4月9日，由人民日報社《中國經(jīng)濟周刊》旗下的中國經(jīng)濟研究院主辦、匡恩網(wǎng)絡智能工業(yè)安全研究院協(xié)辦的“新經(jīng)濟圓桌會議：工業(yè)控制網(wǎng)絡安全”，在北京舉行。

來自中央網(wǎng)信辦、國家發(fā)改委、國資委、科技部、國家能源局，中國互聯(lián)網(wǎng)發(fā)展基金會、全國信息安全標準化委員會、中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟，民銀國際投資有限公司、北京匡恩網(wǎng)絡科技有限責任公司等部門、機構(gòu)的各界專家，匯聚一堂，就目前國際安全新趨勢、我國工業(yè)控制網(wǎng)絡安全面臨的挑戰(zhàn)和機遇、以及如何促進工控網(wǎng)絡安全產(chǎn)業(yè)發(fā)展等，進行了交流、研討。以下為與會專家的發(fā)言摘要。

與會專家：

胥和平：工控網(wǎng)絡安全問題已成為網(wǎng)絡經(jīng)濟的一個重大問題

這次新經(jīng)濟圓桌會議選擇了一個重大話題：工業(yè)控制系統(tǒng)的網(wǎng)絡安全。

2015年國家明確提出“互聯(lián)網(wǎng)+”、“中國制造2025”等重大戰(zhàn)略舉措，十八屆五中全會和“十三五”規(guī)劃明確指出，把拓展網(wǎng)絡發(fā)展空間作為一個重大戰(zhàn)略舉措。一年多來，“互聯(lián)網(wǎng)+”在各個領域的深度滲透，廣泛推進，已經(jīng)取得了明顯的成效，大家一直在期待一個萬物互聯(lián)、互聯(lián)互通的社會，期待一個基于“互聯(lián)網(wǎng)+”的新的經(jīng)濟形態(tài)出現(xiàn)。但當所有設備、所有系統(tǒng)互聯(lián)互通以后，安全問題就至關重要。

一個小小的病毒、一個網(wǎng)絡的漏洞就可以導致大型工業(yè)系統(tǒng)、大型基礎設施運轉(zhuǎn)出現(xiàn)巨大的經(jīng)濟損失。這些問題成為網(wǎng)絡經(jīng)濟的一個重大問題，也成為發(fā)展互聯(lián)網(wǎng)經(jīng)濟的重要基礎。

何幫喜：從戰(zhàn)略高度加強工業(yè)控制網(wǎng)絡安全頂層設計，明確責任部門

過去我當過商會會長，對工業(yè)領域很熟悉。我們經(jīng)常遇到這樣的事兒：很多企業(yè)在招標過程中，在實施技術過程中，突然計算機的機密文件、數(shù)據(jù)被盜。企業(yè)很著急，但無法解決。后來，經(jīng)過調(diào)研，我了解到這屬于工控網(wǎng)絡安全問題。而且，還是非常普遍的現(xiàn)象。

今年全國兩會召開前，我們經(jīng)過調(diào)研和專家指導，寫了《關于加強我國工控網(wǎng)絡安全，應納入國家戰(zhàn)略的建議》的提案，多名政協(xié)委員聯(lián)名提交。同時，十幾名人大代表也聯(lián)名提交了關于工控網(wǎng)絡安全的議案。

我們的主要建議是：從國家戰(zhàn)略高度加強工業(yè)控制網(wǎng)絡安全頂層設計，明確責任部門；建立完備的工控網(wǎng)絡安全體系，掌握芯片級核心技術；大力扶持新興工控網(wǎng)絡安全企業(yè)，鼓勵技術創(chuàng)新和產(chǎn)業(yè)化；在各行業(yè)建設中同步進行工控網(wǎng)絡安全規(guī)劃和驗收等。

董寶青：工控安全難度最大，相信未來幾年內(nèi)會扭轉(zhuǎn)現(xiàn)狀

萬物互聯(lián)的時代，我們從過去關注互聯(lián)網(wǎng)安全、信息系統(tǒng)安全轉(zhuǎn)向最底層次、最難的工控安全，因為它要解決信息空間跟物理、機械的融合問題。

