鑽石舞台

文│四川省電子產品監督檢驗所 張良龍 卿立銀 馬宇駿

近年來，四川高度重視信息安全產業發展，出台了系列政策。根據《四川省「十四五」信息安全產業發展規劃》，2020 年四川省信息安全軟件與信息服務業收入約為 100 億元，同比增加 10.56%，占全國總量的7.14%，其中工業互聯網信息安全方面收入 8603 萬元，同比增加 322.14%，產業規模逐步增大，產業集聚力不斷增強。但是，四川省工業互聯網信息安全仍存在部分問題。如何保障四川省工業互聯網信息安全？引起行業內外廣泛思考。

四川省工業互聯網信息安全問題主要有以下三方面：

（一）工業互聯網高危安全風險較多

四川省工業控制系統態勢感知與通報預警平台運行至2021 年 10 月 31 日，通過工業互聯網平台探測與人工驗證相結合的方式，累計發現四川境內工業互聯網 879 個高危安全風險。僅 2021 年 10 月，態勢感知平台新發現四川境內工業互聯網 12 個高危安全風險，如 Sunway ForceControl多個遠程安全漏洞、Siemens S7300/400 PLC 存在權限繞過停機漏洞、Siemens SIMATIC S7 300 硬編碼證書安全繞過漏洞等，這些漏洞雖然沒有造成實際事故，但是對工業互聯網潛在威脅較大。

圖1 四川省工業互聯網系統

（二）工業企業信息安全建設滯後

四川多數工業企業仍然使用的是防火牆、網關、數據交換網等傳統 IT 網絡邊界防護技術和安全產品，對於未知風險缺乏預判、防範能力；使用網絡威脅感知系統、滲透測試系統等軟硬件系統的企業比例不足 20%。部分工業企業信息安全老舊設備更新升級難度大，許多工業互聯網終端設備結構簡單、低功耗、低成本，在設計規劃時往往很少考慮安全設計。工業企業信息安全投入不足、建設滯後。

圖2 水務網絡信息化管理平台

（三）產業總體規模仍然較小

四川信息安全產業雖然在密碼產品、流量監測、漏洞挖掘、網絡攻防等多個信息安全細分領域具有較強的競爭力，但信息安全產業整體規模較小。2020 年，四川信息安全軟件與信息服務業規模只占軟件和服務業規模的 2.4% 左右，信息安全產業規模占電子信息產業規模的 5.5%，其中涉及工業互聯網的信息安全產業規模占電子信息產業規模比例更低。

四川省工業互聯網信息安全問題主要有以下兩方面原因：

（一）關鍵技術攻克困難

隨着新技術廣泛應用、新場景不斷湧現，新的信息安全風險不斷出現，且隱蔽性、破壞性逐漸增強，這對工業互聯網信息安全研發企業提出了更高要求。目前部分主流工業互聯網信息安全研發企業的部分產品，仍然不能針對高危安全風險及時研發對應的漏洞補丁，如西門子沒有對 Siemens S7300/400PLC 權限繞過停機漏洞、Siemens SIMATICS7-300 CPU 拒絕服務漏洞、SiemensSIMATIC S7-300 硬編碼證書安全繞過漏洞等提供漏洞修補方案。這些關鍵技術攻克困難，不能及時有效解決工業互聯網信息安全問題。

（二）工業企業信息安全意識不強

從工業企業角度來看，工業互聯網信息安全投資大，但是並不會產生立竿見影的經濟效益。同時由於國內很少出現嚴重的工業互聯網信息安全事故、沒有出現較大的經濟損失，部分工業企業抱着僥倖心態，不願意增加工業互聯網信息安全投資。目前部分工業企業對工業互聯網信息安全僅僅是抱着「安裝了設備即可」的態度，而對設備的有效性、漏洞補丁更新日期的設定不專業、不重視，也沒有對工業互聯網信息安全設備的防護能力進行測試、攻防對抗演練。工業企業信息安全意識不強，導致四川省工業互聯網信息安全建設滯後、風險日益提高。

