習近平總書記在黨的十九大報告中全面系統(tǒng)深刻地論述了堅持總體國家安全觀的重要思想。2018年4月20-21日召開的全國網(wǎng)絡安全和信息化工作會議上，習近平總書記進一步強調(diào)指出，要“樹立正確的網(wǎng)絡安全觀，加強信息基礎設施網(wǎng)絡安全防護”。我國政府對網(wǎng)絡安全，特別是工業(yè)互聯(lián)網(wǎng)安全非常重視。工業(yè)和信息化部聯(lián)合教育部、人力資源社會保障部、生態(tài)環(huán)境部、衛(wèi)生健康委員會、應急管理部、國有資產(chǎn)監(jiān)督管理委員會、國家市場監(jiān)管總局、國家能源局、國防科技工業(yè)局等十部委共同印發(fā)了《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》（以下簡稱《安全指導意見》），體系化推進工業(yè)互聯(lián)網(wǎng)工作。《安全指導意見》正式頒布，是我國工業(yè)互聯(lián)網(wǎng)安全體系建設的一個重要進步，意味著我國工業(yè)互聯(lián)網(wǎng)安全建設進入到法治化、制度化、專業(yè)化的新階段，標志著中國工業(yè)互聯(lián)網(wǎng)安全體系基本形成。《安全指導意見》從企業(yè)主體責任、政府監(jiān)管責任出發(fā)，圍繞設備、控制、網(wǎng)絡、平臺、數(shù)據(jù)安全等方面，以健全制度機制、建設技術手段、促進產(chǎn)業(yè)發(fā)展、強化人才培育為基本內(nèi)容，實現(xiàn)工業(yè)互聯(lián)網(wǎng)安全的全面管理。《安全指導意見》對加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系，提升工業(yè)互聯(lián)網(wǎng)安全保障能力，促進工業(yè)互聯(lián)網(wǎng)高質(zhì)量發(fā)展，推動現(xiàn)代化經(jīng)濟體系建設，護航制造強國和網(wǎng)絡強國戰(zhàn)略實施，有著極其重要的意義。

在“互聯(lián)網(wǎng)+先進制造業(yè)”的新時代背景下，《安全指導意見》以全面保障工業(yè)互聯(lián)網(wǎng)安全為出發(fā)點，對制度機制、技術手段、產(chǎn)業(yè)發(fā)展等方面制定相關目標，充分體現(xiàn)了工業(yè)互聯(lián)網(wǎng)領域的統(tǒng)籌指導原則，依法構(gòu)建科學嚴密規(guī)范的監(jiān)管制度，最大限度地保障工業(yè)互聯(lián)網(wǎng)的安全。

《安全指導意見》清晰地界定了工業(yè)互聯(lián)網(wǎng)安全保障體系初步建立的近期目標和遠期目標，為工業(yè)互聯(lián)網(wǎng)建立依法共建共治共享的安全體系打下基礎。

《安全指導意見》從工業(yè)互聯(lián)網(wǎng)安全的幾個方面入手，分別提出了切實可行的目標。制度機制方面，建立監(jiān)督檢查、信息共享和通報、應急處置等工業(yè)互聯(lián)網(wǎng)安全管理制度，構(gòu)建企業(yè)安全主體責任制，制定設備、平臺、數(shù)據(jù)等至少20項亟需的工業(yè)互聯(lián)網(wǎng)安全標準，探索構(gòu)建工業(yè)互聯(lián)網(wǎng)安全評估體系。技術手段方面，初步建成國家工業(yè)互聯(lián)網(wǎng)安全技術保障平臺、基礎資源庫和安全測試驗證環(huán)境。產(chǎn)業(yè)發(fā)展方面，在汽車、電子信息、航空航天、能源等重點領域，形成至少20個創(chuàng)新實用的安全產(chǎn)品、解決方案的試點示范，培育若干具有核心競爭力的工業(yè)互聯(lián)網(wǎng)安全企業(yè)。這些制度，為工業(yè)互聯(lián)網(wǎng)中各方向的目標提出了明確的要求，為良好的管理體系提供了重要的制度保障。

