習(xí)近平總書記在黨的十九大報告中全面系統(tǒng)深刻地論述了堅持總體國家安全觀的重要思想。2018年4月20-21日召開的全國網(wǎng)絡(luò)安全和信息化工作會議上，習(xí)近平總書記進(jìn)一步強(qiáng)調(diào)指出，要“樹立正確的網(wǎng)絡(luò)安全觀，加強(qiáng)信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)”。我國政府對網(wǎng)絡(luò)安全，特別是工業(yè)互聯(lián)網(wǎng)安全非常重視。工業(yè)和信息化部聯(lián)合教育部、人力資源社會保障部、生態(tài)環(huán)境部、衛(wèi)生健康委員會、應(yīng)急管理部、國有資產(chǎn)監(jiān)督管理委員會、國家市場監(jiān)管總局、國家能源局、國防科技工業(yè)局等十部委共同印發(fā)了《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》（以下簡稱《安全指導(dǎo)意見》），體系化推進(jìn)工業(yè)互聯(lián)網(wǎng)工作。《安全指導(dǎo)意見》正式頒布，是我國工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)的一個重要進(jìn)步，意味著我國工業(yè)互聯(lián)網(wǎng)安全建設(shè)進(jìn)入到法治化、制度化、專業(yè)化的新階段，標(biāo)志著中國工業(yè)互聯(lián)網(wǎng)安全體系基本形成?！栋踩笇?dǎo)意見》從企業(yè)主體責(zé)任、政府監(jiān)管責(zé)任出發(fā)，圍繞設(shè)備、控制、網(wǎng)絡(luò)、平臺、數(shù)據(jù)安全等方面，以健全制度機(jī)制、建設(shè)技術(shù)手段、促進(jìn)產(chǎn)業(yè)發(fā)展、強(qiáng)化人才培育為基本內(nèi)容，實現(xiàn)工業(yè)互聯(lián)網(wǎng)安全的全面管理?！栋踩笇?dǎo)意見》對加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系，提升工業(yè)互聯(lián)網(wǎng)安全保障能力，促進(jìn)工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展，推動現(xiàn)代化經(jīng)濟(jì)體系建設(shè)，護(hù)航制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略實施，有著極其重要的意義。

在“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”的新時代背景下，《安全指導(dǎo)意見》以全面保障工業(yè)互聯(lián)網(wǎng)安全為出發(fā)點，對制度機(jī)制、技術(shù)手段、產(chǎn)業(yè)發(fā)展等方面制定相關(guān)目標(biāo)，充分體現(xiàn)了工業(yè)互聯(lián)網(wǎng)領(lǐng)域的統(tǒng)籌指導(dǎo)原則，依法構(gòu)建科學(xué)嚴(yán)密規(guī)范的監(jiān)管制度，最大限度地保障工業(yè)互聯(lián)網(wǎng)的安全。

《安全指導(dǎo)意見》清晰地界定了工業(yè)互聯(lián)網(wǎng)安全保障體系初步建立的近期目標(biāo)和遠(yuǎn)期目標(biāo)，為工業(yè)互聯(lián)網(wǎng)建立依法共建共治共享的安全體系打下基礎(chǔ)。

《安全指導(dǎo)意見》從工業(yè)互聯(lián)網(wǎng)安全的幾個方面入手，分別提出了切實可行的目標(biāo)。制度機(jī)制方面，建立監(jiān)督檢查、信息共享和通報、應(yīng)急處置等工業(yè)互聯(lián)網(wǎng)安全管理制度，構(gòu)建企業(yè)安全主體責(zé)任制，制定設(shè)備、平臺、數(shù)據(jù)等至少20項亟需的工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)，探索構(gòu)建工業(yè)互聯(lián)網(wǎng)安全評估體系。技術(shù)手段方面，初步建成國家工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障平臺、基礎(chǔ)資源庫和安全測試驗證環(huán)境。產(chǎn)業(yè)發(fā)展方面，在汽車、電子信息、航空航天、能源等重點領(lǐng)域，形成至少20個創(chuàng)新實用的安全產(chǎn)品、解決方案的試點示范，培育若干具有核心競爭力的工業(yè)互聯(lián)網(wǎng)安全企業(yè)。這些制度，為工業(yè)互聯(lián)網(wǎng)中各方向的目標(biāo)提出了明確的要求，為良好的管理體系提供了重要的制度保障。

尤其值得注意的是，為了確保目標(biāo)的前瞻性，《安全指導(dǎo)意見》還提出了遠(yuǎn)期目標(biāo)，到2025年，制度機(jī)制健全完善，技術(shù)手段能力顯著提升，安全產(chǎn)業(yè)形成規(guī)模，基本建立起較為完備可靠的工業(yè)互聯(lián)網(wǎng)安全保障體系。這個目標(biāo)是對近期目標(biāo)的提升，能夠更有效確保目標(biāo)路線的清晰。

