編者按：近日，工信部等十部門聯合印發《加強工業互聯網安全工作的指導意見》
，明確了構建工業互聯網安全保障體係的主要任務。提出了具體目標，到2020年底，初步建成國家工業互聯網安全技術保障平台、基礎資源庫和安全測試驗證環境。本報特邀行業專家撰文解讀指導意見。

國務院印發的《關於深化“互聯網+先進製造業”發展工業互聯網的指導意見》指出，工業互聯網通過係統構建網絡、平台、安全三大功能體係
，打造人、機、物wu全quan麵mian互hu聯lian的de新xin型xing網wang絡luo基ji礎chu設she施shi，形xing成cheng智zhi能neng化hua發fa展zhan的de新xin興xing業ye態tai和he應ying用yong模mo式shi
，是shi推tui進jin製zhi造zao強qiang國guo和he網wang絡luo強qiang國guo建jian設she的de重zhong要yao基ji礎chu，是shi全quan麵mian建jian成cheng小xiao康kang社she會hui和he建jian設she社she會hui主zhu義yi現xian代dai化hua強qiang國guo的de有you力li支zhi撐cheng。

jinnianlai，lianghuashenduronghecuishenghulianwangzaigongyekongzhixitongzhongdeyingyong

，dapolechuantonggongyekongzhixitongxiangduifengbikexindehuanjing，jianghulianwangshangdechuantonganquanweixieshentoujinlegongyelingyu，shidewangluoxinggongjikeyizhidashengchanxianchang，zaochengshengchanzhongduanshenzhiweijirenyuanshengming。zhenduigongyekongzhixitongdegezhonganquanshijianriyizengduo。liru，wukelanlvqizhanbeigongji、委內瑞拉全國性斷電等安全事件，目前通過網絡攻擊
，“勒索病毒”可以直接利用被控製的控製器進行勒索，在工廠側
，被“鎖屏勒索”的安全事件也屢見不鮮。

近日
，工業和信息化部等十部委共同印發的《加強工業互聯網安全工作的指導意見》為wei工gong業ye互hu聯lian網wang安an全quan能neng力li建jian設she提ti出chu了le有you效xiao的de發fa展zhan思si路lu
，遵zun循xun其qi任ren務wu內nei容rong和he指zhi導dao思si想xiang，中zhong國guo軟ruan件jian評ping測ce中zhong心xin結jie合he自zi身shen測ce評ping服fu務wu實shi踐jian
，不bu斷duan強qiang化hua能neng力li建jian設she，為wei我wo國guo工gong業ye互hu聯lian網wang安an全quan進jin行xing保bao障zhang。

從工控本質看工業互聯網安全挑戰

工gong業ye控kong製zhi係xi統tong的de本ben質zhi目mu標biao是shi控kong製zhi，互hu聯lian網wang的de核he心xin目mu標biao是shi交jiao換huan。相xiang較jiao於yu傳chuan統tong互hu聯lian網wang采cai用yong平ping等deng關guan係xi的de點dian對dui點dian傳chuan輸shu模mo式shi，工gong業ye互hu聯lian網wang多duo采cai用yong基ji於yu主zhu從cong關guan係xi的de非fei對dui等deng網wang絡luo。工gong業ye互hu聯lian網wang麵mian臨lin的de安an全quan挑tiao戰zhan需xu從cong工gong業ye控kong製zhi係xi統tong的de安an全quan防fang護hu能neng力li的de視shi角jiao來lai看kan。從cong工gong業ye控kong製zhi係xi統tong設she計ji思si路lu上shang看kan，工gong業ye控kong製zhi係xi統tong的de傳chuan統tong設she計ji都dou是shi使shi用yong專zhuan用yong的de相xiang對dui封feng閉bi可ke信xin的de通tong信xin線xian路lu。但dan隨sui著zhe工gong業ye控kong製zhi係xi統tong向xiang互hu聯lian網wang的de轉zhuan移yi，與yu企qi業ye其qi他ta業ye務wu應ying用yong程cheng序xu的de整zheng合he，也ye越yue來lai越yue容rong易yi遭zao遇yu來lai自zi互hu聯lian網wang的de攻gong擊ji，暴bao露lu了le許xu多duo先xian天tian缺que陷xian。比bi如ru基ji於yu離li線xian係xi統tong技ji術shu要yao求qiu的de設she計ji思si路lu
，沒mei有you考kao慮lv規gui劃hua設she計ji安an全quan防fang護hu機ji製zhi;比(bi)如(ru)由(you)於(yu)控(kong)製(zhi)器(qi)的(de)弱(ruo)計(ji)算(suan)力(li)，隻(zhi)設(she)計(ji)了(le)對(dui)於(yu)弱(ruo)計(ji)算(suan)力(li)的(de)防(fang)護(hu)機(ji)製(zhi)。從(cong)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)運(yun)維(wei)來(lai)看(kan)
，很(hen)多(duo)企(qi)業(ye)出(chu)於(yu)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)是(shi)封(feng)閉(bi)的(de)考(kao)慮(lv)

