北庄新闻网

首页 时事 美高梅平台信誉-代码战争:全球工业网络安全新战场大揭秘

美高梅平台信誉-代码战争:全球工业网络安全新战场大揭秘

发表于 2019-9-12 08:23
[摘要] 与此同时,工业控制网络安全成为无法躲避和回避的新的工业命题、国家安全命题。在智能化社会背景下,工业控制网络正成为网络空间对抗的主战场和反恐新战场。2014年,工控用户在控制系统中发生网络安全事故的比例有所提升,受网络安全事件影响的企业占比达到了28.6%,因病毒造成工控网络停机的企业高达19.1%。这是全球首次发生的航空公司操作系统被黑事件。

美高梅平台信誉-代码战争:全球工业网络安全新战场大揭秘

美高梅平台信誉,《中国经济周刊》 记者 张伟|北京报道

(本文刊发于《中国经济周刊》2016年第16期)

4月19日,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平在京主持召开网络安全和信息化工作座谈会并发表重要讲话。

习近平强调,网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。

对于这次座谈会及其所强调的网络安全问题,不仅信息行业高度关注,实业界更给予了特别关注。

2015年,我国明确提出“互联网+”“中国制造2025”等重大战略举措,智能制造、智能终端成为中国制造新的“标配”。与此同时,工业控制网络安全成为无法躲避和回避的新的工业命题、国家安全命题。

近年来,国内外发生的越来越多的工业控制网络安全事件,用惨重的经济损失和被危及的国家安全警示我们:工业控制网络安全正在成为网络空间对抗的主战场和反恐新战场。

———————————————————

代码即武器

这是一场普通人看不到、也无法想象的新式战争。

2014年“超级电厂”病毒事件,全球上千座发电站遭到攻击,欧美等国家为重灾区;2015年“blackenergy”病毒事件,乌克兰至少有三个区域的电力系统被攻击导致大规模停电;2016年3月,美国国防部长卡特首次承认:美国使用网络手段攻击了叙利亚isis组织……

随着信息技术和网络技术的迅猛发展,国家安全边界已经超越地理空间限制,延伸到了信息网络。

“棱镜门”事件后,世界各国深刻认识到网络治理权关乎国家网络安全和利益,网络空间已经成为继陆、海、空、天之后的第五大国家主权空间。

2015年末发生的乌克兰电网断电事件,以及2016年年初发生的乌克兰机场受攻击事件都表明:一直以来被认为相对安全的工业控制系统已经成为黑客攻击的目标;而且,工业控制系统安全漏洞及攻击方式,已经成为“黑市”热销商品,甚至被作为“特殊武器”列入“瓦森纳协定”(全称为《关于常规武器和两用物品及技术出口控制的瓦森纳安排》)的控制清单,而中国在被禁运国家之列。

在智能化社会背景下,工业控制网络正成为网络空间对抗的主战场和反恐新战场。

秘而不宣的工业网络安全事件

在信息技术与传统工业融合的过程中,工业控制系统正面临越来越多的网络安全威胁。

2014年,工控用户在控制系统中发生网络安全事故的比例有所提升,受网络安全事件影响的企业占比达到了28.6%,因病毒造成工控网络停机的企业高达19.1%。

2015年仅美国国土安全部的工业控制系统网络应急响应小组(ics-cert)就收到了295起针对关键基础设施的攻击事件,事实上,我们所看到的工业网络安全事件,只是冰山一角,还有更多的工业控制网络安全事件被秘而不宣。

2014年12月,德国联邦信息安全办公室公布消息称:德国一家钢铁厂遭受高级持续性威胁(apt)网络攻击,并造成重大物理伤害。攻击导致工控系统的控制组件和整个生产线被迫停止运转,由于是非正常关闭炼钢炉,这次事件给钢铁厂造成了巨大的损失。

2015年4月,美国赛门铁克公司声称发现了一个主要针对石油、天然气等能源行业的木马程序,该木马能够收集目标机器的数据,并将数据发送给木马制作者进行分析,从而决定是否进一步入侵。

