4月9日，由人民日報社《中國經(jīng)濟(jì)周刊》旗下的中國經(jīng)濟(jì)研究院主辦、匡恩網(wǎng)絡(luò)智能工業(yè)安全研究院協(xié)辦的“新經(jīng)濟(jì)圓桌會議：工業(yè)控制網(wǎng)絡(luò)安全”，在北京舉行。

來自中央網(wǎng)信辦、國家發(fā)改委、國資委、科技部、國家能源局，中國互聯(lián)網(wǎng)發(fā)展基金會、全國信息安全標(biāo)準(zhǔn)化委員會、中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟，民銀國際投資有限公司、北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司等部門、機(jī)構(gòu)的各界專家，匯聚一堂，就目前國際安全新趨勢、我國工業(yè)控制網(wǎng)絡(luò)安全面臨的挑戰(zhàn)和機(jī)遇、以及如何促進(jìn)工控網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展等，進(jìn)行了交流、研討。以下為與會專家的發(fā)言摘要。

與會專家：

胥和平：工控網(wǎng)絡(luò)安全問題已成為網(wǎng)絡(luò)經(jīng)濟(jì)的一個重大問題

這次新經(jīng)濟(jì)圓桌會議選擇了一個重大話題：工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全。

2015年國家明確提出“互聯(lián)網(wǎng)+”、“中國制造2025”等重大戰(zhàn)略舉措，十八屆五中全會和“十三五”規(guī)劃明確指出，把拓展網(wǎng)絡(luò)發(fā)展空間作為一個重大戰(zhàn)略舉措。一年多來，“互聯(lián)網(wǎng)+”在各個領(lǐng)域的深度滲透，廣泛推進(jìn)，已經(jīng)取得了明顯的成效，大家一直在期待一個萬物互聯(lián)、互聯(lián)互通的社會，期待一個基于“互聯(lián)網(wǎng)+”的新的經(jīng)濟(jì)形態(tài)出現(xiàn)。但當(dāng)所有設(shè)備、所有系統(tǒng)互聯(lián)互通以后，安全問題就至關(guān)重要。

一個小小的病毒、一個網(wǎng)絡(luò)的漏洞就可以導(dǎo)致大型工業(yè)系統(tǒng)、大型基礎(chǔ)設(shè)施運轉(zhuǎn)出現(xiàn)巨大的經(jīng)濟(jì)損失。這些問題成為網(wǎng)絡(luò)經(jīng)濟(jì)的一個重大問題，也成為發(fā)展互聯(lián)網(wǎng)經(jīng)濟(jì)的重要基礎(chǔ)。

何幫喜：從戰(zhàn)略高度加強工業(yè)控制網(wǎng)絡(luò)安全頂層設(shè)計，明確責(zé)任部門

過去我當(dāng)過商會會長，對工業(yè)領(lǐng)域很熟悉。我們經(jīng)常遇到這樣的事兒：很多企業(yè)在招標(biāo)過程中，在實施技術(shù)過程中，突然計算機(jī)的機(jī)密文件、數(shù)據(jù)被盜。企業(yè)很著急，但無法解決。后來，經(jīng)過調(diào)研，我了解到這屬于工控網(wǎng)絡(luò)安全問題。而且，還是非常普遍的現(xiàn)象。

今年全國兩會召開前，我們經(jīng)過調(diào)研和專家指導(dǎo)，寫了《關(guān)于加強我國工控網(wǎng)絡(luò)安全，應(yīng)納入國家戰(zhàn)略的建議》的提案，多名政協(xié)委員聯(lián)名提交。同時，十幾名人大代表也聯(lián)名提交了關(guān)于工控網(wǎng)絡(luò)安全的議案。

我們的主要建議是：從國家戰(zhàn)略高度加強工業(yè)控制網(wǎng)絡(luò)安全頂層設(shè)計，明確責(zé)任部門；建立完備的工控網(wǎng)絡(luò)安全體系，掌握芯片級核心技術(shù)；大力扶持新興工控網(wǎng)絡(luò)安全企業(yè)，鼓勵技術(shù)創(chuàng)新和產(chǎn)業(yè)化；在各行業(yè)建設(shè)中同步進(jìn)行工控網(wǎng)絡(luò)安全規(guī)劃和驗收等。

董寶青：工控安全難度最大，相信未來幾年內(nèi)會扭轉(zhuǎn)現(xiàn)狀

萬物互聯(lián)的時代，我們從過去關(guān)注互聯(lián)網(wǎng)安全、信息系統(tǒng)安全轉(zhuǎn)向最底層次、最難的工控安全，因為它要解決信息空間跟物理、機(jī)械的融合問題。

