最近,工業和信息化部等十部委發(fā)布了《加強工業互聯網安全工作的指導意見》(以下簡稱《指導意見》),闡明了我國(guó)工業互聯網安全工作的總體思路、基本原則和總體目标,完成(chéng)了頂層設計,制定了關鍵任務和保障措施,給未來工業互聯網安全産業發(fā)展和創新指明了方向(xiàng)。
由于我國(guó)工業互聯網核心技術和高端産品對(duì)外依存度較高,《指導意見》強調從夯實設備和控制安全,提升網絡設施安全,強化平台和工業應用程序安全三個方面(miàn)提升企業工業互聯網安全防護水平,進(jìn)一步貫徹落實了《國(guó)務院關于深化“互聯網+先進(jìn)制造業”發(fā)展工業互聯網的指導意見》。
習總書記在“4.19”講話中反複強調:“核心技術受制于人是我們最大的隐患”,“核心技術是國(guó)之重器,最關鍵最核心的技術要立足自主創新、自立自強。市場換不來核心技術,有錢也買不來核心技術,必須靠自己研發(fā)、自己發(fā)展。”習總書記還(hái)以“在别人的牆基上砌房子”爲喻,將(jiāng)核心元器件自主可控的重要性講得一針見血,“如果核心元器件嚴重依賴外國(guó),供應鏈的‘命門’掌握在别人手裡(lǐ),那就(jiù)好(hǎo)比在别人的牆基上砌房子,再大再漂亮也可能(néng)經(jīng)不起(qǐ)風雨,甚至會(huì)不堪一擊”。工業互聯網牽涉到國(guó)家安全等核心利益。因此,與一般網絡應用相比,對(duì)于承載各行各業全方位全天候運作的工業互聯網,其安全性要求也更高,除了安全技術标準高,還(hái)必須特别強調自主可控。近年來在一些國(guó)家發(fā)生的“震網”“火焰”“舒特”等網絡攻擊事(shì)件,都(dōu)表明工業領域的網絡安全問題必須高度重視,自主可控對(duì)國(guó)家工業互聯網安全的重要性日益凸顯。
一、 自主可控是保障工業互聯網安全的關鍵切入點。
工業互聯網作爲新一代網絡信息技術與現代工業融合發(fā)展催生的新事(shì)物,是實現生産制造領域全要素、全産業鏈、全價值鏈連接的關鍵支撐,是工業經(jīng)濟數字化、網絡化、智能(néng)化的重要基礎設施,是互聯網從消費領域向(xiàng)生産領域、從虛拟經(jīng)濟向(xiàng)實體經(jīng)濟拓展的核心載體。工業互聯網安全包括設備、控制、網絡、平台、數據安全,是在對(duì)抗狀态下的安全,存在著(zhe)攻防甚至敵對(duì)關系。所以,重要工業互聯網領域必須做到沒(méi)有後(hòu)門。這(zhè)裡(lǐ)要說(shuō)明的是,後(hòu)門與漏洞是有區别的。後(hòu)門是指那些人爲設置的、能(néng)繞過(guò)安全性控制而獲取對(duì)系統控制或訪問權的秘密機制。設置方可以随時(shí)利用後(hòu)門更改系統設置,使用方很難發(fā)覺。後(hòu)門的危害很大。它就(jiù)好(hǎo)像是被(bèi)人埋下的“定時(shí)炸彈”或“特洛伊木馬”,随時(shí)會(huì)造成(chéng)嚴重損害。後(hòu)門又是可以避免的。隻要是由可信賴的人員,用可信任的軟硬件在嚴格管理下構成(chéng)的系統,就(jiù)可以保證沒(méi)有後(hòu)門。“漏洞”是由于系統存在某種(zhǒng)缺陷,從而使攻擊者能(néng)夠在未被(bèi)授權的情況下進(jìn)行訪問或破壞的機制。漏洞不同于後(hòu)門,它難以避免,隻能(néng)在被(bèi)發(fā)現時(shí)予以修補,在被(bèi)攻擊時(shí)予以加固。
基于上述原因,核心技術自主可控,不受制于人就(jiù)顯得尤爲重要。核心技術是我們最大的“命脈”,實現工業互聯網安全,要盡可能(néng)把關鍵核心技術掌握在自己手裡(lǐ),才能(néng)避免處于被(bèi)動地位。盡管自主可控不等于安全,但它是工業互聯網安全的必要條件。如果信息核心關鍵技術和基礎設施受制于人,那麼(me)由此構成(chéng)的信息系統就(jiù)像沙灘上的建築,在遭到攻擊時(shí)頃刻間便會(huì)土崩瓦解。網絡安全與傳統安全概念不同。傳統安全是在自然環境下的安全,在這(zhè)種(zhǒng)環境下不存在人爲對(duì)抗,而網絡安全是在對(duì)抗環境下的安全,一般存在著(zhe)人爲對(duì)抗,形成(chéng)攻防兩(liǎng)方。傳統安全往往可以度量、預測,态勢較少變化,而網絡安全、信息安全取決于對(duì)抗情況,往往難以度量、預測,态勢快速變化。對(duì)于傳統安全而言,選取技術、産品和服務等等,主要依據性價比。但對(duì)于網絡安全而言,因爲存在著(zhe)攻防兩(liǎng)方,所以工業互聯網關鍵核心技術設備和服務的選取首先是考察能(néng)否自主可控,這(zhè)一要求往往比性價比更重要。可以說(shuō),自主可控是保障工業互聯網安全的首要前提。