2015年6月,波兰航空公司的地面操作系统遭遇黑客攻击,导致长达5个小时的系统瘫痪,至少10个班次的航班被迫取消,超过1400名旅客滞留。这是全球首次发生的航空公司操作系统被黑事件。

2015年12月23日,乌克兰至少有三个区域的电力系统被具有高度破坏性的恶意软件攻击,导致大规模停电,伊万诺-弗兰科夫斯克地区超过一半的家庭(约140万人)遭遇停电困扰;整个停电事件持续数小时之久。在发电站遭受攻击的同一时间,乌克兰境内的其他多家能源企业如煤炭、石油公司也遭到了针对性的网络攻击。

基础设施、智能制造、智能终端,都可能成为“武器”

北京匡恩网络科技有限责任公司(下称“匡恩网络”)总裁孙一桉告诉《中国经济周刊》:超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统己广泛应用于国计民生的各个领域,包括基础设施、民生/智慧城市、先进制造业和军队军工等。

“最近美国刚刚发生了黑客破坏污水处理系统事件,造成饮用水受到污染。在人口高密度的国家,基础设施是一个不可忽略的领域,一旦被攻击或破坏,就会造成极大的危害。以城市里的化工厂或者临近水源的化工厂为例,如果整个工控系统被控制的话,这些工厂本身就变成了一个被利用的武器。在智能制造领域,绝大多数已发现的网络问题,并不是恶意攻击事件,而是系统被病毒入侵,设备有被控制的痕迹。”孙一桉说。

工业网络的安全问题,体现在民生领域的实例,就是越来越普及的智能终端。孙一桉告诉《中国经济周刊》,现在汽车、飞机、船舶都变得更加智能化了,医院里也有了越来越多的智能终端。

“两年前,在美国的一次会议上,安全研究人员做了一个演示:一个房间里是一台联网的电脑,另一个房间有一个心脏起搏器,他们通过电脑控制并关闭了另一个房间的心脏起搏器。如果这个心脏起搏器是装在病人身上的话,毫无疑问,这个病人肯定就一命呜呼了。安全研究人员还特别强调:演示中使用的心脏起搏器型号跟某位前任副总统使用的型号一模一样。”

“再举个汽车的例子。我们经常可以看到广告里有这样的场景:当两辆汽车非常靠近的时候,汽车会自动执行刹车。这个功能看起来很智能,但其实非常可怕。这意味着在我们的汽车上有一组芯片,可以不受我们的控制去改变速度,另外,很多车上都安装有车载多媒体娱乐系统,这一系统与互联网联通,如果黑客通过车载多媒体系统入侵我们控制刹车的芯片,其危险不言而喻。

病毒攻击成了非常克制的“国家间行为”

以2010年攻击伊朗核设施的“震网”超级病毒为标志性事件,工业控制网络的对抗已经成为影响各国国防安全的重要元素。

据孙一桉介绍,2010年伊朗核设施遭受“震网”超级病毒攻击,大量生产核燃料用的离心机遭到破坏,病毒的复杂程度超出人们的想象,该事件也被称为世界上首个“网络超级武器”事件。由于工业病毒攻击可以直接导致物理设备的故障,并进一步造成生产瘫痪甚至爆炸的灾难性后果,以美国为代表的各国政府已经将工业漏洞代码列为军备物资并限制出口和交易。

2015年5月,美国商务部提交了新的出口限制禁令:将未公开的软件漏洞代码视为潜在武器。

2015年5月,美国公布了“瓦森纳协定”的修改草案,这一协定将黑客技术加入了全球武器限制贸易的条约,这一新规可能使渗透测试工具、网络入侵、利用零日漏洞变成犯罪。

2016年3月,美国国防部长卡特首次承认:美国使用网络手段攻击了叙利亚isis组织。

孙一桉告诉《中国经济周刊》:工业控制网络安全已经成为国与国之间对抗的前沿阵地。美国从2008年就建立了国家级的工业控制系统攻防靶场——“曼哈顿计划”,与其核武器计划同名可见重视程度。