首先，在國家頂層設(shè)計方面，目前看，比較清晰。大家也都非常關(guān)注和重視。其次，微觀層面，所有的工業(yè)企業(yè)或者產(chǎn)業(yè)系統(tǒng)、實體經(jīng)濟(jì)體系，都要建立信息安全管理制度和組織落實制度。第三，要建立技術(shù)供應(yīng)鏈全生命周期、全環(huán)節(jié)的把控能力，實施國產(chǎn)替代、自主可控、安全可靠的思路，打造我們的技術(shù)供應(yīng)產(chǎn)業(yè)鏈。第四，要建立日常的維護(hù)制度、運營制度、巡查制度等。第五，建立一些應(yīng)急支援的隊伍力量。第六，大力發(fā)展產(chǎn)業(yè)隊伍。

我們在工業(yè)控制系統(tǒng)的市場占有率還不到10%，相信未來幾年，通過企業(yè)的努力，國家政策制度的建立，能夠扭轉(zhuǎn)這種形勢，安全可控、自主可控，能夠放心地發(fā)展經(jīng)濟(jì)。

徐建平：首先要加強系統(tǒng)性的謀劃和頂層設(shè)計

當(dāng)前我們在網(wǎng)絡(luò)安全方面面臨幾個問題：一、安全問題的認(rèn)識問題。應(yīng)該從根本上解決，建立容錯機(jī)制。二、政策上也有很多需要完善的地方。比如推動自主化，真正的支持措施少。三、整個大的制造業(yè)大而不強。四、部門之間協(xié)同性要進(jìn)一步加強。五、工業(yè)控制系統(tǒng)安全管理還存在很多缺陷。

我們應(yīng)該加強系統(tǒng)性的謀劃和頂層設(shè)計。我個人認(rèn)為，部門之間雖然已經(jīng)形成了一個相應(yīng)的工作機(jī)制，但是離真正的加強安全管理要求，還差得很遠(yuǎn)，還有很大的空間。首先，在規(guī)劃上，要真正把工業(yè)控制網(wǎng)絡(luò)安全納入到各級規(guī)劃當(dāng)中去。其次，突出重點，集中優(yōu)勢，突破關(guān)鍵。實質(zhì)上就是要強化自主創(chuàng)新能力，落到實處。第三，加強法律法規(guī)的建設(shè)，通過法規(guī)的形式為信息安全、安全能力的建設(shè)提供保障。第四，加強社會安全意識教育。

劉育新：國家如何支持、民企怎么進(jìn)入，都需要認(rèn)真研究

在國家科技管理體制發(fā)生變化、發(fā)生改革的情況下，對于工業(yè)控制網(wǎng)絡(luò)安全怎么支持，是值得研究的問題。工業(yè)控制網(wǎng)絡(luò)安全還有行業(yè)性的問題，不同行業(yè)要求不一樣。應(yīng)用基礎(chǔ)性的研究怎么支持？政府的錢是有限的，這是一個導(dǎo)向作用的錢，政府支持哪個領(lǐng)域，市場上資金就會注意這個方向。

此外，這個技術(shù)或者產(chǎn)業(yè)發(fā)展起來，需要有競爭，是開放性的。網(wǎng)絡(luò)安全的天然屬性就是封閉性、體系性，因為它涉及到保密等問題。民營企業(yè)和社會資本怎么進(jìn)入，政府的管理門檻怎么降低，這是需要認(rèn)真考慮的。競爭不競爭，有時候差距很大。

孫耀唯：能源領(lǐng)域是公共系統(tǒng)網(wǎng)絡(luò)安全的重要方面，我們不能輕視

能源系統(tǒng)對工控系統(tǒng)安全是比較重視的，這些年在工信部的支持指導(dǎo)下做了很多工作。比如一些預(yù)測預(yù)警，包括信息通報，也做過一些執(zhí)法檢查，還有專項監(jiān)管。在國產(chǎn)化方面，我們也做了很多嘗試和推廣，包括裝備，風(fēng)電、水電、火電都在國產(chǎn)化，國產(chǎn)率越來越高。

從行業(yè)角度來講：一、我們要培養(yǎng)安全意識，今后將加強教育和宣傳。二、頂層設(shè)計分工。國家總體有籌劃、部署、規(guī)劃；分行業(yè)建立一個完整的規(guī)劃；地方公安系統(tǒng)都有網(wǎng)絡(luò)安全測試實驗室，但還要加上企業(yè)。三、人才培養(yǎng)方面，我們一直很重視加強專業(yè)性的培養(yǎng)，每個崗位不僅要有安全意識，還要有操作意識。四、監(jiān)管層面，要加強政府的作用，監(jiān)管隊伍、監(jiān)管素質(zhì)、監(jiān)管手段上了之后，會發(fā)揮很多的作用。

