逐步形成安全产业规模全面提升工业互联网安全保障能力

蒋国瑞

2019年8月28日，工信部等十部门联合印发《加强工业互联网安全工作的指导意见》（简称《指导意见》），这是深入实施习近平总书记提出的工业互联网创新发展战略、落实党中央国务院工作部署的行动纲领。《指导意见》明确了加强工业互联网安全指导思想和基本原则，制定了工业互联网安全发展的两阶段整体目标：到2020年年底，建立监督检查、信息共享和通报、应急处置等管理制度和企业安全主体责任制;制定设备、平台、数据等至少20项亟须的工业互联网安全标准和评估体系;初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境;在汽车、电子信息、航空航天、能源等重点领域，形成至少20个创新实用的安垒产品、解决方案的试点示范;培育若干具有核心竞争力的工业互联网安全企业;工业互联网安全保障体系初步形成。到2025年，制度机制健全完善，技术手段能力显著提升，安全产业形成规模，基本建立起较为完备可靠的工业互联网安全保障体系。《指导意见》围绕工业互联网安全责任落实、管理体系、防护水平、数据保护能力、技术手段、公共服务能力、科技创新与产业发展等7个领域，布置了17项主要任务。

《指导意见》规划了我国工业互联网安全保障体系建设的整体布局，指出了工业互联网安全发展方向，明确了围绕设备、控制、网络、平台、数据安全等相关产品或产业升级和平台打造的主要任务。全面实施《指导意见》，将有效应对工业互联网发展面临的网络安全新风险、新挑战，全面提升工业互联网创新发展安全保障能力和服务水平，推动实体经济转型升级，促进制造强国、网络强国的建设。

实施加强工业互联网安全战略增强生态系统竞争优势

目前，新工业革命与互联网创新发展正处于历史交汇期。发达国家抢抓新一轮工业革命机遇，加速布局工业互联网，构建数字驱动的工业新生态。美国先进制造战略的创新方向和基础建设主要是工业互联网，利用基础科学、人工智能、工业信息技术和互联网等领域的优势，构造全球性的工业互联网生态体系，通过大数据应用、云计算等软服务的加入，带动工业整体提升全流程全环节竞争力。德国工业4.0战略：利用其制造装备工业自动化、工业软件、人工智能等方面的领先地位，通过全工业体系的互联网协同，应用信息物理融合系统，一方面强化硬件制造优势，男一方面拓展软件服务能力。美国先进制造战略和德国工业4.0战略都是把工业互联网作为变革工业和确立竞争新优势的技术基础，注重将顶层设计与优势企业主导相结合，突出数据在整个架构中的核心作用，加强相关领域标准化进程。可见，发达国家高度重视抢占未来以工业互联网平台为核心的制造业生态发展主动权和话语权，各国参与工业互联网发展的国际竞争日趋激烈。

《指导意见》的出台实施是非常及时的，它从战略高度指导企业和政府，在打造未来互联网等新一代信息技术与全球工业系统全方位深度融合集成所形成的新产业和新业态的同时，构建责任清晰、制度健全、技术先进的工业互联网安全保障体系，覆盖工业互联网规划、建设、运行等全生命周期，形成事前防范、事中监测、事后应急的能力，全面提升工业互联网创新发展安全保障能力和服务水平，在安全保护环境下抢占工业互联网生态系统的制高点和领先地位。

加强工业互联網安全建设

夯实相关产业发展基础

2017年11月，国务院发布了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》，指出通过系统构建网络、平台、安全三大功能体系，打造人、机、物全面互联的新型网络基础设施，形成智能化发展的新兴业态和应用模式。布置夯实网络基础、打造平台体系、加强产业支撑、促进融合应用、完善生态体系、提升安全防护能力、推动开放合作七大任务，并设立打造工业互联网基础设施升级改造、工业互联网平台建设及推广、标准研制及试验验证、关键技术产业化、工业互联网集成创新应用、区域创新示范建设、安全保障能力提升七大工程。力争到本世纪中叶，工业互联网网络基础设施全面支撑经济社会发展，工业互联网创新发展能力、技术产业体系以及融合应用等全面达到国际先进水平。2019年8月《指导意见》的出台实施是非常必要的，没有工业互联网安全，“互联网+先进制造”就没有保障，预期的战略目标就很难实现。