代码即武器,在数字化经济和数字化系统中,代码成为了一种攻击手段。“近两年,代码这个武器在民间得到了使用,成为恐怖袭击的手段。2015年,‘11·13巴黎恐怖袭击事件’中,恐怖分子利用网络手段来躲避检查,他们用某品牌的游戏机相互通讯。恐怖分子被抓住之后,发现他们身边有一本安全手册,告诉他们在什么情况下怎么做不会被抓到等等。

恐怖分子利用网络手段去躲避检查和被捕,到利用网络手段去进行攻击时间不会太长。2015年12月,乌克兰电网、能源部门遭受网络攻击,这些事件都是冰山一角。其背后的黑色产业已经在迅速蔓延。”

孙一桉说,工业控制网络安全不仅是国家间对抗的前沿和焦点,而且也是我们国家反恐的新战场。“像攻击伊朗核设施的‘震网’病毒,就有几万行代码。70%以上的代码是干什么的?就是保证病毒在不该发生的地方不发生,它是非常克制的,是国家间行为。到了2014年,‘havex’病毒事件发生时,它一个月就衍生出几百个变种,在民间也有广泛的传播”。

新战场:交易简单、破坏力惊人的武器,长期潜伏、态度暧昧的敌人

孙一桉告诉《中国经济周刊》:“这个领域还有一个特点:攻击绝对不是一时兴起的短期行为。对基础设施来讲,它一旦找到入口,就会扎根于此。因为它知道基础设施十几年都未必更新,它会长期潜伏。不管你用什么设备,都不能假设它进不来,我们称之为入侵容忍度,真正要建立解决方案,必须要在它能够进来的前提下,怎么让损失最小化。这个战争会持续进行下去,并将成为一个国家的核心竞争力。未来哪个国家在这个领域领先,就如同掌握了核武器一样,动一动按钮就可以攻击别人。”

“而且,这种武器交易起来很容易。举例说,如果你想把一个核弹头运到什么地方特别费劲,但把一个攻击病毒,比如从美国传到伊朗,是一瞬间的事儿,非常之容易,它的传播速度和广度,比核扩散还吓人,还恐怖。这场新的战争现在才刚刚开始。这场对抗,应该引起跨行业的、高度的、国家级的重视。”孙一桉说。纵观世界各国,不管政府财力如何都已经在这方面下足了工夫。“美国2008年建靶场,英国紧随其后,2010年建的靶场。日本在经济相对非常困难的情况下,2013年建了一个国家级靶场,我后来曾经去参观过,去的时候它已经停用了,据说是后续资金没跟上,这两年又重新启动了。”

工控网络安全正成为网络空间对抗的主战场和反恐新战场。一方面是政府和商业利益的双重诱因。“工业控制网络攻击的成本远远低于传统的战争手段,但可能造成的严重后果却不亚于战争,因此不仅各国政府不断扩充网络军队进行攻防演练,民间黑客组织也非常活跃地在挖掘和利用工业漏洞,并通过工业漏洞开发各种隐蔽的数据窃取和劫持手段,从而获取巨大的商业利益。”孙一桉说。

此外,网络恐怖主义也随之甚嚣尘上。2015年以来,已经出现了恐怖分子利用工业控制系统进行网络袭击的案例。isis国际恐怖组织更是持续进行网络攻击,甚至在其内部进行网络安全培训,网络恐怖主义的威胁已经逐渐渗透到工业控制系统,对国家安全和民生构成严重威胁。

据孙一桉介绍,个别西方国家还蓄意挑起网络战争题材的概念。对“震网”病毒研究最多的一个德国科学家,他几年之间连续发表了一系列论文,他追溯了“震网”病毒的几个变种,得出的结论非常吓人:早期的变种是非常隐蔽的,发展到后来,它把随机隐蔽功能去掉了。这意味着它想让别人发现它。

这背后的用意,很难揣测,但值得玩味。

2014年

“超级电厂”