尤其值得注意的是，為了確保目標的前瞻性，《安全指導意見》還提出了遠期目標，到2025年，制度機制健全完善，技術手段能力顯著提升，安全產(chǎn)業(yè)形成規(guī)模，基本建立起較為完備可靠的工業(yè)互聯(lián)網(wǎng)安全保障體系。這個目標是對近期目標的提升，能夠更有效確保目標路線的清晰。

任何有效的安全體系建設必須分解為不同的任務，通過各類任務的推進達到目標。《安全指導意見》提出了以下關鍵任務：推動工業(yè)互聯(lián)網(wǎng)安全責任落實，構(gòu)建工業(yè)互聯(lián)網(wǎng)安全管理體系，提升企業(yè)工業(yè)互聯(lián)網(wǎng)安全防護水平，強化工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護能力，建設國家工業(yè)互聯(lián)網(wǎng)安全技術手段，加強工業(yè)互聯(lián)網(wǎng)安全公共服務能力，推動工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展。這些關鍵任務覆蓋工業(yè)互聯(lián)網(wǎng)安全的各個方面、各個環(huán)節(jié)中的各類要素，以及各類主體。這些任務要求的是不同領域和不同議題上政策間的高度融合，是各相關政府部門和機構(gòu)間的高度協(xié)同，以及各類管理方式和管理工具的綜合使用。

針對《安全指導意見》中的主要任務，有以下幾方面需要我們強化和完善：

（1）目前，我國的工業(yè)企業(yè)已經(jīng)提高了自身對安全的重視程度，關注工業(yè)互聯(lián)網(wǎng)安全建設，也愿意在安全方面進行投入，這對工業(yè)互聯(lián)網(wǎng)安全責任落實有著極大的好處，且很多工業(yè)企業(yè)已將安全建設相關預算列入到企業(yè)整體預算之中去。但是，目前企業(yè)對自身安全狀況缺乏了解，無法得到一個適合自身的解決方案，在安全方面的投入主要集中在購買防護類產(chǎn)品，并沒有根據(jù)自身情況量身定制的相關防護，即便是購買了安全咨詢服務，也僅限于對自身進行一些安全評估、安全咨詢和安全設計，并沒有進行到實施或運營層面。當然，這些也有賴于相關工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)企業(yè)的發(fā)展，才能促進工業(yè)企業(yè)的安全建設。相信在政府履行監(jiān)督管理責任，工業(yè)和信息化部組織開展工業(yè)互聯(lián)網(wǎng)安全相關政策制定、標準研制等綜合性工作的不斷推進之下，未來，會給工業(yè)企業(yè)以及工業(yè)互聯(lián)網(wǎng)安全企業(yè)發(fā)展帶來更多的便利和機遇。

（2）構(gòu)建工業(yè)互聯(lián)網(wǎng)安全管理體系需要自上而下逐層推進。工業(yè)互聯(lián)網(wǎng)安全管理體系通過構(gòu)建涵蓋工業(yè)全系統(tǒng)的安全防護體系，打造滿足工業(yè)需求的安全技術體系和相應管理機制，識別和抵御來自內(nèi)外部的安全威脅，化解各種安全風險，是工業(yè)互聯(lián)網(wǎng)可靠運行，實現(xiàn)工業(yè)智能化的安全可信保障。為了構(gòu)建完善的工業(yè)互聯(lián)網(wǎng)安全管理體系，需要在風險評估、數(shù)據(jù)保護、信息共享和通報、應急處置等方面建立健全安全管理制度和工作機制，就需要對企業(yè)工業(yè)互聯(lián)網(wǎng)行業(yè)分類、企業(yè)分級指標進行規(guī)范，而這方面的工作目前還很少，需要相關部門積極推進，結(jié)合產(chǎn)業(yè)發(fā)展需求，加快實現(xiàn)安全體系與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的同步推進，提升安全體系的先進性、適用性和有效性。