任何有效的安全體系建設(shè)必須分解為不同的任務(wù)，通過各類任務(wù)的推進(jìn)達(dá)到目標(biāo)?！栋踩笇?dǎo)意見》提出了以下關(guān)鍵任務(wù)：推動工業(yè)互聯(lián)網(wǎng)安全責(zé)任落實，構(gòu)建工業(yè)互聯(lián)網(wǎng)安全管理體系，提升企業(yè)工業(yè)互聯(lián)網(wǎng)安全防護(hù)水平，強(qiáng)化工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)能力，建設(shè)國家工業(yè)互聯(lián)網(wǎng)安全技術(shù)手段，加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全公共服務(wù)能力，推動工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展。這些關(guān)鍵任務(wù)覆蓋工業(yè)互聯(lián)網(wǎng)安全的各個方面、各個環(huán)節(jié)中的各類要素，以及各類主體。這些任務(wù)要求的是不同領(lǐng)域和不同議題上政策間的高度融合，是各相關(guān)政府部門和機(jī)構(gòu)間的高度協(xié)同，以及各類管理方式和管理工具的綜合使用。

針對《安全指導(dǎo)意見》中的主要任務(wù)，有以下幾方面需要我們強(qiáng)化和完善：

（1）目前，我國的工業(yè)企業(yè)已經(jīng)提高了自身對安全的重視程度，關(guān)注工業(yè)互聯(lián)網(wǎng)安全建設(shè)，也愿意在安全方面進(jìn)行投入，這對工業(yè)互聯(lián)網(wǎng)安全責(zé)任落實有著極大的好處，且很多工業(yè)企業(yè)已將安全建設(shè)相關(guān)預(yù)算列入到企業(yè)整體預(yù)算之中去。但是，目前企業(yè)對自身安全狀況缺乏了解，無法得到一個適合自身的解決方案，在安全方面的投入主要集中在購買防護(hù)類產(chǎn)品，并沒有根據(jù)自身情況量身定制的相關(guān)防護(hù)，即便是購買了安全咨詢服務(wù)，也僅限于對自身進(jìn)行一些安全評估、安全咨詢和安全設(shè)計，并沒有進(jìn)行到實施或運(yùn)營層面。當(dāng)然，這些也有賴于相關(guān)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)企業(yè)的發(fā)展，才能促進(jìn)工業(yè)企業(yè)的安全建設(shè)。相信在政府履行監(jiān)督管理責(zé)任，工業(yè)和信息化部組織開展工業(yè)互聯(lián)網(wǎng)安全相關(guān)政策制定、標(biāo)準(zhǔn)研制等綜合性工作的不斷推進(jìn)之下，未來，會給工業(yè)企業(yè)以及工業(yè)互聯(lián)網(wǎng)安全企業(yè)發(fā)展帶來更多的便利和機(jī)遇。

（2）構(gòu)建工業(yè)互聯(lián)網(wǎng)安全管理體系需要自上而下逐層推進(jìn)。工業(yè)互聯(lián)網(wǎng)安全管理體系通過構(gòu)建涵蓋工業(yè)全系統(tǒng)的安全防護(hù)體系，打造滿足工業(yè)需求的安全技術(shù)體系和相應(yīng)管理機(jī)制，識別和抵御來自內(nèi)外部的安全威脅，化解各種安全風(fēng)險，是工業(yè)互聯(lián)網(wǎng)可靠運(yùn)行，實現(xiàn)工業(yè)智能化的安全可信保障。為了構(gòu)建完善的工業(yè)互聯(lián)網(wǎng)安全管理體系，需要在風(fēng)險評估、數(shù)據(jù)保護(hù)、信息共享和通報、應(yīng)急處置等方面建立健全安全管理制度和工作機(jī)制，就需要對企業(yè)工業(yè)互聯(lián)網(wǎng)行業(yè)分類、企業(yè)分級指標(biāo)進(jìn)行規(guī)范，而這方面的工作目前還很少，需要相關(guān)部門積極推進(jìn)，結(jié)合產(chǎn)業(yè)發(fā)展需求，加快實現(xiàn)安全體系與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的同步推進(jìn)，提升安全體系的先進(jìn)性、適用性和有效性。

