倪光南:加快构建本质安全、自主可控的工业互联网

【倪光南:加快构建本质安全、自主可控的工业互联网】近日,工信部等十部委发布了《关于加强工业互联网安全工作的指导意见》(以下简称《指导意见》),明确了我国工业互联网安全工作的总体思路、基本原则和总体目标,完成了顶层设计,制定了重要任务和保障措施,为未来工业互联网安全产业的发展和创新指明了方向 。

由于我国工业互联网核心技术和高端产品对外依赖度高,《指导意见》强调从夯实设备和控制安全、提高网络设施安全、加强平台和工业应用安全三个方面提高企业工业互联网安全防护水平,进一步贯彻落实《国务院关于深化互联网先进制造业发展工业互联网的指导意见》 。

习总书记在4.19讲话中反复强调,核心技术被人束缚是我们最大的危险,核心技术是国家的重器,最重要的核心技术必须立足于自主创新、自立自强 。市场不能改变核心技术,即使有钱也买不到核心技术,必须自己开发,自己发展 。习总书记以在别人的墙基上盖房子为例,把核心部件自主控制的重要性告诉我们,如果核心部件严重依赖外国,供应链的lsquo的生命门rsquo掌握在别人手中,就像在别人的墙基上盖房子一样,即使再漂亮也能忍受风雨工业互联网涉及国家安全等核心利益 。因此,与一般的网络应用相比,对于承载各行各业全方位全天候运营的工业互联网,其安全性要求也更高,除了安全技术标准高外,还要特别强调自主控制 。近年来,一些国家发生的地震网火焰舒特等网络攻击事件表明,工业领域的网络安全问题必须高度重视,自主控制对国家工业网络安全的重要性越来越强调 。

一、自主控制是保障工业互联网安全的重要切入点 。

工业互联网作为新一代互联网信息技术与现代工业融合发展新事物,是实现生产制造领域的全要素、全产业链、全价值链接的重要支持,是工业经济数字化、网络化、智能化的重要基础设施工业互联网安全包括设备、控制、网络、平台、数据安全,是对抗状态下的安全,有攻防和敌对关系 。因此,重要的工业互联网领域必须没有后门 。这里要说明的是,后门和漏洞是不同的 。后门是指人为设置、绕过安全控制而获得系统控制和访问权的秘密机制 。设置方可随时利用后门更改系统设置,使用方难以发现 。后门的危害很大 。就像被埋的定时炸弹和木马一样,随时都会造成严重的损害 。后门可以避免 。只要是靠谱的人员,用靠谱的软硬件和硬件在严格管理下构成的系统,就能保证没有后门 。漏洞是系统存在某种缺陷,攻击者可以在未经许可的情况下访问或破坏的机制 。漏洞与后门不同,难以避免,被发现时只能修补,被攻击时加强 。

基于上述原因,核心技术可以自主控制,不受人束缚尤为重要 。核心技术是我们最大的命脉,要实现工业互联网的安全,必须尽量把重要的核心技术掌握在自己手中 。自主控制不等于安全,但是是工业互联网安全的必要条件 。如果信息核心的重要技术和基础设施受到人们的限制,由此构成的信息系统就像沙滩上的建筑物一样,在受到攻击时很快就会崩溃 。网络安全不同于传统安全概念 。传统式安全性是自然环境下的安全性,在这种环境下不存有人为对抗,而网络安全性是对抗环境下的安全性,一般存有人为对抗,形成攻防双方 。传统安全通常可以测量、预测,情况变化少,但网络安全、信息安全取决于对抗情况,测量、预测困难,情况迅速变化 。传统安全方面,选择技术、产品和服务等,主要取决于性价比 。但是,在网络安全方面,由于有攻防双方,工业互联网的重要技术设备和服务的选择首先是考察能否自主控制,这一要求往往比性价比重要 。自主控制可以说是保障工业互联网安全的首要前提 。

二、国产自主控制代替成为推进工业互联网安全的核心阵地 。

中国重要信息基础设施对外依赖度高,工信部对全国30多家大型企业130多种重要基础材料的调查结果显示,32%的重要材料在中国仍然空白,52%依赖进口,大部分计算机和服务器通用处理器95%的高端专用芯片、70%以上的智能终端处理器和大部分存储芯片依赖进口 。在设备制造领域,高级数控机床、高级设备设备、火箭运输、大型飞机、航空发动机、汽车等重要部件精加工生产线95%以上的制造和检测设备依赖进口 。

习总书记强调,在网络通信工作的一系列讲话中,加快推进国产自主控制替代计划,构建安全控制的信息技术体系 。关于网络安全信息化的重要指示是加快国产自主控制的替代计划,国产产品进入市场需要替代能力,需要替代垄断的外国产品 。我们现在所处的阶段,从跟进到领先,在这个历史阶段,我们必须强调国产自主控制的替代 。否则,这个市场就进不去了 。在未来相当长的时期,工业领域国产硬件和软件对原市场垄断者的替代将是中国的常态 。三、五年甚至几十年,必须实现对外国跨国公司垄断产品的替代 。

如果中国在网络安全空间中无法实现技术的自主控制,风险很大 。目前,穿马甲的情况值得关注,不能自主控制的外国技术假冒国产自主控制技术混入政府采购和重要领域,成为木马的可能性很高,严重影响工业互联网领域健康的良性发展 。习总书记要求加快国产自主控制的替代计划,是推进工业互联网安全的必由之路 。

三、自主控制评价标准体系是完善工业互联网安全的创新力量 。

人们在工业互联网领域自主控制的观念还不够强,供应链存在风险,不能及时发现短板,容易卡住脖子,中兴事件说明网络安全不容忽视,相关技术产品必须实现安全控制,即自主控制为了保障工业互联网的安全,中国制定自主控制评价标准意义重大,势在必行 。像性能指标、经济指标一样,自主控制作为属性可以评价,客观科学地从知识产权、技术能力、发展主导权、供应链安全和国产资质等多个方面考虑自主控制度,形成制度保障 。关于网络安全的重大问题,自主控制评价应发挥否决作用 。最近,随着中美贸易摩擦的发展,自主控制评价问题也需要适应新的情况 。例如,现在美国的技术含量超过25%的产品受到美国的出口管制 。换句话说,美国的技术发展(包括制造地位于美国、技术来自美国、海外制造但来自美国的内容),包括IP和相关核心技术,如果美国的成分超过25%,就会受到美国法律的管辖 。因此,我们必须严格自主评价引进或合作的技术产品,防止美国技术含量远远超过25%的技术产品穿过马甲,引进工业互联网的基础设施和重要系统,构成重大安全危险 。

    推荐阅读