首先，在國家頂層設計方面，目前看，比較清晰。大家也都非常關注和重視。其次，微觀層面，所有的工業(yè)企業(yè)或者產(chǎn)業(yè)系統(tǒng)、實體經(jīng)濟體系，都要建立信息安全管理制度和組織落實制度。第三，要建立技術供應鏈全生命周期、全環(huán)節(jié)的把控能力，實施國產(chǎn)替代、自主可控、安全可靠的思路，打造我們的技術供應產(chǎn)業(yè)鏈。第四，要建立日常的維護制度、運營制度、巡查制度等。第五，建立一些應急支援的隊伍力量。第六，大力發(fā)展產(chǎn)業(yè)隊伍。

我們在工業(yè)控制系統(tǒng)的市場占有率還不到10%，相信未來幾年，通過企業(yè)的努力，國家政策制度的建立，能夠扭轉(zhuǎn)這種形勢，安全可控、自主可控，能夠放心地發(fā)展經(jīng)濟。

徐建平：首先要加強系統(tǒng)性的謀劃和頂層設計

當前我們在網(wǎng)絡安全方面面臨幾個問題：一、安全問題的認識問題。應該從根本上解決，建立容錯機制。二、政策上也有很多需要完善的地方。比如推動自主化，真正的支持措施少。三、整個大的制造業(yè)大而不強。四、部門之間協(xié)同性要進一步加強。五、工業(yè)控制系統(tǒng)安全管理還存在很多缺陷。

我們應該加強系統(tǒng)性的謀劃和頂層設計。我個人認為，部門之間雖然已經(jīng)形成了一個相應的工作機制，但是離真正的加強安全管理要求，還差得很遠，還有很大的空間。首先，在規(guī)劃上，要真正把工業(yè)控制網(wǎng)絡安全納入到各級規(guī)劃當中去。其次，突出重點，集中優(yōu)勢，突破關鍵。實質(zhì)上就是要強化自主創(chuàng)新能力，落到實處。第三，加強法律法規(guī)的建設，通過法規(guī)的形式為信息安全、安全能力的建設提供保障。第四，加強社會安全意識教育。

劉育新：國家如何支持、民企怎么進入，都需要認真研究

在國家科技管理體制發(fā)生變化、發(fā)生改革的情況下，對于工業(yè)控制網(wǎng)絡安全怎么支持，是值得研究的問題。工業(yè)控制網(wǎng)絡安全還有行業(yè)性的問題，不同行業(yè)要求不一樣。應用基礎性的研究怎么支持？政府的錢是有限的，這是一個導向作用的錢，政府支持哪個領域，市場上資金就會注意這個方向。

此外，這個技術或者產(chǎn)業(yè)發(fā)展起來，需要有競爭，是開放性的。網(wǎng)絡安全的天然屬性就是封閉性、體系性，因為它涉及到保密等問題。民營企業(yè)和社會資本怎么進入，政府的管理門檻怎么降低，這是需要認真考慮的。競爭不競爭，有時候差距很大。

孫耀唯：能源領域是公共系統(tǒng)網(wǎng)絡安全的重要方面，我們不能輕視

能源系統(tǒng)對工控系統(tǒng)安全是比較重視的，這些年在工信部的支持指導下做了很多工作。比如一些預測預警，包括信息通報，也做過一些執(zhí)法檢查，還有專項監(jiān)管。在國產(chǎn)化方面，我們也做了很多嘗試和推廣，包括裝備，風電、水電、火電都在國產(chǎn)化，國產(chǎn)率越來越高。

從行業(yè)角度來講：一、我們要培養(yǎng)安全意識，今后將加強教育和宣傳。二、頂層設計分工。國家總體有籌劃、部署、規(guī)劃；分行業(yè)建立一個完整的規(guī)劃；地方公安系統(tǒng)都有網(wǎng)絡安全測試實驗室，但還要加上企業(yè)。三、人才培養(yǎng)方面，我們一直很重視加強專業(yè)性的培養(yǎng)，每個崗位不僅要有安全意識，還要有操作意識。四、監(jiān)管層面，要加強政府的作用，監(jiān)管隊伍、監(jiān)管素質(zhì)、監(jiān)管手段上了之后，會發(fā)揮很多的作用。

