習近平總書記指出，沒有網絡安全就沒有國家安全。隨著新一代信息技術與工業產業加速融合
，工業經濟由數字化向網絡化、智能化深度拓展
，工業設備和係統通過映射和具象，愈發成為網絡空間的重要組成部分。回顧改革開放40nianlicheng，bansuizhegongyelingyuxinxihuachengdubuduantigao，yitiaochixuyueshengdequxianjilulewoguogongyexinxianquanjianshebupingfandelishijincheng

，weizhizaoqiangguohewangluoqiangguojianshediandinglejianshijichu。

孕育期（2010年以前）：工業信息安全重要性始受關注

20世紀90年代，隨著改革開放進程不斷深化，我國工業企業開始規模使用MRPⅡ/ERP軟件係統，通過局域網管理財務
、采購、銷售
、庫存等運營工作。企業網絡基本是物理隔離，與外界交換信息的頻率和數量有限，網絡安全問題尚不明顯。工業企業將ERP等係統接入互聯網，訂單


、庫存等企業管理信息開始通過網絡在上下遊企業間傳遞。而此時病毒種類少、危害程度低，加之信息交互基本不涉及生產過程，工業領域的信息安全風險尚未形成實質性威脅。

進入21世紀後，電力
、石油、化工等涉及國計民生且信息化程度較高的工業領域開始關注信息安全問題
，一些企業部署安全監測係統、工業防火牆、工業隔離網關等基礎防護產品。

2005年，原國家電監會發布《電力二次係統安全防護總體規定》，要求生產控製大區和信息管理大區之間必須部署專用安全隔離裝置，是工業領域信息安全工作先行者。

萌芽期（2010-2015年）：從探索工業控製係統信息安全防護起步

隨著大量工業設備
、生產係統與互聯網連接
，病毒、木馬等傳統信息安全威脅開始向工業領域擴散
，工業控製係統信息安全問題日益突出。2010年
，“震網”病bing毒du爆bao發fa並bing造zao成cheng伊yi朗lang上shang千qian台tai離li心xin機ji報bao廢fei

，敲qiao響xiang了le工gong業ye領ling域yu信xin息xi安an全quan的de警jing鍾zhong

，更geng多duo國guo家jia意yi識shi到dao關guan鍵jian工gong業ye係xi統tong感gan染ran病bing毒du的de毀hui滅mie性xing後hou果guo。美mei國guo依yi托tuo新xin成cheng立li的de工gong業ye控kong製zhi係xi統tong網wang絡luo應ying急ji響xiang應ying小xiao組zu（ICS-CERT）
，編製《保護工業控製係統戰略》

，加強對能源、電力等行業的工業控製係統保護。2013年
，歐盟建立Scada Lab實驗室
，開發若幹工業控製安全測試床
，工業控製安全防護技術體係己見雛形。

與此同時，我國也充分認識到工業控製安全的重要性。2011年，工業和信息化部發布《關於加強工業控製係統信息安全管理的通知》
，正式拉開我國工業信息安全工作序幕。2012年
，工業控製安全年度檢查工作啟動，通過對重點行業


、區域、企業的檢查評估
，逐步摸清我國工業控製安全現狀。電力等重點行業越來越重視工業控製安全工作，2014年國家發展改革委發布《電力監控係統安全防護規定》，2015年國家能源局出台《電力監控係統安全防護總體方案》，行業的信息安全管理能力不斷提升。

2009年，我們開始關注工業控製安全問題
，支撐工業和信息化部開展政策研究、檢查評估等工作。2015年，初步建成工業控製安全在線監測平台，具備了信息安全態勢分析、安全檢查、監測預警等方麵的基本服務能力，成長為支撐國家工業控製安全工作的重要力量。

成長期（2016年至今）：積極構建工業信息安全保障體係

suizhegongyeshengchanhuanjingjinyibuzouxiangkaifanghulian，baoluzaihulianwangshangdegongyexinxixitongjishebeishuliangchixushangsheng，gongyexinxianquanshijianpinfa，gongyexinxianquanxingshiriquyanjun。juwomenjiance，2017年全球超過10萬個工業控製係統及設備暴露於互聯網上
，同比增加42.9%；收集研判的工業控製、智能設備、物聯網漏洞中，高危漏洞占59%；惡意軟件“Industroyer”
、僵屍網絡“IoT_reaper”、勒索病毒“WannaCry”等造成大規模停產，給工業企業帶來實質性危害。

伴隨“十三五”開局，我國積極部署製造強國和網絡強國建設，越來越多的工業控製係統與企業管理網之間實現了互聯
、互通、互操作，攻擊者可從研發端、管理端

、消費端
、生產端任意一端對工業控製係統發起攻擊，工業信息安全問題凸顯。近兩年
，工業和信息化部陸續發布《工業控製係統信息安全防護指南》《工業控製係統信息安全行動計劃（2018-2020年）》等政策文件，組織製定《工業控製係統信息安全防護能力分級規範》等國家標準，工業信息安全政策體係日趨完善。同時
，還建立了檢查評估、信息報送
、應急保障等常態化工作機製，多方參與
、上下聯動的工業信息安全管理工作格局基本形成。