病毒事件

2015年

赛门铁克公司发现

针对石油、天然气等能源行业的木马程序

2015年

波兰航空公司

地面操作系统遭黑客攻击

乌克兰电力系统遭恶意攻击

2016年

美国使用网络手段

攻击叙利亚isis组织

“havex”病毒事件:

2014年,多家反病毒企业先后发现:有黑客团体利用一种面向工业控制系统的木马“havex”,对为数众多的工业企业和设施实施了信息侦察等。

———————————————————

拒绝“裸奔”——中国工控网络安全的挑战和机遇

2014年我国成立中央网络安全和信息化领导小组,标志着中国进入了全面防护网络空间安全的战略时期。

2015年6月、7月,我国相继颁布了《中华人民共和国网络安全法(草案)》和第29号主席令《中华人民共和国国家安全法》,全面阐述了我国网络安全战略、规划,网络安全运行的原则和要求,使我国网络安全立法达到了前所未有的高度。

匡恩网络总裁孙一桉告诉《中国经济周刊》:我国的工控网络安全行业起步晚,发展快,虽然面临着不小的挑战,但也蕴含着巨大的机遇。

“这几年,我们去了十几个行业进行调研和对接,听到的最多的词就是‘裸奔’。许多企业是假定没有人来攻击自己,花了很大的精力做生产安全,但没有网络安全规划,也没有相关预算,验收只做功能验收,没有做网络安全验收。比如烟草行业,项目建设周期是四到五年,进进出出的人比较复杂,设备供应商、运维人员,都带电脑、带设备,四五年以后验收了,没人管里面是不是已经被病毒感染了,被控制了,是不是有后门没关上。直到发生事故了,才想起来。有一个烟厂,2012年发生过一次病毒攻击事件,造成两天停产;还有一次,设备被远程关闭了。这些案例是很典型的,国内的一些基础设施也会发生类似情况。例如:地铁综合监控系统传统上大家都认为是一个相对比较封闭的,自成一体的网络系统,随着地铁企业管理决策层越来越依赖数据决策时,综合监控系统和上层企业erp系统的对接将不断推进,综合监控系统也面临着来自信息网络的恶意代码的攻击。除了轨道交通,在城市燃气、智能汽车与车联网、石油化工、冶金、数控机床等行业,随着两化融合的不断深入,传统的生产控制网络都面临着同样的问题。工控系统网络安全的防范意识、规划、验收都没有,裸奔状态比较常见。”孙一桉说。

孙一桉告诉《中国经济周刊》,这些企业为什么会形成“裸奔”的状态?一个最大的误区就是潜意识里认为“隔离就安全了”。“其实从‘震网’病毒事件发生以来,大家就意识到简单的物理隔离是解决不了安全问题的。现在的攻击手段有一整套方法都是针对隔离系统进行的。而且因为有了隔离,隔离就成了‘马奇诺防线’,大家认为有了隔离,系统里面就不用防了,所以系统内部其实非常脆弱。最典型的恶性事件就是沙特阿拉伯的一家石油公司,听了设备供应商的建议,做了工业4.0改造,把40个炼油厂全部联网、智能化了,生产效率是极大提高了,但是他忽略了一点,在此之前,它的内部网因为是完全隔离的,所以就完全不设防,结果联网没多久就遭到一次攻击,3万台电脑、40个炼油厂全部停产损失不可计量。”

2015年,随着“互联网+”、中国制造2025等国家战略方针的出台,随着“两化融合”政策的深入推进,国内工业控制网络的网络化、智能化水平迅速提高。同时,工业控制网络的信息安全持续2014年的热度,继续被政府部门、科研机构、安全厂商、自动化厂商密切关注。虽然国内工控系统相对较弱,整体安全形势不容乐观,但各方都在积极推进国内工控安全的发展。

我国工业规模大,具备完整的现代工业体系,拥有全球最大的工业智能化市场,信息化、智能化建设存在后发优势,比如我国工业新建系统多,自动化水平高等。

“恰恰因为我们基础设施大,又在做智能化,而且我们的国有经济体量大、执行力强,我们在工控安全领域反而会形成一个发展的机遇,弯道超车也好,超越也好,是很有可能的。”孙一桉说。“关键的问题是,我们要建立威胁感知能力,要培育持续的防御能力、防御体系。”

———————————————————

新经济圆桌会议:中国工控网络安全如何弯道超车?