（3）提升企業(yè)工業(yè)互聯(lián)網(wǎng)安全防護水平。工業(yè)互聯(lián)網(wǎng)安全從防護對象、防護措施及防護管理三個維度構(gòu)建。針對不同的防護對象部署相應的安全防護措施，根據(jù)實時監(jiān)測結(jié)果發(fā)現(xiàn)網(wǎng)絡中存在的或即將發(fā)生的安全問題并及時做出響應，并通過加強防護管理，明確基于安全目標的可持續(xù)改進的管理方針，從而保障工業(yè)互聯(lián)網(wǎng)的安全。其中，IPv6的部署，5G網(wǎng)的建設，IaaS、PaaS、SaaS平臺的使用，都是需要關注的重點。在安全防護過程中，需要跨行業(yè)的聯(lián)合，各相關企業(yè)的配合，除了保障自身安全之外，還需要對各方相關接口處進行安全評估，以保障整體運行的安全性。

（4）工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護能力的提升。明確數(shù)據(jù)收集、存儲、處理、轉(zhuǎn)移、刪除等環(huán)節(jié)安全保護要求，在加快推動數(shù)據(jù)資源開放共享和開發(fā)應用的同時，必須建立工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障體系，構(gòu)筑適應工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)發(fā)展的法規(guī)制度，健全工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)時代信息安全新秩序。從政策上關注工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)戰(zhàn)略性和基礎性重點領域，加快相關法律法規(guī)的出臺步伐，依法保護公民和國家的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全。平衡釋放數(shù)據(jù)經(jīng)濟活力、規(guī)范商業(yè)利用與數(shù)據(jù)資源安全和個人信息保護之間的關系，重點針對數(shù)據(jù)的收集和使用環(huán)節(jié)建立規(guī)則，明確工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)生態(tài)中不同主體的責任，促進網(wǎng)絡基礎設施的發(fā)展，開放數(shù)據(jù)資源，加強網(wǎng)絡安全與個人信息保護。這意味需要充分了解企業(yè)內(nèi)部數(shù)據(jù)的相關特征，之后針對不同類型數(shù)據(jù)采用不同安全保護等級，相關工作的責任劃分以及負責人員的責任分工，執(zhí)行起來需要有一個規(guī)范指導。

同時，為提升產(chǎn)業(yè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障能力，維護網(wǎng)絡安全秩序，考慮到工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全問題的泛在性、復雜性、專業(yè)性，以及有關術語和標準匱乏的現(xiàn)狀，需要建立工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全標準體系研究長效機制。建議立足我國國家安全管理要求和工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)有關產(chǎn)業(yè)發(fā)展現(xiàn)狀，借鑒國際國外標準化工作模式和經(jīng)驗，逐步建立我國工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全標準體系研究長效機制，持續(xù)規(guī)劃工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全標準有關術語規(guī)范、標準化體系等方面研究，以充分發(fā)揮工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全標準國家質(zhì)量技術基礎的支撐作用，有效引導工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全標準化工作科學推進。

（5）在建設國家工業(yè)互聯(lián)網(wǎng)安全技術手段方面，目前工業(yè)互聯(lián)網(wǎng)安全攻防演練相關工作遲緩，從事相關工作的企業(yè)對其理解不深入，攻防對抗技術研發(fā)流于表面形式。工業(yè)互聯(lián)網(wǎng)安全技術研發(fā)是我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)自主發(fā)展的關鍵驅(qū)動，同時也是工業(yè)互聯(lián)網(wǎng)安全標準的制定和落地實施的重要支撐。建議加強工業(yè)互聯(lián)網(wǎng)安全技術研究，包括入侵檢測、安全態(tài)勢感知、網(wǎng)絡攻擊取證、威脅情報分析等，特別要重視主動防御關鍵技術的研究。主動防御是將被動防護、入侵檢測、蜜罐誘捕、態(tài)勢分析、響應反制等多種網(wǎng)絡安全防御技術綜合運用工業(yè)互聯(lián)網(wǎng)實際環(huán)境形成的一套技術體系，在保證和增強原有網(wǎng)絡安全的基礎之上，通過大數(shù)據(jù)和人工智能形成一整套完備的工業(yè)互聯(lián)網(wǎng)安全保護體系，提升工業(yè)互聯(lián)網(wǎng)安全保障的能力。

