最近,工業(yè)和信息化部等十部委發(fā)布了《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》(以下簡(jiǎn)稱《指導(dǎo)意見》),闡明了我國(guó)工業(yè)互聯(lián)網(wǎng)安全工作的總體思路、基本原則和總體目標(biāo),完成了頂層設(shè)計(jì),制定了關(guān)鍵任務(wù)和保障措施,給未來(lái)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)發(fā)展和創(chuàng)新指明了方向。
由于我國(guó)工業(yè)互聯(lián)網(wǎng)核心技術(shù)和高端產(chǎn)品對(duì)外依存度較高,《指導(dǎo)意見》強(qiáng)調(diào)從夯實(shí)設(shè)備和控制安全,提升網(wǎng)絡(luò)設(shè)施安全,強(qiáng)化平臺(tái)和工業(yè)應(yīng)用程序安全三個(gè)方面提升企業(yè)工業(yè)互聯(lián)網(wǎng)安全防護(hù)水平,進(jìn)一步貫徹落實(shí)了《國(guó)務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》。
習(xí)總書記在“4.19”講話中反復(fù)強(qiáng)調(diào):“核心技術(shù)受制于人是我們最大的隱患”,“核心技術(shù)是國(guó)之重器,最關(guān)鍵最核心的技術(shù)要立足自主創(chuàng)新、自立自強(qiáng)。市場(chǎng)換不來(lái)核心技術(shù),有錢也買不來(lái)核心技術(shù),必須靠自己研發(fā)、自己發(fā)展!绷(xí)總書記還以“在別人的墻基上砌房子”為喻,將核心元器件自主可控的重要性講得一針見血,“如果核心元器件嚴(yán)重依賴外國(guó),供應(yīng)鏈的‘命門’掌握在別人手里,那就好比在別人的墻基上砌房子,再大再漂亮也可能經(jīng)不起風(fēng)雨,甚至?xí)豢耙粨簟。工業(yè)互聯(lián)網(wǎng)牽涉到國(guó)家安全等核心利益。因此,與一般網(wǎng)絡(luò)應(yīng)用相比,對(duì)于承載各行各業(yè)全方位全天候運(yùn)作的工業(yè)互聯(lián)網(wǎng),其安全性要求也更高,除了安全技術(shù)標(biāo)準(zhǔn)高,還必須特別強(qiáng)調(diào)自主可控。近年來(lái)在一些國(guó)家發(fā)生的“震網(wǎng)”“火焰”“舒特”等網(wǎng)絡(luò)攻擊事件,都表明工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全問題必須高度重視,自主可控對(duì)國(guó)家工業(yè)互聯(lián)網(wǎng)安全的重要性日益凸顯。
自主可控是保障工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵切入點(diǎn)
工業(yè)互聯(lián)網(wǎng)作為新一代網(wǎng)絡(luò)信息技術(shù)與現(xiàn)代工業(yè)融合發(fā)展催生的新事物,是實(shí)現(xiàn)生產(chǎn)制造領(lǐng)域全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈連接的關(guān)鍵支撐,是工業(yè)經(jīng)濟(jì)數(shù)字化、網(wǎng)絡(luò)化、智能化的重要基礎(chǔ)設(shè)施,是互聯(lián)網(wǎng)從消費(fèi)領(lǐng)域向生產(chǎn)領(lǐng)域、從虛擬經(jīng)濟(jì)向?qū)嶓w經(jīng)濟(jì)拓展的核心載體。工業(yè)互聯(lián)網(wǎng)安全包括設(shè)備、控制、網(wǎng)絡(luò)、平臺(tái)、數(shù)據(jù)安全,是在對(duì)抗?fàn)顟B(tài)下的安全,存在著攻防甚至敵對(duì)關(guān)系。所以,重要工業(yè)互聯(lián)網(wǎng)領(lǐng)域必須做到?jīng)]有后門。