4月9日,由人民日报社《中国经济周刊》旗下的中国经济研究院主办、匡恩网络智能工业安全研究院协办的“新经济圆桌会议:工业控制网络安全”,在北京举行。

来自中央网信办、国家发改委、国资委、科技部、国家能源局,中国互联网发展基金会、全国信息安全标准化委员会、中国网络安全产业联盟,民银国际投资有限公司、北京匡恩网络科技有限责任公司等部门、机构的各界专家,汇聚一堂,就目前国际安全新趋势、我国工业控制网络安全面临的挑战和机遇、以及如何促进工控网络安全产业发展等,进行了交流、研讨。以下为与会专家的发言摘要。

与会专家:

胥和平:工控网络安全问题已成为网络经济的一个重大问题

这次新经济圆桌会议选择了一个重大话题:工业控制系统的网络安全。

2015年国家明确提出“互联网+”、“中国制造2025”等重大战略举措,十八届五中全会和“十三五”规划明确指出,把拓展网络发展空间作为一个重大战略举措。一年多来,“互联网+”在各个领域的深度渗透,广泛推进,已经取得了明显的成效,大家一直在期待一个万物互联、互联互通的社会,期待一个基于“互联网+”的新的经济形态出现。但当所有设备、所有系统互联互通以后,安全问题就至关重要。

一个小小的病毒、一个网络的漏洞就可以导致大型工业系统、大型基础设施运转出现巨大的经济损失。这些问题成为网络经济的一个重大问题,也成为发展互联网经济的重要基础。

何帮喜:从战略高度加强工业控制网络安全顶层设计,明确责任部门

过去我当过商会会长,对工业领域很熟悉。我们经常遇到这样的事儿:很多企业在招标过程中,在实施技术过程中,突然计算机的机密文件、数据被盗。企业很着急,但无法解决。后来,经过调研,我了解到这属于工控网络安全问题。而且,还是非常普遍的现象。

今年全国两会召开前,我们经过调研和专家指导,写了《关于加强我国工控网络安全,应纳入国家战略的建议》的提案,多名政协委员联名提交。同时,十几名人大代表也联名提交了关于工控网络安全的议案。

我们的主要建议是:从国家战略高度加强工业控制网络安全顶层设计,明确责任部门;建立完备的工控网络安全体系,掌握芯片级核心技术;大力扶持新兴工控网络安全企业,鼓励技术创新和产业化;在各行业建设中同步进行工控网络安全规划和验收等。

董宝青:工控安全难度最大,相信未来几年内会扭转现状

万物互联的时代,我们从过去关注互联网安全、信息系统安全转向最底层次、最难的工控安全,因为它要解决信息空间跟物理、机械的融合问题。

首先,在国家顶层设计方面,目前看,比较清晰。大家也都非常关注和重视。其次,微观层面,所有的工业企业或者产业系统、实体经济体系,都要建立信息安全管理制度和组织落实制度。第三,要建立技术供应链全生命周期、全环节的把控能力,实施国产替代、自主可控、安全可靠的思路,打造我们的技术供应产业链。第四,要建立日常的维护制度、运营制度、巡查制度等。第五,建立一些应急支援的队伍力量。第六,大力发展产业队伍。

我们在工业控制系统的市场占有率还不到10%,相信未来几年,通过企业的努力,国家政策制度的建立,能够扭转这种形势,安全可控、自主可控,能够放心地发展经济。

徐建平:首先要加强系统性的谋划和顶层设计

当前我们在网络安全方面面临几个问题:一、安全问题的认识问题。应该从根本上解决,建立容错机制。二、政策上也有很多需要完善的地方。比如推动自主化,真正的支持措施少。三、整个大的制造业大而不强。四、部门之间协同性要进一步加强。五、工业控制系统安全管理还存在很多缺陷。

