倪光南院士:加快构建本质安全、自主可控的工业互联网

2019年11月25日  郑州扁担科技

近日,工业和信息化部等十部委下发了《加强工业互联网安全工作的指导意见》(以下简称《指导意见》),明确了我国工业互联网安全工作的总体思路、基本原则和总体目标,完成了工业互联网安全工作的各项任务顶层设计,制定重点任务和保障措施,为未来工业互联网安全产业的发展和创新指明方向。

由于我国工业互联网核心技术和高端产品高度依赖国外,《指导意见》强调从加强设备和控制安全、提高网络设施安全、强化平台和工业应用程序安全三个方面提高企业工业互联网安全防护水平,并进一步落实《国务院关于深化“互联网 + 先进制造业”发 展工业互联网的指导意见》。

“核心技术受制于人是我们最大的隐患”,“核心技术是国之重器”。最关键、最核心的技术应该建立在自主创新、自力更生的基础上。市场无法交换核心技术,金钱无法购买核心技术,我们只能依靠自己的研发。”

如果把核心部件自我控制的重要性形容为“在别人墙上盖房子”,如果核心部件严重依赖国外,而供应链的“生命线”掌握在别人手中,那就好比在别人墙上盖房子。不管它有多大或多漂亮,都可能经受不住风雨,甚至是脆弱的。”.

工业互联网涉及国家安全等核心利益。因此,与一般的网络应用相比,承载各行各业全方位、全天候运行的工业互联网的安全要求也更高。除了高安全技术标准,我们还必须特别注意自主可控。近年来,一些国家的“震网”、“火焰”、“舒特”等网络攻击表明,必须高度重视工业领域的网络安全,自主控制对国家工业互联网安全的重要性日益凸显。

自主可控是保证工业互联网安全的关键

工业互联网作为新一代网络信息技术与现代产业融合产生的新事物,是实现生产制造领域各要素、各产业链、各价值链连接的关键支撑,是工业经济数字化、网络化、智能化的重要基础设施,是互联网从消费领域向生产领域、从虚拟经济向实体经济载体拓展的核心。工业互联网安全包括设备、控制、网络、平台和数据安全,是指处于对抗状态的安全,具有攻防甚至敌对关系。因此,在重要的工业互联网领域,决不能有后门。

这里需要注意的是,后门与漏洞不同。后门是一种可以绕过安全控制并访问系统的秘密机制。设置方可以通过后门随时更改系统设置,用户很难注意到。后门危害性很大。它就像埋在人们心中的“定时炸弹”或“木马”,随时可能造成严重破坏。后门是可以避开的。只要是一个由可靠的人员、可信的硬件和软件组在严格的管理下成的系统,就不会有后门。“漏洞”是一种攻击者可以在未经授权的情况下访问或破坏系统的机制。漏洞不像后门,很难避免。它只有在被发现时才能被修复,被攻击时才能被加固。

基于以上原因,核心技术是自主可控的,不受他人控制尤为重要。核心技术是我们最大的“命脉”。要实现工业互联网的安全,就要尽可能掌握自己手中的关键核心技术,避免处于被动地位。

虽然自主控制并不等于安全,但它是工业互联网安全的必要条件。如果信息核心的关键技术和基础设施被人控制,由此形成的信息系统就像一座沙滩上的建筑,一旦受到攻击,它将瞬间倒塌。

网络安全的概念不同于传统的安全概念。传统安全是指在自然环境中的安全,其中不存在人为对抗,而网络安全是指在对抗环境中的安全,一般都存在人为对抗,形成攻防双方。

传统的安全往往可以在态势变化不大的情况下进行测量和预测,而网络安全和信息安全则依赖于对峙态势,对峙态势难以测量和预测,态势变化迅速。对于传统的安全性,技术、产品和服务的选择主要基于性价比。

然而,对于网络安全来说,由于攻防两面性,工业互联网关键核心技术设备和服务的选择首先要考察它们能否独立控制,这往往比性价比更为重要。可以说,自控是保证工业互联网安全的首要前提。

国内自主可控替代成为提升工业互联网安全的核心阵地

我国关键信息基础设施对外依存度高,工业和信息化部对全国30多家大型企业的130多种关键基础材料进行了调研。结果表明,我国32%的关键材料仍属空白,52%为进口,95%以上的通用计算机和服务器处理器为高端专用芯片,70%以上的智能终端处理器和绝大多数存储芯片为进口口。在装备制造领域,高端数控机床、高端装备仪表、运载火箭、大型飞机、航空发动机、汽车等关键零部件精加工生产线上95%以上的制造和检测设备进口。

如果中国不能实现对网络空间技术的自主控制,将面临巨大的风险。目前,“穿马甲”的情况值得关注。无法独立控制的国外技术假冒国内独立可控技术,混入政府采购和重要领域,很可能成为木马,严重影响工业互联网领域的健康健康发展。习总书记要求加快推进国内自主可控的替代计划,这是我们推进工业互联网安全的必由之路。

自主可控的评价标准体系是提高工业互联网安全的创新驱动点

人们在工业互联网领域的自控观念还不够强,供应链中存在着无法及时发现的风险,很容易被“卡住”。中兴事件表明,网络安全不容忽视,相关技术产品必须是安全可控的,即自主可控、安全可靠(或安全可靠)。

为了保证工业互联网的安全,我国制定独立可控的评价标准具有重要意义和紧迫性。与绩效指标、经济指标一样,可以对自主性和可控性进行评价,目的是从知识产权、技术能力、发展主动性等多方面客观、科学地考虑自主性和可控性的程度,供应链安全和“国内”资质,从而形成制度保障。

在涉及网络安全的重大问题上,独立可控的评估应发挥“一票否决”的作用。近年来,随着中美贸易摩擦的发展,独立可控的评估问题也需要适应新的形势。例如,在“美国技术含量”超过 25% 的产品都受到美国的“出口管制”。

也就是说,植根于美国的技术开发(包括在美国制造的内容、源自美国的技术、在国外制造但源自美国的内容)将包含在领土的比例中,包括知识产权和相关核心技术,如果美国的成份超过25%,将受美国法律管辖。

因此,我们需要严格对“引进”或“合作”的技术产品进行独立可控的评估,防止那些“美国技术含量”远远超过25%的技术产品通过“穿马甲”进入工业互联网的基础设施和重要系统,构成重大安全风险。

>>原文链接
地址:北京市西城区冰窖口胡同2号   邮政信箱:北京8068信箱   邮编:100088    关于我们
电话:010-59300004   邮箱:ysg@ckcest.cn
Copyright © 2012 CKCEST ICP备案号:京ICP备14021735号-2