這里要說(shuō)明的是,后門與漏洞是有區(qū)別的。后門是指那些人為設(shè)置的、能繞過安全性控制而獲取對(duì)系統(tǒng)控制或訪問權(quán)的秘密機(jī)制。設(shè)置方可以隨時(shí)利用后門更改系統(tǒng)設(shè)置,使用方很難發(fā)覺。后門的危害很大。它就好像是被人埋下的“定時(shí)炸彈”或“特洛伊木馬”,隨時(shí)會(huì)造成嚴(yán)重?fù)p害。后門又是可以避免的。只要是由可信賴的人員,用可信任的軟硬件在嚴(yán)格管理下構(gòu)成的系統(tǒng),就可以保證沒有后門。“漏洞”是由于系統(tǒng)存在某種缺陷,從而使攻擊者能夠在未被授權(quán)的情況下進(jìn)行訪問或破壞的機(jī)制。漏洞不同于后門,它難以避免,只能在被發(fā)現(xiàn)時(shí)予以修補(bǔ),在被攻擊時(shí)予以加固。
基于上述原因,核心技術(shù)自主可控,不受制于人就顯得尤為重要。核心技術(shù)是我們最大的“命脈”,實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)安全,要盡可能把關(guān)鍵核心技術(shù)掌握在自己手里,才能避免處于被動(dòng)地位。盡管自主可控不等于安全,但它是工業(yè)互聯(lián)網(wǎng)安全的必要條件。如果信息核心關(guān)鍵技術(shù)和基礎(chǔ)設(shè)施受制于人,那么由此構(gòu)成的信息系統(tǒng)就像沙灘上的建筑,在遭到攻擊時(shí)頃刻間便會(huì)土崩瓦解。網(wǎng)絡(luò)安全與傳統(tǒng)安全概念不同。傳統(tǒng)安全是在自然環(huán)境下的安全,在這種環(huán)境下不存在人為對(duì)抗,而網(wǎng)絡(luò)安全是在對(duì)抗環(huán)境下的安全,一般存在著人為對(duì)抗,形成攻防兩方。傳統(tǒng)安全往往可以度量、預(yù)測(cè),態(tài)勢(shì)較少變化,而網(wǎng)絡(luò)安全、信息安全取決于對(duì)抗情況,往往難以度量、預(yù)測(cè),態(tài)勢(shì)快速變化。對(duì)于傳統(tǒng)安全而言,選取技術(shù)、產(chǎn)品和服務(wù)等等,主要依據(jù)性價(jià)比。但對(duì)于網(wǎng)絡(luò)安全而言,因?yàn)榇嬖谥シ纼煞剑怨I(yè)互聯(lián)網(wǎng)關(guān)鍵核心技術(shù)設(shè)備和服務(wù)的選取首先是考察能否自主可控,這一要求往往比性價(jià)比更重要。可以說(shuō),自主可控是保障工業(yè)互聯(lián)網(wǎng)安全的首要前提。
國(guó)產(chǎn)自主可控替代成為推進(jìn)工業(yè)互聯(lián)網(wǎng)安全的核心主陣地
我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)外依存度高,工信部對(duì)全國(guó)30多家大型企業(yè)130多種關(guān)鍵基礎(chǔ)材料調(diào)研結(jié)果顯示,32%的關(guān)鍵材料在中國(guó)仍為空白,52%依賴進(jìn)口,絕大多數(shù)計(jì)算機(jī)和服務(wù)器通用處理器95%的高端專用芯片、70%以上智能終端處理器以及絕大多數(shù)存儲(chǔ)芯片依賴進(jìn)口。在裝備制造領(lǐng)域,高檔數(shù)控機(jī)床、高檔裝備儀器、運(yùn)載火箭、大飛機(jī)、航空發(fā)動(dòng)機(jī)、汽車等關(guān)鍵件精加工生產(chǎn)線上逾95%制造及檢測(cè)設(shè)備依賴進(jìn)口。
