(一)工业网络和数据安全全场景化产品和服务生态亟须完善
2021年国内涉及工业信息安全领域业务的企业约有373家,其中,自动化厂商背景企业占26%,传统安全供应商占56%,较2020年增长了17.3%。2023年相关业务企业增长数量更为迅猛,但在新型工业化极速推进的大背景下,面临工业网络和数据增长迅速、品种繁多、体量庞杂的需求,仍显捉襟见肘。适应工业领域特点的专用安全可信产品供给不足,覆盖垂直行业全生命周期业务流程的安全产品和服务严重缺乏,工业网络和数据安全全场景化生态亟待建立。
(二)工业企业战略安全意识不足、安全防护投入不足
随着工业领域数字化、网络化、智能化程度的加深,相关企业的生产效率和附加值大大提升,但与之相对应的安全防护投入却远达不到应有的比例,不
少行业“重效率轻安全、重收益轻防护”的观念仍然突出。总体工业相关网络和数据安全投入占信息化投入比例不足3%,而美国投入占比>10%,大量低防护甚至无防护工业设备接入互联网,导致2023年工业领域网络和数据高危安全事故频发,网络和数据安全风险加速渗透至工业研发、生产、运行、管理、服务等全场景,使工业领域网络和数据安全风险激增。
(三)工业领域防护关键基础设施和信息系统自主创新比例仍需提升
目前,我国国内工业领域防护关键基础设施和信息系统自主创新比例仍然偏低。如我国工控系统自主可控率一直偏低,甚至还有大量Windows系统甚至开源系统多年联网运行在工业领域,轻易“被后门、被漏洞、被渗透、被勒索”现象长期无法解决。沈昌祥院士指出,图灵计算原理缺少攻防安全理念、冯·诺依曼体系结构缺少防护部件和重大工程应用无安全治理服务三大原始性缺失,使得我们的网络和数据极其脆弱,需要从硬件设备上引入可信芯片开始,全面提升工业领域防护关键基础设施和信息系统自主创新比例。
新型工业化背景下强化网络和数据安全的建议
(一)构建新型工业化背景下网络和数据安全政策、管理、技术、供给、产业综合保障体系
我国高度重视网络和数据安全保障工作,网络安全法、密码法等法律法规治理体系逐步完善,网络和数据安全产业发展有法可依,有章可循;安全可信的网络产品和服务产业生态初步构建,产业结构逐步合理。
进一步强化政策引领,着眼国家战略发展和外部复杂变局,引导网络和数据安全产业构建全场景化产品和服务生态,合理布局,加大相关细分产业聚集度,引导相关产业集群发展、错位发展。为相关企业提供多种扶持,构建网络和数据安全产业全生命周期保障体系。如中国电信以云网融合数字基础设施构建新型工业化底座,建设起云网一体、数智驱动、开放共享、可信可控的“三层两面”数字基础设施体系架构。“三层”指的是工业应用层、工业平台层和工业连接层;“两面”指的是安全面和服务面。又如福建联通为泉州某工业企业提供了包括安全审计、资产集中管理、特征库与漏洞补丁集中管理、威胁关联分析且基于5G网络的工控系统分类分级安全防护方案,建立起一套全方位、立体化的工控安全管理平台。福建省的实践为全面推行工业领域数据安全管理积累了宝贵经验,也为护航工业经济安全发展奠定了坚实基础。
(二)工业防护关键基础设施和信息系统自主可控
面对“风高浪急”“惊涛骇浪”的国际局势,关键基础设施和信息系统自主可控显得尤其重要。早在2009年,某国NSA使用震网病毒(Stuxnet)攻击了物理隔离的伊朗核设施,病毒在传播过程中使用了多达4个Windows系统的0day
漏洞,从2009年11月到2010年1月间,震网病毒就摧毁了伊朗1000多台、约合全部浓缩铀工厂五分之一的离心机。而我国三峡水电站作为国家重要电力基础设施,计算机监控系统实现了从CPU到操作系统核心软硬件自主可控。通过部署可信防御系统和国密高速IBC标识认证加密系统,建立了自主可控和去中心化的信息安全保护屏障,实现了防误操作、防入侵、防篡改的“三防”策略,极大程度地提高了电站数据传输安全性和系统运行稳定性,解决了内部系统防御薄弱、设备终端间数据传输安全程度低、终端缺少管控的问题,构建了新一代水电站计算机监控系统网络安防体系的案例模板。
(三)落实工业网络数据分级和全生命周期安全管理制度
工业和信息化领域数据分为一般数据、重要数据和核心数据三级。按类型包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。指导企业开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。建立数据全生命周期安全管理制度,针对不同级别数据,制定并落实数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程。配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业(领域)监管部门开展合理工作,确定数据处理活动的操作权限,严格实施人员权限管理,根据应对数据安全事件的需要而制定应急预案,并定期进行演练。
(四)完善网络和数据安全人才培养体系建设
美国高度重视网络和数据安全人才培养建设,已经在不同学龄的教育体系嵌入网络安全技术教育,尤其重视青少年网络安全人才的培养和挖掘。高等学校注重对网络安全科研能力的培养,形成了教学与科研双轮驱动的教育模式。同时,重视社会培训和企业攻防实战,形成了多层次广覆盖的网络和数据安全人才培养体系。日本大学开始着力培养网络攻防的人才,经济产业省、国立产业技术综合研究所、相关高校联合培养网络空间安全人才。
吸收国际先进经验,我国也应完善人才体系建设,重视实战和新技术的应用,加快建设网络靶场,强化攻防竞技、红蓝对抗等实战化演练。重视人工智能、量子计算等新技术的人才培养体系建设。同时,着眼中国社会主义特色,强化思政教育,树立正确的人才观,让高技术的网络和数据安全人才“为我所用”。在全年龄段试点进行网络和数据安全技术普及,挖掘青少年技术人才,联合军队、研究所、大型互联网公司、中国红客联盟等爱国互联网人才团体,共同完善网络和数据安全人才培养体系建设。