，開(kai)放(fang)了(le)遠(yuan)程(cheng)調(tiao)試(shi)功(gong)能(neng)，同(tong)時(shi)沒(mei)有(you)考(kao)慮(lv)遠(yuan)程(cheng)調(tiao)試(shi)的(de)訪(fang)問(wen)控(kong)製(zhi)，很(hen)多(duo)攻(gong)擊(ji)是(shi)利(li)用(yong)了(le)遠(yuan)程(cheng)調(tiao)試(shi)的(de)訪(fang)問(wen)控(kong)製(zhi)漏(lou)洞(dong)實(shi)現(xian)滲(shen)透(tou)。從(cong)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)通(tong)信(xin)協(xie)議(yi)看(kan)

，絕(jue)大(da)多(duo)數(shu)的(de)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)通(tong)信(xin)協(xie)議(yi)，設(she)計(ji)之(zhi)初(chu)都(dou)未(wei)考(kao)慮(lv)機(ji)密(mi)性(xing)問(wen)題(ti)，基(ji)本(ben)采(cai)用(yong)明(ming)文(wen)傳(chuan)輸(shu)
，且(qie)國(guo)內(nei)尚(shang)未(wei)建(jian)立(li)自(zi)有(you)的(de)、安全的工業互聯網通信協議
、數據交換協議。

當前，麵臨嚴峻的工業互聯網安全挑戰，很多工業控製係統查漏補缺存在難度，是長久戰。明確責任，建立規範安全規程、操作準則和安全管理體係，加強意識宣貫和人才培育
，逐步完善工業互聯網安全體係，顯得尤為重要。

從工業互聯網安全指導意見看能力提升舉措

為深入貫徹習近平新時代中國特色社會主義思想和黨的十九大精神，全麵落實《國務院關於深化“互聯網+先進製造業”發展工業互聯網的指導意見》(以下簡稱《指導意見》)bushuyaoqiu，jiakuaigoujiangongyehulianwanganquanbaozhangtixi，tishenggongyehulianwanganquanbaozhangnengli，cujingongyehulianwanggaozhiliangfazhan，tuidongxiandaihuajingjitixijianshe
，huhangzhizaoqiangguohewangluoqiangguozhanlveshishi
，gongyehexinxihuabuhuitongyouguanbumenqicaofabule《關於加強工業互聯網安全工作的指導意見》。

《指導意見》指出了企業、監管部門和專業機構的能力建設方向。在企業側，針對工業設備
、工業網絡、工業互聯網平台和工業APP四方麵指導工業企業強化防護能力。強化工業設備的安全接入和防護，提升設備和控製係統的本質安全;強化工業互聯網安全，提升企業內外網的安全防護能力;強化平台安全
，針對邊緣層、IaaS層、工業PaaS層
、工業SaaS層分層部署安全防護措施;強化工業APP安全，建立健全工業APP應用前安全檢測機製，強化應用過程中用戶信息和數據安全保護。在監管部門側，建設國家、省、企業三級協同的工業互聯網安全技術保障平台，強化地方、企業與國家平台之間的係統對接、數據共享
、業務協作
，打造整體態勢感知、信xin息xi共gong享xiang和he應ying急ji協xie同tong能neng力li。在zai專zhuan業ye機ji構gou側ce，指zhi導dao第di三san方fang專zhuan業ye機ji構gou建jian設she工gong業ye互hu聯lian網wang企qi業ye持chi續xu開kai展zhan安an全quan能neng力li評ping測ce評ping估gu服fu務wu能neng力li。鼓gu勵li建jian設she檢jian測ce評ping估gu、安全監測、攻防測試、應急響應等公共服務能力，麵向機械製造、電子信息、汽車
、石油化工等行業領域提供安全診斷評估