随着“互联网+先进制造业”深度融合，更多机器和设备实现互联，相关业务、平台、设备、用户的多样性不断丰富，传统的网络安全边界加速瓦解。工业互联网应用需要采集各类设备和机器的数据，实现多种数据的集中，也就意味着数据安全风险的增加。工业企业IT/OT技术进一步深度融合，也带来了一系列的工业网络安全问题。特别是目前工业互联网面临着漏洞剧增、设备后门、组织威胁、工业网络病毒、攻击趋易五大主要安全风险的威胁。这些安全问题不仅影响着工业业务数据、设备功能、连续生产的安全，甚至影响到人身、环境和社会的安全，工业互联网安全面临着严峻的挑战。

《指导意见》的实施，从产业角度考虑，将进一步推动互联网、大数据、人工智能、网络安全和实体经济深度融合，防范并应对“互联网+先进制造业”产生的各种风险，解决工业互联网建设中的各种安全问题，夯实工业互联网安全相关产业的发展基础，提升工业互联网创新发展安全保障能力和服务水平，升级优化传统产业，促进工业互联网安全相关的新产业、新业态和新模式的快速发展。

《指导意见》的部署，从战略角度考虑，将加快构建工业互联网安全保障体系，提升工业互联网安全保障能力，促进工业互联网高质量发展，推动现代化经济体系建设，护航制造强国和网络强国战略实施。

落实《指导意见》主要任务促进相关企业快速发展

《指导意见》是加强工业互联网安全建设与发展的纲领性文件，确立了总体目标与主要任务，为相关传统企业的转型升级和新兴企业的创新发展提出了明确的方向、目标和任务。

企业是加强工业互联网安全的主体，是落实《指导意见》的主力军，应当按照《指导意见》部署的任务，对口承担起适合于自身发展的项目，贵在“从我做起，马上行动”。

《指导意见》将给企业带来哪些机会呢？从企业视角解读如下：

1推动工业互联网安全责任落实：落实企业主体责任，明确工业互联网安全责任部门和责任人，建立重点设备装置和系统平台联网前后的风险评估和安全审计等制度，建立安全事件报告和问责机制。

2构建工业互联网安全管理体系：健全安全管理制度，建立分类分级管理机制，建立工业互联网安全标准体系。

3提升工业互联网安全防护水平：夯实设备和控制安全，提升网络设施安全，强化乎台和工业应用程序（APP）安全。

4强化工业互联网数据安全保护能力：强化企业数据安全防护能力，建立工业互联网全产业链数据安全管理体系。

5建设工业互联网安全技术手段：建设企业工业互联网安全技术保障平台，建立工业互联网安全基础资源库，建设工业互联网安全测试验证环境。

6加强工业互联网安全公共服务能力：开展工业互联网安全评估认证，提升工业互联网安全服务水平。

7推动工业互联网安全科技创新与产业发展：支持工业互联网安全科技创新，促进工业互联网安全产业发展。

工业互联网是连接工业系统产业链、价值链、信息链和创新链，支持工业智能化发展的关键基础设旆，是新一代信息技术与制造业深度融合所形成的产业、业态和应用模式，是互联网从消费领域向生产领域，从虚拟经济向实体经济融合和拓展的核心载体。因此，加强工业互联网安全，涉及的企业除了传统的工业企业、互联网企业、通信企业和网络安全企业等企业以外，还包含工业互联网安全平台、服务、技术、管理、应用、标准和法律法规等相关的新企业。

《指导意见》的出台实施，将引领企业围绕总体目标和主要任务，凝聚共识，团结合作，协同推进，各司其责，形成合力，建立技术保障平台，制定安全标准和评估体系，建成安全测试验证环境，打造创新使用的安全产品和解决方案等，不断提升技术手段能力，逐渐形成安全产业规模，逐步建成完备可靠的工业互联网安全保障体系。

（作者系北京工业大学经济与管理学院原副院长、中国电子信息产业发展研究院学术委员会信息安全分委会主任委员）