我们应该加强系统性的谋划和顶层设计。我个人认为,部门之间虽然已经形成了一个相应的工作机制,但是离真正的加强安全管理要求,还差得很远,还有很大的空间。首先,在规划上,要真正把工业控制网络安全纳入到各级规划当中去。其次,突出重点,集中优势,突破关键。实质上就是要强化自主创新能力,落到实处。第三,加强法律法规的建设,通过法规的形式为信息安全、安全能力的建设提供保障。第四,加强社会安全意识教育。

刘育新:国家如何支持、民企怎么进入,都需要认真研究

在国家科技管理体制发生变化、发生改革的情况下,对于工业控制网络安全怎么支持,是值得研究的问题。工业控制网络安全还有行业性的问题,不同行业要求不一样。应用基础性的研究怎么支持?政府的钱是有限的,这是一个导向作用的钱,政府支持哪个领域,市场上资金就会注意这个方向。

此外,这个技术或者产业发展起来,需要有竞争,是开放性的。网络安全的天然属性就是封闭性、体系性,因为它涉及到保密等问题。民营企业和社会资本怎么进入,政府的管理门槛怎么降低,这是需要认真考虑的。竞争不竞争,有时候差距很大。

孙耀唯:能源领域是公共系统网络安全的重要方面,我们不能轻视

能源系统对工控系统安全是比较重视的,这些年在工信部的支持指导下做了很多工作。比如一些预测预警,包括信息通报,也做过一些执法检查,还有专项监管。在国产化方面,我们也做了很多尝试和推广,包括装备,风电、水电、火电都在国产化,国产率越来越高。

从行业角度来讲:一、我们要培养安全意识,今后将加强教育和宣传。二、顶层设计分工。国家总体有筹划、部署、规划;分行业建立一个完整的规划;地方公安系统都有网络安全测试实验室,但还要加上企业。三、人才培养方面,我们一直很重视加强专业性的培养,每个岗位不仅要有安全意识,还要有操作意识。四、监管层面,要加强政府的作用,监管队伍、监管素质、监管手段上了之后,会发挥很多的作用。

能源领域是公共系统网络安全的重要方面,我们不能轻视,也正在加强,希望有关方面继续给与支持。

张铭:立法要细,规划要明确,设备必须国产化

要用发展网络安全产业的模式,解决中国网络安全问题。我认为,在工业领域,用产业网络控制安全的概念更好,产业不只是工业,还有其他的。中国有一个非常大的网络安全产业。这个领域会诞生非常大的企业,一定要把这个产业发展好。

怎么发展产业,我提几点建议。

第一,立法必须要有。我们现在有一个网络安全征求意见稿。法律一定要细,如果大的法律解决不了问题,实施细则就一定要细,一定要能够操作。这么大的一个产业,如果用市场经济的办法来解决,首先要把法规制定好。

第二,需要一个工控网络方面的规划。这个规划必须要明确目标、部门之间协作、政策支持、后续保障、协调机制等等。企业有企业的定位,政府有政府的定位,制定好目标,就会有监督,有检查,很多事情才能落实到位。

第三,自主知识产权核心设备国产化,这个必须要解决。

第四,意识培训,大家都用互联网,大家要有网络安全的意识。我觉得这部分,政府应该拿点钱,企业也会愿意拿点钱,把这个钱给行业协会,让它组织培训。

秦昌桂:工业控制网络安全,关键是人才

关于公共安全,工业控制网络安全已经作为网络安全,也是作为国家安全,纳入国家最高战略,凡是自动化程度越高,智能化程度越高,它的安全更危险。工业控制网络安全的重要性是显而易见的。但关键一点还是人才,你讲国产化也好,什么也好,讲到底就是人才。安全体系一定是要有自己的产品、自己的技术。工业控制网络安全的企业,从国家层面来讲,一定要自主培养人才。

网络安全方面,大家对信息安全是主动防守,强调得更重要,对自动化特别是生产领域、经济领域是忽视的。不要扩大威胁,但是也不要忽视威胁,还要考虑自身的防御。你的病毒、漏洞自己可以破坏你自己的体系。从我们基金会来讲,一定要利用社会的力量,除了加大对网络安全宣传周支持,我们重点支持网络安全人才的培养,人是最根本的。