、安全谘詢、數據保護
、代碼檢查
、係統加固、雲端防護等服務。

《指導意見》tichulemingquezeren，wanshananquanguanlitixi。luoshiqiyezhutizeren
，qiyemingquegongyehulianwanganquanzerenbumenhezerenren
，jianlianquanshijianbaogaohewenzejizhi，baozhanggongyehulianwanganquanwendingyunxing。goujiangongyehulianwanganquanguanlitixi。qiyeyingweiraogongyehulianwanganquanjiandujianzha、風險評估、數據保護
、信息共享和通報
、應(ying)急(ji)處(chu)置(zhi)等(deng)方(fang)麵(mian)建(jian)立(li)健(jian)全(quan)安(an)全(quan)管(guan)理(li)製(zhi)度(du)和(he)工(gong)作(zuo)機(ji)製(zhi)，強(qiang)化(hua)對(dui)企(qi)業(ye)的(de)安(an)全(quan)監(jian)管(guan)。明(ming)確(que)政(zheng)府(fu)監(jian)督(du)管(guan)理(li)責(ze)任(ren)，工(gong)業(ye)和(he)信(xin)息(xi)化(hua)部(bu)組(zu)織(zhi)開(kai)展(zhan)工(gong)業(ye)互(hu)聯(lian)網(wang)安(an)全(quan)相(xiang)關(guan)政(zheng)策(ce)製(zhi)定(ding)、標準研製等綜合性工作
，並開展行業指導
、監管。地方工業和信息化主管部門指導本行政區域內應用工業互聯網的工業企業的安全工作
，同步推進安全產業發展;地方通信管理局監管本行政區域內標識解析係統、公共工業互聯網平台等的安全工作
，並在公共互聯網上對聯網設備、係統等進行安全監測。生態環境、衛生健康、能源
、國防科工等部門根據各自安全管理職責
，開展本行業領域工業互聯網推廣應用的安全指導

、監管工作。

《指導意見》提出了加快安全人才培養。深入推進產教融合
、校企合作，建立安全人才聯合培養機製，培養複合型、創新型高技能人才。開展工業互聯網安全宣傳教育，提升企業和相關從業人員安全意識。

以測促用助力工業互聯網安全能力建設

在《指導意見》的主要任務中
，提出了加強工業互聯網安全公共服務能力
，開展工業互聯網安全評估認證，鼓勵和支持專業機構、安全企業等建設檢測評估
、安全監測
、攻防測試
、應急響應等公共服務平台
，麵向多個行業領域提供安全診斷評估
、安全谘詢、數據保護、代碼檢查、係統加固、雲(yun)端(duan)防(fang)護(hu)等(deng)服(fu)務(wu)。中(zhong)國(guo)電(dian)子(zi)信(xin)息(xi)產(chan)業(ye)發(fa)展(zhan)研(yan)究(jiu)院(yuan)依(yi)托(tuo)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)安(an)全(quan)測(ce)評(ping)共(gong)性(xing)技(ji)術(shu)工(gong)信(xin)部(bu)重(zhong)點(dian)實(shi)驗(yan)室(shi)，通(tong)過(guo)已(yi)建(jian)設(she)的(de)國(guo)家(jia)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)安(an)全(quan)公(gong)共(gong)技(ji)術(shu)服(fu)務(wu)、可編程邏輯控製器(PLC)安全仿真測試、工控係統通信總線安全仿真測試、主動式工控設備安全檢測及態勢感知平台等國家級平台，開展了石油石化
、軌道交通、電力電網
、鋼鐵、汽車、水處理
、有色等行業領域的質量驗收
、安全測評
、滲透測試、標準編製、方案及設計谘詢、專項培訓、應急演練等服務，支撐部委開展工業控製係統安全檢查和安全防護能力驗證，承擔國家重大活動安全保衛工作。

通過開展工業互聯網和工業控製係統安全測評工作，以測促用
、以測促改
，全麵推進指導意見的實施，提升我國工業互聯網的安全能力。