二、 國(guó)産自主可控替代成(chéng)爲推進(jìn)工業互聯網安全的核心主陣地。
我國(guó)關鍵信息基礎設施對(duì)外依存度高,工信部對(duì)全國(guó)30多家大型企業130多種(zhǒng)關鍵基礎材料調研結果顯示,32%的關鍵材料在中國(guó)仍爲空白,52%依賴進(jìn)口,絕大多數計算機和服務器通用處理器95%的高端專用芯片、70%以上智能(néng)終端處理器以及絕大多數存儲芯片依賴進(jìn)口。在裝備制造領域,高檔數控機床、高檔裝備儀器、運載火箭、大飛機、航空發(fā)動機、汽車等關鍵件精加工生産線上逾95%制造及檢測設備依賴進(jìn)口。
習總書記在關于網信工作的系列講話之中,強調了不止一次“加快推進(jìn)國(guó)産自主可控替代計劃,構建安全可控的信息技術體系”。關于網絡安全信息化的一個重要指示,其中提到了要加快推進(jìn)國(guó)産自主可控的替代計劃,就(jiù)是國(guó)産的産品進(jìn)入市場要有替代能(néng)力,要有個計劃去替代它,替代壟斷的外國(guó)的産品。我們當前所處的階段,就(jiù)是從跟跑到并跑,進(jìn)一步到領跑,這(zhè)個曆史階段我們始終要強調國(guó)産自主可控的替代,要不這(zhè)個市場你進(jìn)不去。在今後(hòu)相當長(cháng)的時(shí)期裡(lǐ),工業領域國(guó)産軟硬件對(duì)原先市場壟斷者的替代將(jiāng)是中國(guó)的常态。在三、五年甚至幾十年,要實現對(duì)外國(guó)跨國(guó)公司壟斷産品的替代。
如果中國(guó)在網絡安全空間不能(néng)實現技術的自主可控,將(jiāng)會(huì)有很大風險。目前“穿馬甲”情況值得關注,不能(néng)自主可控的外國(guó)技術假冒國(guó)産自主可控技術混入政府采購和重要領域,很可能(néng)成(chéng)爲特洛伊木馬,嚴重影響工業互聯網領域的健康良性發(fā)展。習總書記要求加快推進(jìn)國(guó)産自主可控的替代計劃,是我們推進(jìn)工業互聯網安全的必由之路。
三、 自主可控評估标準體系是完善工業互聯網安全的創新發(fā)力點。
人們在工業互聯網領域自主可控的觀念尚不夠強,供應鏈存在風險,不能(néng)及時(shí)發(fā)現短闆,容易被(bèi)人“卡脖子”,中興事(shì)件說(shuō)明網絡安全不可疏忽,相關技術産品必須實現安全可控,即自主可控、安全可靠(或安全可信)。爲了保障工業互聯網安全,我國(guó)制訂自主可控測評評估标準意義重大,勢在必行。如同性能(néng)指标、經(jīng)濟指标,自主可控作爲一種(zhǒng)屬性是可評估的,旨在客觀、科學(xué)地從知識産權、技術能(néng)力、發(fā)展主動權、供應鏈安全和“國(guó)産”資質等多方面(miàn)進(jìn)行考量自主可控程度,形成(chéng)制度保障。在事(shì)關網絡安全的重大問題上,自主可控測評應當起(qǐ)到“一票否決”的作用。近來随著(zhe)中美貿易摩擦的發(fā)展,自主可控評估問題也需要适應新的情況。例如,現在“美國(guó)技術含量”超過(guò) 25% 的産品都(dōu)受到美國(guó)的“出口管制”。換言之,根源在美國(guó)的技術發(fā)展(包括制造地位于美國(guó)、技術源于美國(guó),以及國(guó)外制造但源自美國(guó)的内容),就(jiù)會(huì)被(bèi)計入屬地比重,範圍包括IP與相關核心技術,若美國(guó)成(chéng)分超過(guò)25%,就(jiù)會(huì)受到美國(guó)法律的管轄。因此,我們需要嚴格地對(duì)那些“引進(jìn)”或“合作”的技術産品進(jìn)行自主可控測評,防止那些“美國(guó)技術含量”遠遠超過(guò)25%的技術産品通過(guò)“穿馬甲”,被(bèi)引入工業互聯網的基礎設施和重要系統,構成(chéng)重大的安全隐患。