高林:关于加强信息安全标准化工作的指导意见今年会很快出台

做好工业控制网络安全,需要从几个方面分析:

一是法规和机制层面。具体到工控网络安全的事情上,在操作层面还需要进一步明确各有关部门、组织的职责。二是标准的事情。2012年国家成立了全国信息安全标准化技术委员会,形成这么一个架构,就是要协调标准化的事情。组织上有了,做的过程中也是一个逐渐深入的过程。今年马上要出一个政策,关于加强信息安全标准化工作的指导意见,会进一步加强工业系统的网络安全标准统筹。这里面很重要的一个问题,主要的核心是工控系统网络安全防控的要求。三是规划层面。要做好技术保障,有很多需要在国家层面布局的,要有一批队伍做这个事情,不能光靠政府,光靠职能部门。四是监管层面。首先要在整个国家网络安全审查制度框架之下做工控产品的安全审查。另外就是系统检查,要明确主体责任,主体责任一定是系统的拥有者、运营者。五是服务层面,现在有很多协会和第三方机构组织做一些服务,包括政府支持在一些单位建立通信通报、共享、追踪等服务。

陈兴跃:我们就做两件事,一是搭建桥梁,二是建设平台

从联盟的角度来讲,我们就做两件事,一是搭建桥梁,二是建设平台。所谓桥梁,就是作为产业和部门对接的桥梁、产业合作的桥梁。所谓平台,就是聚集整个产业的资源,集中力量做大事。以标准工作为例,产业联盟推进标准工作有先天的优势。总而言之,产业联盟工作要代表网络安全产业的水平。

刚才有嘉宾提到资金的问题,联盟会员中有很多中小企业,他们有非常强的资金需要。会员企业希望在联盟平台上做一个产业的创新基金,在联盟平台上发现好的创新团队和创新技术,开展专项对接扶持。

孙一桉:希望政策方面能帮助我们穿透设备供应商这“最后一道门”

工控网络安全技术是衡量一个国家综合实力的重要组成部分,也是国家安全的重要组成部分。工业控制系统解决安全问题特别难,它不是拿一个简单信息安全的手段加一个工业的壳就可以解决,它必须和各个行业深入对接。

我们在推广过程中有一个巨大的障碍,就是设备供应商。国产设备供应商是比较开放的,但在国外的设备供应商那里遭遇了很大的阻力,这对我们是潜在的、巨大的危害。我们不能走到互联网安全那条老路上去,让设备供应商自己做系统的安全维护,后门都打开了,还全然不知。所以,在这个领域,我强烈呼吁各方能一同协力,穿透“最后一道门”,让设备供应商开放出来,用自主可控的安全手段来解决安全问题,不要重蹈过去互联网安全的覆辙。

工业网络安全,是信息安全与工业自动化的跨学科的集成,涉及到国家安全、经济安全、民生安全,是新经济时代一个基础性的、亟待解决的问题,需要各级政府部门、各行业一起来加速推动。

白津夫:网络经济安全不是网络安全,须采取新举措

工业控制网络安全,强调的是网络经济层面,网络经济安全不是一般意义上的网络安全。随着“互联网+”和网络经济不断发展,网络安全风险不断放大,切不可掉以轻心。

应对这样一个复杂的局面,要有一些新的举措。一是深化工控网络安全的研究,加大宣传力度,进一步增加社会共识。二是加快制定国家网络经济安全的标准。三是提高技术手段和防御能力,重点支持本土技术的创新和产业化。四是建立工控安全责任体系,从政府层面、企业层面如何来固化体系合理分工、合理推进。五是建立完备的工控网络安全体系,要技术设备一体化,要解决工控设备结构安全、本体安全、行为安全,实现基因安全和运行维护的可持续性。

(“新经济圆桌会议”更多内容请登录经济网www.ceweekly.cn)

(更多精彩内容,请关注“中国经济周刊”微信公众号)