（3）提升企業(yè)工業(yè)互聯(lián)網(wǎng)安全防護(hù)水平。工業(yè)互聯(lián)網(wǎng)安全從防護(hù)對象、防護(hù)措施及防護(hù)管理三個維度構(gòu)建。針對不同的防護(hù)對象部署相應(yīng)的安全防護(hù)措施，根據(jù)實時監(jiān)測結(jié)果發(fā)現(xiàn)網(wǎng)絡(luò)中存在的或即將發(fā)生的安全問題并及時做出響應(yīng)，并通過加強(qiáng)防護(hù)管理，明確基于安全目標(biāo)的可持續(xù)改進(jìn)的管理方針，從而保障工業(yè)互聯(lián)網(wǎng)的安全。其中，IPv6的部署，5G網(wǎng)的建設(shè)，IaaS、PaaS、SaaS平臺的使用，都是需要關(guān)注的重點。在安全防護(hù)過程中，需要跨行業(yè)的聯(lián)合，各相關(guān)企業(yè)的配合，除了保障自身安全之外，還需要對各方相關(guān)接口處進(jìn)行安全評估，以保障整體運(yùn)行的安全性。

（4）工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)能力的提升。明確數(shù)據(jù)收集、存儲、處理、轉(zhuǎn)移、刪除等環(huán)節(jié)安全保護(hù)要求，在加快推動數(shù)據(jù)資源開放共享和開發(fā)應(yīng)用的同時，必須建立工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障體系，構(gòu)筑適應(yīng)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)發(fā)展的法規(guī)制度，健全工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)時代信息安全新秩序。從政策上關(guān)注工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)戰(zhàn)略性和基礎(chǔ)性重點領(lǐng)域，加快相關(guān)法律法規(guī)的出臺步伐，依法保護(hù)公民和國家的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全。平衡釋放數(shù)據(jù)經(jīng)濟(jì)活力、規(guī)范商業(yè)利用與數(shù)據(jù)資源安全和個人信息保護(hù)之間的關(guān)系，重點針對數(shù)據(jù)的收集和使用環(huán)節(jié)建立規(guī)則，明確工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)生態(tài)中不同主體的責(zé)任，促進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的發(fā)展，開放數(shù)據(jù)資源，加強(qiáng)網(wǎng)絡(luò)安全與個人信息保護(hù)。這意味需要充分了解企業(yè)內(nèi)部數(shù)據(jù)的相關(guān)特征，之后針對不同類型數(shù)據(jù)采用不同安全保護(hù)等級，相關(guān)工作的責(zé)任劃分以及負(fù)責(zé)人員的責(zé)任分工，執(zhí)行起來需要有一個規(guī)范指導(dǎo)。

同時，為提升產(chǎn)業(yè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障能力，維護(hù)網(wǎng)絡(luò)安全秩序，考慮到工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全問題的泛在性、復(fù)雜性、專業(yè)性，以及有關(guān)術(shù)語和標(biāo)準(zhǔn)匱乏的現(xiàn)狀，需要建立工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全標(biāo)準(zhǔn)體系研究長效機(jī)制。建議立足我國國家安全管理要求和工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)有關(guān)產(chǎn)業(yè)發(fā)展現(xiàn)狀，借鑒國際國外標(biāo)準(zhǔn)化工作模式和經(jīng)驗，逐步建立我國工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全標(biāo)準(zhǔn)體系研究長效機(jī)制，持續(xù)規(guī)劃工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全標(biāo)準(zhǔn)有關(guān)術(shù)語規(guī)范、標(biāo)準(zhǔn)化體系等方面研究，以充分發(fā)揮工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全標(biāo)準(zhǔn)國家質(zhì)量技術(shù)基礎(chǔ)的支撐作用，有效引導(dǎo)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全標(biāo)準(zhǔn)化工作科學(xué)推進(jìn)。

（5）在建設(shè)國家工業(yè)互聯(lián)網(wǎng)安全技術(shù)手段方面，目前工業(yè)互聯(lián)網(wǎng)安全攻防演練相關(guān)工作遲緩，從事相關(guān)工作的企業(yè)對其理解不深入，攻防對抗技術(shù)研發(fā)流于表面形式。工業(yè)互聯(lián)網(wǎng)安全技術(shù)研發(fā)是我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)自主發(fā)展的關(guān)鍵驅(qū)動，同時也是工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的制定和落地實施的重要支撐。建議加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全技術(shù)研究，包括入侵檢測、安全態(tài)勢感知、網(wǎng)絡(luò)攻擊取證、威脅情報分析等，特別要重視主動防御關(guān)鍵技術(shù)的研究。主動防御是將被動防護(hù)、入侵檢測、蜜罐誘捕、態(tài)勢分析、響應(yīng)反制等多種網(wǎng)絡(luò)安全防御技術(shù)綜合運(yùn)用工業(yè)互聯(lián)網(wǎng)實際環(huán)境形成的一套技術(shù)體系，在保證和增強(qiáng)原有網(wǎng)絡(luò)安全的基礎(chǔ)之上，通過大數(shù)據(jù)和人工智能形成一整套完備的工業(yè)互聯(lián)網(wǎng)安全保護(hù)體系，提升工業(yè)互聯(lián)網(wǎng)安全保障的能力。