（6）開展工業(yè)互聯(lián)網(wǎng)安全評估認證，需要摸索一個合適的安全評價體系。工業(yè)互聯(lián)網(wǎng)安全關系到國家安全、社會穩(wěn)定和個人權(quán)益，依法對工業(yè)互聯(lián)網(wǎng)進行安全審查和檢測評估是保障我國國家安全、公共利益和公民權(quán)益的一個重要手段。工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展需要工業(yè)互聯(lián)網(wǎng)安全檢測評估相關標準支撐。針對當前缺乏工業(yè)互聯(lián)網(wǎng)安全檢測評估標準的問題，需要通過對工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀、安全需求和攻防技術的深入調(diào)研，全面分析工業(yè)互聯(lián)網(wǎng)可能存在的安全隱患，確定工業(yè)互聯(lián)網(wǎng)安全審查和檢測評估的方向和重點，梳理和細化安全審查和檢測評估內(nèi)容，編制可量化、可操作的工業(yè)互聯(lián)網(wǎng)安全審查和檢測評估技術要求和測試評價方法相關標準。這個過程不但需要產(chǎn)學研相結(jié)合，探索路徑，同時，安全評價體系的建立本身也是一個演進的過程，需要各方的積極努力，才能保證形成一個比較權(quán)威公正的體系。

（7）我國工業(yè)互聯(lián)網(wǎng)安全領域的安全技術和產(chǎn)品主要依賴于國外廠商，尚未形成完整的安全服務產(chǎn)業(yè)生態(tài)體系。推動工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新與產(chǎn)業(yè)發(fā)展，需要產(chǎn)學研相結(jié)合，而目前工業(yè)企業(yè)—廠商—科研機構(gòu)的鏈條不暢，缺乏促進合作的相關項目。同時，應注重開放創(chuàng)新，加強工業(yè)互聯(lián)網(wǎng)各類行業(yè)客戶、專業(yè)服務企業(yè)之間的協(xié)同合作，發(fā)揮其在所屬領域的知識經(jīng)驗和資源優(yōu)勢，形成一系列重量級工業(yè)應用；積極打造開發(fā)者社區(qū)，通過提供開發(fā)工具，開發(fā)環(huán)境和微服務組件，吸引第三方開發(fā)者向平臺聚集，形成一系列面向特點領域、特定場景、特定功能的創(chuàng)新性工業(yè)應用。

《安全指導意見》指出了我們加強工業(yè)互聯(lián)網(wǎng)安全指導思想、基本原則和總體目標，并給出了主要任務，從政策法規(guī)方面對工業(yè)互聯(lián)網(wǎng)安全建設給出了支持，進一步完善了工業(yè)互聯(lián)網(wǎng)安全管理的體制機制。加強工業(yè)互聯(lián)網(wǎng)安全是一項必要性、系統(tǒng)性、前瞻性的工作，相信《安全指導意見》將進一步凝聚包括企業(yè)界、學術界等在內(nèi)的社會各界共識，形成共同參與、協(xié)同推進的良好局面。

作者信息：

姚羽，博士，東北大學教授、博士生導師，復雜網(wǎng)絡系統(tǒng)安全保障技術教育部工程研究中心主任，沈陽大數(shù)據(jù)局副局長（2015-2017掛職），教育部新世紀人才。主要研究方向包括工控網(wǎng)絡安全分析、網(wǎng)絡空間安全態(tài)勢感知、惡意軟件攻防分析及建模、網(wǎng)絡安全數(shù)據(jù)分析、網(wǎng)絡安全數(shù)據(jù)可視化等。作為項目負責人主持國家自然科學基金項目、教育部“新世紀人才支持計劃”項目、教育部基本科研業(yè)務費項目、遼寧省自然科學基金等科研項目10余項，發(fā)表學術論文40余篇，主編國內(nèi)第一部工業(yè)信息安全專著《工控網(wǎng)絡安全技術與實踐》，獲遼寧省科技進步二等獎、遼寧省自然科學學術成果一等獎。