意识,还要有操作意识。四、监管层面,要加强政府的作用,监管队伍、监管素质、监管手段上了之后,会发挥很多的作用。
能源领域是公共系统网络安全的重要方面,我们不能轻视,也正在加强,希望有关方面继续给与支持。
张铭:立法要细,规划要明确,设备必须国产化
要用发展网络安全产业的模式,解决中国网络安全问题。我认为,在工业领域,用产业网络控制安全的概念更好,产业不只是工业,还有其他的。中国有一个非常大的网络安全产业。这个领域会诞生非常大的企业,一定要把这个产业发展好。
怎么发展产业,我提几点建议。
第一,立法必须要有。我们现在有一个网络安全征求意见稿。法律一定要细,如果大的法律解决不了问题,实施细则就一定要细,一定要能够操作。这么大的一个产业CONTROL ENGINEERING China版权所有,如果用市场经济的办法来解决,首先要把法规制定好。
第二,需要一个工控网络方面的规划。这个规划必须要明确目标、部门之间协作、政策支持、后续保障、协调机制等等。企业有企业的定位,政府有政府的定位,制定好目标,就会有监督,有检查,很多事情才能落实到位。
第三,自主知识产权核心设备国产化,这个必须要解决。
第四控制工程网版权所有,意识培训,大家都用互联网,大家要有网络安全的意识。我觉得这部分,政府应该拿点钱,企业也会愿意拿点钱,把这个钱给行业协会,让它组织培训。
秦昌桂:工业控制网络安全,关键是人才
关于公共安全,工业控制网络安全已经作为网络安全,也是作为国家安全,纳入国家最高战略,凡是自动化程度越高,智能化程度越高,它的安全更危险。工业控制网络安全的重要性是显而易见的。但关键一点还是人才,你讲国产化也好,什么也好,讲到底就是人才。安全体系一定是要有自己的产品、自己的技术。工业控制网络安全的企业,从国家层面来讲,一定要自主培养人才。
网络安全方面,大家对信息安全是主动防守,强调得更重要,对自动化特别是生产领域、经济领域是忽视的。不要扩大威胁,但是也不要忽视威胁,还要考虑自身的防御。你的病毒、漏洞自己可以破坏你自己的体系。从我们基金会来讲,一定要利用社会的力量,除了加大对网络安全宣传周支持,我们重点支持网络安全人才的培养,人是最根本的。
高林:关于加强信息安全标准化工作的指导意见今年会很快出台
做好工业控制网络安全,需要从几个方面分析:
一是法规和机制层面。具体到工控网络安全的事情上,在操作层面还需要进一步明确各有关部门、组织的职责。二是标准的事情。2012年国家成立了全国信息安全标准化技术委员会,形成这么一个架构,就是要协调标准化的事情。组织上有了,做的过程中也是一个逐渐深入的过程。今年马上要出一个政策,关于加强信息安全标准化工作的指导意见,会进一步加强工业系统的网络安全标准统筹。这里面很重要的一个问题,主要的核心是工控系统网络安全防控的要求。三是规划层面。要做好技术保障,有很多需要在国家层面布局的,要有一批队伍做这个事情,不能光靠政府,光靠职能部门。四是监管层面。首先要在整个国家网络安全审查制度框架之下做工控产品的安全审查。另外就是系统检查,要明确主体责任,主体责任一定是系统的拥有者、运营者。五是服务层面,现在有很多协会和第三方机构组织做一些服务,包括政府支持在一些单位建立通信通报、共享、追踪等服务。
陈兴跃:我们就做两件事,一是搭建桥梁,二是建设平台
从联盟的角度来讲,我们就做两件事,一是搭建桥梁,二是建设平台。所谓桥梁,就是作为产业和部门对接的桥梁、产业合作的桥梁。所谓平台,就是聚集整个产业的资源,集中力量做大事。以标准工作为例,产业联盟推进标准工作有先天的优势。总而言之,产业联盟工作要代表网络安全产业的水平。
刚才有嘉宾提到资金的问题,联盟会员中有很多中小企业,他们有非常强的资金需要。会员企业希望在联盟平台上做一个产业的创新基金,在联盟平台上发现好的创新团队和创新技术,开展专项对接扶持。
孙一桉:希望政策方面能帮助我们穿透设备供应商这“最后一道门”
工控网络安全技术是衡量一个国家综合实力的重要组成部分,也是国家安全的重要组成部分。工业控制系统解决安全问题特别难,它不是拿一个简单信息安全的手段加一个工业的壳就可以解决,它必须和各个行业深入对接。
我们在推广过程中有一个巨大的障碍,就是设备供应商。国产设备供应商是比较开放的,但在国外的设备供应商那里遭遇了很大的阻力,这对我们是潜在的、巨大的危害。我们不能走到互联网安全那条老路上去CONTROL ENGINEERING China版权所有,让设备供应商自己做系统的安全维护,后门都打开了,还全然不知。所以,在这个领域,我强烈呼吁各方能一同协力,穿透“最后一道门”,让设备供应商开放出来,用自主可控的安全手段来解决安全问题,不要重蹈过去互联网安全的覆辙。
工业网络安全,是信息安全与工业自动化的跨学科的集成,涉及到国家安全、经济安全、民生安全,是新经济时代一个基础性的、亟待解决的问题,需要各级政府部门、各行业一起来加速推动。
白津夫:网络经济安全不是网络安全,须采取新举措
工业控制网络安全,强调的是网络经济层面,网络经济安全不是一般意义上的网络安全。随着“互联网+”和网络经济不断发展,网络安全风险不断放大,切不可掉以轻心。
应对这样一个复杂的局面,要有一些新的举措。一是深化工控网络安全的研究,加大宣传力度,进一步增加社会共识。二是加快制定国家网络经济安全的标准。三是提高技术手段和防御能力,重点支持本土技术的创新和产业化。四是建立工控安全责任体系,从政府层面、企业层面如何来固化体系合理分工、合理推进。五是建立完备的工控网络安全体系,要技术设备一体化,要解决工控设备结构安全、本体安全、行为安全,实现基因安全和运行维护的可持续性。