能源領域是公共系統(tǒng)網(wǎng)絡安全的重要方面，我們不能輕視，也正在加強，希望有關方面繼續(xù)給與支持。

張銘：立法要細，規(guī)劃要明確，設備必須國產(chǎn)化

要用發(fā)展網(wǎng)絡安全產(chǎn)業(yè)的模式，解決中國網(wǎng)絡安全問題。我認為，在工業(yè)領域，用產(chǎn)業(yè)網(wǎng)絡控制安全的概念更好，產(chǎn)業(yè)不只是工業(yè)，還有其他的。中國有一個非常大的網(wǎng)絡安全產(chǎn)業(yè)。這個領域會誕生非常大的企業(yè)，一定要把這個產(chǎn)業(yè)發(fā)展好。

怎么發(fā)展產(chǎn)業(yè)，我提幾點建議。

第一，立法必須要有。我們現(xiàn)在有一個網(wǎng)絡安全征求意見稿。法律一定要細，如果大的法律解決不了問題，實施細則就一定要細，一定要能夠操作。這么大的一個產(chǎn)業(yè)，如果用市場經(jīng)濟的辦法來解決，首先要把法規(guī)制定好。

第二，需要一個工控網(wǎng)絡方面的規(guī)劃。這個規(guī)劃必須要明確目標、部門之間協(xié)作、政策支持、后續(xù)保障、協(xié)調(diào)機制等等。企業(yè)有企業(yè)的定位，政府有政府的定位，制定好目標，就會有監(jiān)督，有檢查，很多事情才能落實到位。

第三，自主知識產(chǎn)權核心設備國產(chǎn)化，這個必須要解決。

第四，意識培訓，大家都用互聯(lián)網(wǎng)，大家要有網(wǎng)絡安全的意識。我覺得這部分，政府應該拿點錢，企業(yè)也會愿意拿點錢，把這個錢給行業(yè)協(xié)會，讓它組織培訓。

秦昌桂：工業(yè)控制網(wǎng)絡安全，關鍵是人才

關于公共安全，工業(yè)控制網(wǎng)絡安全已經(jīng)作為網(wǎng)絡安全，也是作為國家安全，納入國家最高戰(zhàn)略，凡是自動化程度越高，智能化程度越高，它的安全更危險。工業(yè)控制網(wǎng)絡安全的重要性是顯而易見的。但關鍵一點還是人才，你講國產(chǎn)化也好，什么也好，講到底就是人才。安全體系一定是要有自己的產(chǎn)品、自己的技術。工業(yè)控制網(wǎng)絡安全的企業(yè)，從國家層面來講，一定要自主培養(yǎng)人才。

網(wǎng)絡安全方面，大家對信息安全是主動防守，強調(diào)得更重要，對自動化特別是生產(chǎn)領域、經(jīng)濟領域是忽視的。不要擴大威脅，但是也不要忽視威脅，還要考慮自身的防御。你的病毒、漏洞自己可以破壞你自己的體系。從我們基金會來講，一定要利用社會的力量，除了加大對網(wǎng)絡安全宣傳周支持，我們重點支持網(wǎng)絡安全人才的培養(yǎng)，人是最根本的。

高林：關于加強信息安全標準化工作的指導意見今年會很快出臺

做好工業(yè)控制網(wǎng)絡安全，需要從幾個方面分析：

一是法規(guī)和機制層面。具體到工控網(wǎng)絡安全的事情上，在操作層面還需要進一步明確各有關部門、組織的職責。二是標準的事情。2012年國家成立了全國信息安全標準化技術委員會，形成這么一個架構(gòu)，就是要協(xié)調(diào)標準化的事情。組織上有了，做的過程中也是一個逐漸深入的過程。今年馬上要出一個政策，關于加強信息安全標準化工作的指導意見，會進一步加強工業(yè)系統(tǒng)的網(wǎng)絡安全標準統(tǒng)籌。這里面很重要的一個問題，主要的核心是工控系統(tǒng)網(wǎng)絡安全防控的要求。三是規(guī)劃層面。要做好技術保障，有很多需要在國家層面布局的，要有一批隊伍做這個事情，不能光靠政府，光靠職能部門。四是監(jiān)管層面。首先要在整個國家網(wǎng)絡安全審查制度框架之下做工控產(chǎn)品的安全審查。另外就是系統(tǒng)檢查，要明確主體責任，主體責任一定是系統(tǒng)的擁有者、運營者。五是服務層面，現(xiàn)在有很多協(xié)會和第三方機構(gòu)組織做一些服務，包括政府支持在一些單位建立通信通報、共享、追蹤等服務。