習(xí)總書記在關(guān)于網(wǎng)信工作的系列講話之中,強(qiáng)調(diào)了不止一次“加快推進(jìn)國(guó)產(chǎn)自主可控替代計(jì)劃,構(gòu)建安全可控的信息技術(shù)體系”。關(guān)于網(wǎng)絡(luò)安全信息化的一個(gè)重要指示,其中提到了要加快推進(jìn)國(guó)產(chǎn)自主可控的替代計(jì)劃,就是國(guó)產(chǎn)的產(chǎn)品進(jìn)入市場(chǎng)要有替代能力,要有個(gè)計(jì)劃去替代它,替代壟斷的外國(guó)的產(chǎn)品。我們當(dāng)前所處的階段,就是從跟跑到并跑,進(jìn)一步到領(lǐng)跑,這個(gè)歷史階段我們始終要強(qiáng)調(diào)國(guó)產(chǎn)自主可控的替代,要不這個(gè)市場(chǎng)你進(jìn)不去。在今后相當(dāng)長(zhǎng)的時(shí)期里,工業(yè)領(lǐng)域國(guó)產(chǎn)軟硬件對(duì)原先市場(chǎng)壟斷者的替代將是中國(guó)的常態(tài)。在三、五年甚至幾十年,要實(shí)現(xiàn)對(duì)外國(guó)跨國(guó)公司壟斷產(chǎn)品的替代。
如果中國(guó)在網(wǎng)絡(luò)安全空間不能實(shí)現(xiàn)技術(shù)的自主可控,將會(huì)有很大風(fēng)險(xiǎn)。目前“穿馬甲”情況值得關(guān)注,不能自主可控的外國(guó)技術(shù)假冒國(guó)產(chǎn)自主可控技術(shù)混入政府采購(gòu)和重要領(lǐng)域,很可能成為特洛伊木馬,嚴(yán)重影響工業(yè)互聯(lián)網(wǎng)領(lǐng)域的健康良性發(fā)展。習(xí)總書記要求加快推進(jìn)國(guó)產(chǎn)自主可控的替代計(jì)劃,是我們推進(jìn)工業(yè)互聯(lián)網(wǎng)安全的必由之路。
自主可控評(píng)估標(biāo)準(zhǔn)體系是完善工業(yè)互聯(lián)網(wǎng)安全的創(chuàng)新發(fā)力點(diǎn)
人們?cè)诠I(yè)互聯(lián)網(wǎng)領(lǐng)域自主可控的觀念尚不夠強(qiáng),供應(yīng)鏈存在風(fēng)險(xiǎn),不能及時(shí)發(fā)現(xiàn)短板,容易被人“卡脖子”,中興事件說(shuō)明網(wǎng)絡(luò)安全不可疏忽,相關(guān)技術(shù)產(chǎn)品必須實(shí)現(xiàn)安全可控,即自主可控、安全可靠(或安全可信)。為了保障工業(yè)互聯(lián)網(wǎng)安全,我國(guó)制訂自主可控測(cè)評(píng)評(píng)估標(biāo)準(zhǔn)意義重大,勢(shì)在必行。如同性能指標(biāo)、經(jīng)濟(jì)指標(biāo),自主可控作為一種屬性是可評(píng)估的,旨在客觀、科學(xué)地從知識(shí)產(chǎn)權(quán)、技術(shù)能力、發(fā)展主動(dòng)權(quán)、供應(yīng)鏈安全和“國(guó)產(chǎn)”資質(zhì)等多方面進(jìn)行考量自主可控程度,形成制度保障。在事關(guān)網(wǎng)絡(luò)安全的重大問題上,自主可控測(cè)評(píng)應(yīng)當(dāng)起到“一票否決”的作用。近來(lái)隨著中美貿(mào)易摩擦的發(fā)展,自主可控評(píng)估問題也需要適應(yīng)新的情況。例如,現(xiàn)在“美國(guó)技術(shù)含量”超過 25% 的產(chǎn)品都受到美國(guó)的“出口管制”。換言之,根源在美國(guó)的技術(shù)發(fā)展(包括制造地位于美國(guó)、技術(shù)源于美國(guó),以及國(guó)外制造但源自美國(guó)的內(nèi)容),就會(huì)被計(jì)入屬地比重,范圍包括IP與相關(guān)核心技術(shù),若美國(guó)成分超過25%,就會(huì)受到美國(guó)法律的管轄。因此,我們需要嚴(yán)格地對(duì)那些“引進(jìn)”或“合作”的技術(shù)產(chǎn)品進(jìn)行自主可控測(cè)評(píng),防止那些“美國(guó)技術(shù)含量”遠(yuǎn)遠(yuǎn)超過25%的技術(shù)產(chǎn)品通過“穿馬甲”,被引入工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施和重要系統(tǒng),構(gòu)成重大的安全隱患。