能源領(lǐng)域是公共系統(tǒng)網(wǎng)絡(luò)安全的重要方面，我們不能輕視，也正在加強，希望有關(guān)方面繼續(xù)給與支持。

張銘：立法要細(xì)，規(guī)劃要明確，設(shè)備必須國產(chǎn)化

要用發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)的模式，解決中國網(wǎng)絡(luò)安全問題。我認(rèn)為，在工業(yè)領(lǐng)域，用產(chǎn)業(yè)網(wǎng)絡(luò)控制安全的概念更好，產(chǎn)業(yè)不只是工業(yè)，還有其他的。中國有一個非常大的網(wǎng)絡(luò)安全產(chǎn)業(yè)。這個領(lǐng)域會誕生非常大的企業(yè)，一定要把這個產(chǎn)業(yè)發(fā)展好。

怎么發(fā)展產(chǎn)業(yè)，我提幾點建議。

第一，立法必須要有。我們現(xiàn)在有一個網(wǎng)絡(luò)安全征求意見稿。法律一定要細(xì)，如果大的法律解決不了問題，實施細(xì)則就一定要細(xì)，一定要能夠操作。這么大的一個產(chǎn)業(yè)，如果用市場經(jīng)濟(jì)的辦法來解決，首先要把法規(guī)制定好。

第二，需要一個工控網(wǎng)絡(luò)方面的規(guī)劃。這個規(guī)劃必須要明確目標(biāo)、部門之間協(xié)作、政策支持、后續(xù)保障、協(xié)調(diào)機(jī)制等等。企業(yè)有企業(yè)的定位，政府有政府的定位，制定好目標(biāo)，就會有監(jiān)督，有檢查，很多事情才能落實到位。

第三，自主知識產(chǎn)權(quán)核心設(shè)備國產(chǎn)化，這個必須要解決。

第四，意識培訓(xùn)，大家都用互聯(lián)網(wǎng)，大家要有網(wǎng)絡(luò)安全的意識。我覺得這部分，政府應(yīng)該拿點錢，企業(yè)也會愿意拿點錢，把這個錢給行業(yè)協(xié)會，讓它組織培訓(xùn)。

秦昌桂：工業(yè)控制網(wǎng)絡(luò)安全，關(guān)鍵是人才

關(guān)于公共安全，工業(yè)控制網(wǎng)絡(luò)安全已經(jīng)作為網(wǎng)絡(luò)安全，也是作為國家安全，納入國家最高戰(zhàn)略，凡是自動化程度越高，智能化程度越高，它的安全更危險。工業(yè)控制網(wǎng)絡(luò)安全的重要性是顯而易見的。但關(guān)鍵一點還是人才，你講國產(chǎn)化也好，什么也好，講到底就是人才。安全體系一定是要有自己的產(chǎn)品、自己的技術(shù)。工業(yè)控制網(wǎng)絡(luò)安全的企業(yè)，從國家層面來講，一定要自主培養(yǎng)人才。

網(wǎng)絡(luò)安全方面，大家對信息安全是主動防守，強調(diào)得更重要，對自動化特別是生產(chǎn)領(lǐng)域、經(jīng)濟(jì)領(lǐng)域是忽視的。不要擴(kuò)大威脅，但是也不要忽視威脅，還要考慮自身的防御。你的病毒、漏洞自己可以破壞你自己的體系。從我們基金會來講，一定要利用社會的力量，除了加大對網(wǎng)絡(luò)安全宣傳周支持，我們重點支持網(wǎng)絡(luò)安全人才的培養(yǎng)，人是最根本的。

高林：關(guān)于加強信息安全標(biāo)準(zhǔn)化工作的指導(dǎo)意見今年會很快出臺

做好工業(yè)控制網(wǎng)絡(luò)安全，需要從幾個方面分析：

一是法規(guī)和機(jī)制層面。具體到工控網(wǎng)絡(luò)安全的事情上，在操作層面還需要進(jìn)一步明確各有關(guān)部門、組織的職責(zé)。二是標(biāo)準(zhǔn)的事情。2012年國家成立了全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會，形成這么一個架構(gòu)，就是要協(xié)調(diào)標(biāo)準(zhǔn)化的事情。組織上有了，做的過程中也是一個逐漸深入的過程。今年馬上要出一個政策，關(guān)于加強信息安全標(biāo)準(zhǔn)化工作的指導(dǎo)意見，會進(jìn)一步加強工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)統(tǒng)籌。這里面很重要的一個問題，主要的核心是工控系統(tǒng)網(wǎng)絡(luò)安全防控的要求。三是規(guī)劃層面。要做好技術(shù)保障，有很多需要在國家層面布局的，要有一批隊伍做這個事情，不能光靠政府，光靠職能部門。四是監(jiān)管層面。首先要在整個國家網(wǎng)絡(luò)安全審查制度框架之下做工控產(chǎn)品的安全審查。另外就是系統(tǒng)檢查，要明確主體責(zé)任，主體責(zé)任一定是系統(tǒng)的擁有者、運營者。五是服務(wù)層面，現(xiàn)在有很多協(xié)會和第三方機(jī)構(gòu)組織做一些服務(wù)，包括政府支持在一些單位建立通信通報、共享、追蹤等服務(wù)。

