尹丽波

李克强总理在今年的政府工作报告中明确提出制定推行“互联网+”行动计划,加快移动互联网、云计算、大数据、物联网等与现代制造业的结合,促进工业互联网等新业态的健康发展。在“互联网+”时代,关键信息基础设施互联互通是未来的发展趋势,互联互通一方面可以实现数据高效交互、信息资源共享、快速协同工作,提高生产力、提升创新能力、减少工业能源与资源的消耗、助力产业模式转型升级。但另一方面,如果网络安全保障缺失,也会因为互联互通引发严重的安全问题,使关键信息基础设施面临着来自内部和外部的各种网络安全风险。

在互联网环境下,针对关键信息基础设施的新型攻击技术手段层出不穷,能源、关键制造、电力等重要行业关键信息基础设施成为了网络攻击的“重灾区”。近年来,随着关键信息基础设施互联互通的发展,各种网络安全事件时有发生。面对如此严峻的网络安全形势,建议重点从以下四个方面加强关键信息基础设施的网络安全保障能力建设。

一、推进关键信息基础设施的在线安全监测

从关键信息基础设施网络安全风险“可发现”入手,建设关键信息基础设施在线安全监测能力,通过对国内互联网进行持续的、实时的扫描监测,识别出符合关键信息基础设施控制系统网络指纹特征的IP,搜索暴露在互联网上的关键信息基础设施控制系统基本信息,掌握暴露在互联网上的关键信息基础设施控制系统的数量、所属行业和所属地区,分析其存在的网络安全风险,督促地方主管部门和关键信息基础设施控制系统运营单位及时开展风险消减工作。

二、建立关键信息基础设施网络安全风险信息共享机制

研究建立网络安全风险信息共享机制,明确行业主管部门、科研机构、关键信息基础设施运营单位、设备生产厂商、安全企业等各方职责。在主管部门的指导下,建设国家关键信息基础设施网络安全风险信息共享平台,将关键信息基础设施网络安全风险信息、消减方案、安全态势及时通报给相关部门、科研机构和受影响的运营单位,提升对关键信息基础设施网络安全突发事件的应急处置能力。

三、加强关键信息基础设施安全防护技术研究

支持科研机构、关键信息基础设施运营单位、厂商和安全企业推进关键信息基础设施安全实验室建设。结合重点行业的典型关键信息基础设施控制系统的体系架构特征,建设关键信息基础设施安全测试床和模拟仿真环境,提升关键信息基础设施安全事件分析、漏洞分析、恶意软件和代码分析、芯片级硬件安全分析、协议分析、日志分析、逆向工程等技术能力,研究安全防护策略与流程,从工业设备安全、网络安全、应用安全、边界安全四方面保证关键信息基础设施设备、数据和系统的安全。

四、加快建立关键信息基础设施产品与服务安全审查制度

建立关键信息基础设施产品与服务安全审查制度,对关键信息基础设施产品与服务进行分类审查、检测和管理,特别加强对产品安全性和可控性的审查。在关键信息基础设施采购过程中,推进供应链安全审查。

我国一直高度重视关键信息基础设施网络安全保障工作,国家对关键信息基础设施做出了一系列重要决策和部署,关键信息基础设施网络安全意识得到了大幅度的提升。但是做好关键信息基础设施的网络安全保障工作是一个长期的过程,建议首先从关键信息基础设施网络安全风险“可发现”入手,准确掌握我国关键信息基础设施网络安全态势信息,同时推进实现政府部门、科研机构、运营单位、厂商和安全企业等各方之间的网络安全信息共享,加强关键信息基础设施安全防护技术研究和应用,最后依托网络安全审查制度有效保障“互联网+”时代背景下关键信息基础设施的网络安全。(工业和信息化部电子科学技术情报研究所总工程师 尹丽波)