陳興躍：我們就做兩件事，一是搭建橋梁，二是建設平臺

從聯(lián)盟的角度來講，我們就做兩件事，一是搭建橋梁，二是建設平臺。所謂橋梁，就是作為產(chǎn)業(yè)和部門對接的橋梁、產(chǎn)業(yè)合作的橋梁。所謂平臺，就是聚集整個產(chǎn)業(yè)的資源，集中力量做大事。以標準工作為例，產(chǎn)業(yè)聯(lián)盟推進標準工作有先天的優(yōu)勢?？偠灾a(chǎn)業(yè)聯(lián)盟工作要代表網(wǎng)絡安全產(chǎn)業(yè)的水平。

剛才有嘉賓提到資金的問題，聯(lián)盟會員中有很多中小企業(yè)，他們有非常強的資金需要。會員企業(yè)希望在聯(lián)盟平臺上做一個產(chǎn)業(yè)的創(chuàng)新基金，在聯(lián)盟平臺上發(fā)現(xiàn)好的創(chuàng)新團隊和創(chuàng)新技術，開展專項對接扶持。

孫一桉：希望政策方面能幫助我們穿透設備供應商這“最后一道門”

工控網(wǎng)絡安全技術是衡量一個國家綜合實力的重要組成部分，也是國家安全的重要組成部分。工業(yè)控制系統(tǒng)解決安全問題特別難，它不是拿一個簡單信息安全的手段加一個工業(yè)的殼就可以解決，它必須和各個行業(yè)深入對接。

我們在推廣過程中有一個巨大的障礙，就是設備供應商。國產(chǎn)設備供應商是比較開放的，但在國外的設備供應商那里遭遇了很大的阻力，這對我們是潛在的、巨大的危害。我們不能走到互聯(lián)網(wǎng)安全那條老路上去，讓設備供應商自己做系統(tǒng)的安全維護，后門都打開了，還全然不知。所以，在這個領域，我強烈呼吁各方能一同協(xié)力，穿透“最后一道門”，讓設備供應商開放出來，用自主可控的安全手段來解決安全問題，不要重蹈過去互聯(lián)網(wǎng)安全的覆轍。

工業(yè)網(wǎng)絡安全，是信息安全與工業(yè)自動化的跨學科的集成，涉及到國家安全、經(jīng)濟安全、民生安全，是新經(jīng)濟時代一個基礎性的、亟待解決的問題，需要各級政府部門、各行業(yè)一起來加速推動。

白津夫：網(wǎng)絡經(jīng)濟安全不是網(wǎng)絡安全，須采取新舉措

工業(yè)控制網(wǎng)絡安全，強調(diào)的是網(wǎng)絡經(jīng)濟層面，網(wǎng)絡經(jīng)濟安全不是一般意義上的網(wǎng)絡安全。隨著“互聯(lián)網(wǎng)+”和網(wǎng)絡經(jīng)濟不斷發(fā)展，網(wǎng)絡安全風險不斷放大，切不可掉以輕心。

應對這樣一個復雜的局面，要有一些新的舉措。一是深化工控網(wǎng)絡安全的研究，加大宣傳力度，進一步增加社會共識。二是加快制定國家網(wǎng)絡經(jīng)濟安全的標準。三是提高技術手段和防御能力，重點支持本土技術的創(chuàng)新和產(chǎn)業(yè)化。四是建立工控安全責任體系，從政府層面、企業(yè)層面如何來固化體系合理分工、合理推進。五是建立完備的工控網(wǎng)絡安全體系，要技術設備一體化，要解決工控設備結(jié)構(gòu)安全、本體安全、行為安全，實現(xiàn)基因安全和運行維護的可持續(xù)性。

更多資訊，請關注工業(yè)安全頻道。