陳興躍：我們就做兩件事，一是搭建橋梁，二是建設(shè)平臺

從聯(lián)盟的角度來講，我們就做兩件事，一是搭建橋梁，二是建設(shè)平臺。所謂橋梁，就是作為產(chǎn)業(yè)和部門對接的橋梁、產(chǎn)業(yè)合作的橋梁。所謂平臺，就是聚集整個產(chǎn)業(yè)的資源，集中力量做大事。以標(biāo)準(zhǔn)工作為例，產(chǎn)業(yè)聯(lián)盟推進(jìn)標(biāo)準(zhǔn)工作有先天的優(yōu)勢?？偠灾?，產(chǎn)業(yè)聯(lián)盟工作要代表網(wǎng)絡(luò)安全產(chǎn)業(yè)的水平。

剛才有嘉賓提到資金的問題，聯(lián)盟會員中有很多中小企業(yè)，他們有非常強的資金需要。會員企業(yè)希望在聯(lián)盟平臺上做一個產(chǎn)業(yè)的創(chuàng)新基金，在聯(lián)盟平臺上發(fā)現(xiàn)好的創(chuàng)新團(tuán)隊和創(chuàng)新技術(shù)，開展專項對接扶持。

孫一桉：希望政策方面能幫助我們穿透設(shè)備供應(yīng)商這“最后一道門”

工控網(wǎng)絡(luò)安全技術(shù)是衡量一個國家綜合實力的重要組成部分，也是國家安全的重要組成部分。工業(yè)控制系統(tǒng)解決安全問題特別難，它不是拿一個簡單信息安全的手段加一個工業(yè)的殼就可以解決，它必須和各個行業(yè)深入對接。

我們在推廣過程中有一個巨大的障礙，就是設(shè)備供應(yīng)商。國產(chǎn)設(shè)備供應(yīng)商是比較開放的，但在國外的設(shè)備供應(yīng)商那里遭遇了很大的阻力，這對我們是潛在的、巨大的危害。我們不能走到互聯(lián)網(wǎng)安全那條老路上去，讓設(shè)備供應(yīng)商自己做系統(tǒng)的安全維護(hù)，后門都打開了，還全然不知。所以，在這個領(lǐng)域，我強烈呼吁各方能一同協(xié)力，穿透“最后一道門”，讓設(shè)備供應(yīng)商開放出來，用自主可控的安全手段來解決安全問題，不要重蹈過去互聯(lián)網(wǎng)安全的覆轍。

工業(yè)網(wǎng)絡(luò)安全，是信息安全與工業(yè)自動化的跨學(xué)科的集成，涉及到國家安全、經(jīng)濟(jì)安全、民生安全，是新經(jīng)濟(jì)時代一個基礎(chǔ)性的、亟待解決的問題，需要各級政府部門、各行業(yè)一起來加速推動。

白津夫：網(wǎng)絡(luò)經(jīng)濟(jì)安全不是網(wǎng)絡(luò)安全，須采取新舉措

工業(yè)控制網(wǎng)絡(luò)安全，強調(diào)的是網(wǎng)絡(luò)經(jīng)濟(jì)層面，網(wǎng)絡(luò)經(jīng)濟(jì)安全不是一般意義上的網(wǎng)絡(luò)安全。隨著“互聯(lián)網(wǎng)+”和網(wǎng)絡(luò)經(jīng)濟(jì)不斷發(fā)展，網(wǎng)絡(luò)安全風(fēng)險不斷放大，切不可掉以輕心。

應(yīng)對這樣一個復(fù)雜的局面，要有一些新的舉措。一是深化工控網(wǎng)絡(luò)安全的研究，加大宣傳力度，進(jìn)一步增加社會共識。二是加快制定國家網(wǎng)絡(luò)經(jīng)濟(jì)安全的標(biāo)準(zhǔn)。三是提高技術(shù)手段和防御能力，重點支持本土技術(shù)的創(chuàng)新和產(chǎn)業(yè)化。四是建立工控安全責(zé)任體系，從政府層面、企業(yè)層面如何來固化體系合理分工、合理推進(jìn)。五是建立完備的工控網(wǎng)絡(luò)安全體系，要技術(shù)設(shè)備一體化，要解決工控設(shè)備結(jié)構(gòu)安全、本體安全、行為安全，實現(xiàn)基因安全和運行維護(hù)的可持續(xù)性。

更多資訊，請關(guān)注工業(yè)安全頻道。