四川省工業互聯網信息安全可以從以下四個方面改進：

（一）加快關鍵技術突破

要在財稅、投融資、研發、進出口、人才、知識產權、市場應用、國際合作等方面加大政策支持力度，統籌用好國家補助資金、地方財政資金、政府債券資金等各類資金，在重點研發計劃（重大科技專項）、科技創新基地（平台）徵集需求，引導高校、科研院所、研發企業加快研發。要圍繞工業互聯網領域內大規模前端數據採集設備應用，積極開展高性能輕量級密碼算法技術研究，加強密碼算法與核心芯片、操作系統等軟硬件的一體化設計能力，奠定內生安全基礎；加快提升威脅分析、態勢感知、安全防禦、數據治理、隱私保護以及應急處置等共性安全能力；加快突破可信計算、5G 安全架構、網絡空間資源測繪、源代碼審查、加密流量解析和攻擊溯源等關鍵技術；加快信創產品漏洞挖掘研究，保障信創產品安全可用；推進密碼技術在核心芯片、終端設備、基礎軟件上的集成，創新研發安全芯片、工業安全 PLC、工業安全傳感器等安全產品，推動商用密碼在工業互聯網等新場景上的應用；推動工業互聯網信息安全研發企業針對高危安全風險，及時研發對應的漏洞補丁，並推廣應用。

（二）落實工業互聯網信息安全貫標及測評服務

要組織開展工業互聯網安全試點示範，加強工業互聯網安全分類分級、工業數據分類分級、工業互聯網安全貫標。工業互聯網信息安全的分類分級原則與等級保護定級基本原則類似，等級保護定級是根據對象受到破壞時所侵害的客體和對客體造成侵害的程度進行定級；而《工業互聯網企業網絡安全分類分級指南》的分級則以工業企業實際受網絡安全影響程度作為關鍵因素，結合工業企業規模、工業企業應用工業互聯網的程度、工業企業發生網絡安全事件的影響程度等要素確認工業互聯網企業的分級。在分類分級貫標後，要全面開展工業互聯網信息安全測評，排查隱患、及時處理，確保工業基礎設施安全。通過建立健全檢查工具、手段，並督促對發現問題的整改，全面提高相關領域、單位對工業互聯網信息安全的重視程度，並帶動工業互聯網信息安全產業供給發展。

圖3 四川省工業企業信息安全現場檢測與評估平台

（三）加強宣傳教育，鼓勵工業企業購買信息安全運營服務

要面向社會開展工業互聯網信息安全意識警示、工業互聯網信息安全日常技能宣傳等專題活動，提升全社會對工業互聯網信息安全的認識，培養形成良好的工業互聯網信息安全防範意識。建立工業互聯網信息安全科普體驗中心，採用豐富的視聽互動技術開展網絡安全宣傳教育工作。鼓勵各單位各行業組織相關工作人員開展工業互聯網信息安全培訓工作，加強人員安全意識和安全水平。採取行業自律組織宣傳、財政補貼等方式，鼓勵工業互聯網信息安全企業積極為工業企業提供入侵檢測、漏洞挖掘、安全審計、入侵防禦、系統安全運維等服務；鼓勵工業企業購買相關信息安全運營服務，提升自身業務系統安全性。

（四）打造工業互聯網信息安全產業良性發展生態

要緊跟國家發展戰略，搶抓四川工業數字化發展機遇，加快川渝信息安全產業一體化發展，不斷提升成都產業集聚發展能級。打造成都「中國網絡信息安全之城」，圍繞西部（成都）科學城「一核四區」、高品質科創空間多點支撐的創新供給網絡，打造工業互聯網信息安全創新發展新高地。在成都高新區南部園區、天府新區成都直管雙流區打造網絡信息安全產業的主體聚集區與核心發展區，依託武侯、錦江等區縣現有產業基礎和優勢，發展具有地方特色的工業互聯網信息安全產業。同時利用成都市城市國際競爭力和區域帶動力，結合成都「五大先進制造業」「五大新興服務業」產業空間布局優化契機，不斷推動成都工業互聯網信息安全產業集聚發展。對接國家工業互聯網標識解析節點等基礎設施，建設工業互聯網信任體系與數據安全共享平台，保障工業互聯網可信接入，提升信息保護、數據安全共享等公共服務能力，面向製造、化工、能源、交通等行業企業、人員、設備等，提供安全可信的數據共享交換服務。完善工業互聯網安全監測與態勢感知平台優化升級，建成覆蓋所有市州和重點行業的工業互聯網技術監測服務體系，保障四川省工業互聯網信息安全。

（本文刊登於《中國信息安全》雜誌2022年第2期）