2017年，為落實《國務院關於深化製造業與互聯網融合發展的指導意見》，工業和信息化部所屬的電子科學技術情報研究所更名為國家工業信息安全發展研究中心
，成為支撐我國工業信息安全的“國家隊”。我中心研發建設的工控安全監測平台、互聯網工控威脅誘捕分析係統、國家工控安全信息共享平台等技術平台，有效提升了我國工業信息安全評估、監測預警、信息通報、應急響應能力。同年
，我中心發起成立工業信息安全產業發展聯盟，首批成員單位達149家

，推動構建政產學研用協同發展的產業生態。

展望：牢記使命，勇於擔當，開創工業信息安全新局麵

立足現實，我們必須深刻認識到當前還存在工業控製關鍵設備及係統自主研發能力不足
、產業發展不充分
、企業安全意識不足
、人(ren)才(cai)缺(que)口(kou)大(da)等(deng)關(guan)鍵(jian)問(wen)題(ti)。我(wo)們(men)要(yao)以(yi)習(xi)近(jin)平(ping)新(xin)時(shi)代(dai)中(zhong)國(guo)特(te)色(se)社(she)會(hui)主(zhu)義(yi)思(si)想(xiang)和(he)黨(dang)的(de)十(shi)九(jiu)大(da)精(jing)神(shen)為(wei)指(zhi)引(yin)，堅(jian)持(chi)總(zong)體(ti)國(guo)家(jia)安(an)全(quan)觀(guan)，在(zai)工(gong)業(ye)和(he)信(xin)息(xi)化(hua)部(bu)黨(dang)組(zu)統(tong)一(yi)部(bu)署(shu)下(xia)，以(yi)新(xin)時(shi)代(dai)

、新擔當、新作為的曆史責任感

，撲下身子，埋頭苦幹，銳意進取
，從政策標準
、保障能力、技術產業
、人才隊伍等方麵綜合施策，紮實做好新時期工業信息安全工作。

一是健全政策標準體係。圍繞工業互聯網、工業雲
、工業大數據等新技術

、新業態、新模式的安全需求
，健全政策體係，進一步加強安全管理的頂層設計。根據《網絡安全法》研(yan)究(jiu)製(zhi)定(ding)工(gong)業(ye)信(xin)息(xi)安(an)全(quan)領(ling)域(yu)配(pei)套(tao)法(fa)規(gui)文(wen)件(jian)，進(jin)一(yi)步(bu)明(ming)確(que)主(zhu)體(ti)責(ze)任(ren)，指(zhi)導(dao)開(kai)展(zhan)相(xiang)關(guan)工(gong)作(zuo)。不(bu)斷(duan)完(wan)善(shan)工(gong)業(ye)信(xin)息(xi)安(an)全(quan)技(ji)術(shu)標(biao)準(zhun)體(ti)係(xi)，加(jia)快(kuai)製(zhi)定(ding)一(yi)批(pi)急(ji)需(xu)專(zhuan)用(yong)標(biao)準(zhun)。組(zu)織(zhi)開(kai)展(zhan)政(zheng)策(ce)標(biao)準(zhun)宣(xuan)貫(guan)培(pei)訓(xun)，提(ti)升(sheng)行(xing)業(ye)監(jian)管(guan)部(bu)門(men)、工業企業的安全意識和行為規範。

二是提升安全保障能力。加快建設以國家工業信息安全發展研究中心為核心
，涵蓋國家、省級/行業級
、企業級的國家工業信息安全技術綜合保障體係。緊跟信息技術發展，積極推進工業控製係統風險監測
、漏洞挖掘、態勢感知
、仿真測試、安全防護、應急處置等技術手段建設。緊抓工業互聯網發展機遇，著力提升設備接入、平台運行、應用服務
、標識解析和數據安全等綜合安全保障能力。

三是增強產業支撐能力。依托科研機構
、高等院校
、產業聯盟等社會力量，推動產業化資源彙聚整合。著力拓展工業關鍵生產設備、工業軟件
、控製係統的產業化研發和規模化應用，加快主機防護
、網絡防護
、威脅檢測、態tai勢shi感gan知zhi等deng安an全quan防fang護hu技ji術shu的de產chan業ye化hua步bu伐fa，探tan索suo形xing成cheng自zi主zhu工gong業ye信xin息xi安an全quan防fang護hu產chan品pin和he解jie決jue方fang案an。研yan究jiu出chu台tai鼓gu勵li性xing政zheng策ce，培pei育yu一yi批pi工gong業ye信xin息xi安an全quan骨gu幹gan企qi業ye，形xing成cheng大da中zhong小xiao微wei企qi業ye融rong通tong發fa展zhan的de產chan業ye格ge局ju。

四是加強人才隊伍建設。推動工業信息安全相關學科建設
，培養一批工業信息安全專業型、複合型人才，特別重視選拔領軍型技術和管理人才。依托宣貫培訓、技能大賽、攻防演練、論lun壇tan研yan討tao等deng多duo種zhong形xing式shi，普pu及ji工gong業ye信xin息xi安an全quan意yi識shi和he基ji本ben技ji能neng，提ti高gao從cong業ye人ren員yuan技ji術shu素su質zhi。依yi托tuo重zhong點dian工gong業ye信xin息xi安an全quan技ji術shu機ji構gou，打da造zao工gong業ye信xin息xi安an全quan高gao端duan智zhi庫ku和he關guan鍵jian安an全quan技ji術shu保bao障zhang力li量liang
，建jian設she科ke研yan實shi力li雄xiong厚hou、技術能力突出的國家級智庫。

作者為國家工業信息安全發展研究中心主任 尹麗波