（6）開展工業(yè)互聯(lián)網(wǎng)安全評估認(rèn)證，需要摸索一個合適的安全評價體系。工業(yè)互聯(lián)網(wǎng)安全關(guān)系到國家安全、社會穩(wěn)定和個人權(quán)益，依法對工業(yè)互聯(lián)網(wǎng)進(jìn)行安全審查和檢測評估是保障我國國家安全、公共利益和公民權(quán)益的一個重要手段。工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展需要工業(yè)互聯(lián)網(wǎng)安全檢測評估相關(guān)標(biāo)準(zhǔn)支撐。針對當(dāng)前缺乏工業(yè)互聯(lián)網(wǎng)安全檢測評估標(biāo)準(zhǔn)的問題，需要通過對工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀、安全需求和攻防技術(shù)的深入調(diào)研，全面分析工業(yè)互聯(lián)網(wǎng)可能存在的安全隱患，確定工業(yè)互聯(lián)網(wǎng)安全審查和檢測評估的方向和重點，梳理和細(xì)化安全審查和檢測評估內(nèi)容，編制可量化、可操作的工業(yè)互聯(lián)網(wǎng)安全審查和檢測評估技術(shù)要求和測試評價方法相關(guān)標(biāo)準(zhǔn)。這個過程不但需要產(chǎn)學(xué)研相結(jié)合，探索路徑，同時，安全評價體系的建立本身也是一個演進(jìn)的過程，需要各方的積極努力，才能保證形成一個比較權(quán)威公正的體系。

（7）我國工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的安全技術(shù)和產(chǎn)品主要依賴于國外廠商，尚未形成完整的安全服務(wù)產(chǎn)業(yè)生態(tài)體系。推動工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展，需要產(chǎn)學(xué)研相結(jié)合，而目前工業(yè)企業(yè)—廠商—科研機(jī)構(gòu)的鏈條不暢，缺乏促進(jìn)合作的相關(guān)項目。同時，應(yīng)注重開放創(chuàng)新，加強(qiáng)工業(yè)互聯(lián)網(wǎng)各類行業(yè)客戶、專業(yè)服務(wù)企業(yè)之間的協(xié)同合作，發(fā)揮其在所屬領(lǐng)域的知識經(jīng)驗和資源優(yōu)勢，形成一系列重量級工業(yè)應(yīng)用；積極打造開發(fā)者社區(qū)，通過提供開發(fā)工具，開發(fā)環(huán)境和微服務(wù)組件，吸引第三方開發(fā)者向平臺聚集，形成一系列面向特點領(lǐng)域、特定場景、特定功能的創(chuàng)新性工業(yè)應(yīng)用。

《安全指導(dǎo)意見》指出了我們加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全指導(dǎo)思想、基本原則和總體目標(biāo)，并給出了主要任務(wù)，從政策法規(guī)方面對工業(yè)互聯(lián)網(wǎng)安全建設(shè)給出了支持，進(jìn)一步完善了工業(yè)互聯(lián)網(wǎng)安全管理的體制機(jī)制。加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全是一項必要性、系統(tǒng)性、前瞻性的工作，相信《安全指導(dǎo)意見》將進(jìn)一步凝聚包括企業(yè)界、學(xué)術(shù)界等在內(nèi)的社會各界共識，形成共同參與、協(xié)同推進(jìn)的良好局面。

作者信息：

姚羽，博士，東北大學(xué)教授、博士生導(dǎo)師，復(fù)雜網(wǎng)絡(luò)系統(tǒng)安全保障技術(shù)教育部工程研究中心主任，沈陽大數(shù)據(jù)局副局長（2015-2017掛職），教育部新世紀(jì)人才。主要研究方向包括工控網(wǎng)絡(luò)安全分析、網(wǎng)絡(luò)空間安全態(tài)勢感知、惡意軟件攻防分析及建模、網(wǎng)絡(luò)安全數(shù)據(jù)分析、網(wǎng)絡(luò)安全數(shù)據(jù)可視化等。作為項目負(fù)責(zé)人主持國家自然科學(xué)基金項目、教育部“新世紀(jì)人才支持計劃”項目、教育部基本科研業(yè)務(wù)費(fèi)項目、遼寧省自然科學(xué)基金等科研項目10余項，發(fā)表學(xué)術(shù)論文40余篇，主編國內(nèi)第一部工業(yè)信息安全專著《工控網(wǎng)絡(luò)安全技術(shù)與實踐》，獲遼寧省科技進(jìn)步二等獎、遼寧省自然科學(xué)學(xué)術(shù)成果一等獎。