工業(yè)和信息化部近日印發(fā)《工業(yè)互聯(lián)網創(chuàng)新發(fā)展行動計劃（2021-2023年）》（以下簡稱“行動計劃”），提出到2023年，我國工業(yè)互聯(lián)網新型基礎設施建設量質并進，新模式、新業(yè)態(tài)大范圍推廣，產業(yè)綜合實力顯著提升；新型基礎設施進一步完善、融合應用成效進一步彰顯、技術創(chuàng)新能力進一步提升、產業(yè)發(fā)展生態(tài)進一步健全、安全保障能力進一步增強。

　　《行動計劃》從工業(yè)互聯(lián)網創(chuàng)新發(fā)展的幾個方面入手，分別提出了切實可行的目標，明確了以下11項重點任務：網絡體系強基行動、標識解析增強行動、平臺體系壯大行動、數(shù)據匯聚賦能行動、新型模式培育行動、融通應用深化行動、關鍵標準建設行動、技術能力提升行動、產業(yè)協(xié)同發(fā)展行動、安全保障強化行動、開放合作深化行動。其中，安全保障能力增強是其它重點任務的底座和基礎，應在以下幾個方面引起關注。

　　在網絡體系強基行動中，工業(yè)企業(yè)需要對工業(yè)設備、企業(yè)內網、企業(yè)外網進行改造、升級、建設。我們在對工業(yè)現(xiàn)場“啞設備”進行網絡互聯(lián)能力改造，既要注意保護這些設備自身的數(shù)據安全，也要注意搭建工業(yè)互聯(lián)網過程中避免出現(xiàn)中、高危漏洞，這些漏洞可能帶來的風險包括拒絕服務攻擊、遠程命令執(zhí)行、信息泄露等。

　　在平臺體系壯大行動中，部分企業(yè)針對設備、網絡、控制、應用和數(shù)據的防護措施尚未到位，對風險的識別、抵御和化解能力尚未形成，上線平臺基本處于“裸奔”狀態(tài)。我國工業(yè)互聯(lián)網平臺IaaS層發(fā)展成熟度較高，基礎設施相對完善，在數(shù)據安全方面已具備較為完備的安全解決方案。工業(yè)互聯(lián)網平臺PaaS層對工業(yè)數(shù)據的保護主要依賴于傳統(tǒng)的用戶鑒權管理，數(shù)據加密存儲和安全傳輸能力亟待增強。工業(yè)APP開發(fā)周期短，迭代頻繁，對數(shù)據安全考慮不足。工業(yè)企業(yè)連接平臺后未及時升級防護措施，數(shù)據保護意識薄弱。在工業(yè)企業(yè)自身防護能力普遍較弱的情況下，國家級管理體系和技術防護平臺的重要性和優(yōu)先級更為凸顯。建設平臺過程中，由于企業(yè)對工業(yè)互聯(lián)網安全防護整體解決方案了解不足，對安全防護架構、措施、技術、產品最佳實踐知之甚少，因此需要依托國家級的防護平臺、解決方案和最佳實踐，開展相關試點示范工作，推動工業(yè)互聯(lián)網平臺安全防護體系建設。

　　在數(shù)據匯聚賦能行動中，通過大數(shù)據中心實現(xiàn)對數(shù)據統(tǒng)一管理和使用固然可以解決數(shù)據“孤島”的問題，我們需要在遵循等保2.0相關法律要求的基礎之上，明確數(shù)據收集、存儲、處理、轉移、刪除等環(huán)節(jié)安全保護要求，在加快推動數(shù)據資源開放共享和開發(fā)應用的同時，必須建立行之有效的數(shù)據安全保障體系，構筑適應工業(yè)互聯(lián)網數(shù)據發(fā)展的法規(guī)制度，健全工業(yè)互聯(lián)網數(shù)據時代信息安全新秩序。

　　在關鍵標準建設行動中，雖然我國工業(yè)互聯(lián)網發(fā)展頂層架構已經具備，但是工業(yè)互聯(lián)網安全技術防護體系和安全管理體系尚在建立過程中，相關政策文件和標準指南主要集中于工業(yè)控制系統(tǒng)安全領域，針對工業(yè)互聯(lián)網平臺安全接入、數(shù)據保護、平臺防護等方面的標準尚屬空白，平臺分級分類管理體制和方法尚未統(tǒng)一，我們需要摸索一個合適的安全評價體系。針對當前缺乏工業(yè)互聯(lián)網安全檢測評估標準的問題，我們可以通過對工業(yè)互聯(lián)網安全現(xiàn)狀、安全需求和攻防技術的深入調研，全面分析工業(yè)互聯(lián)網可能存在的安全隱患，確定工業(yè)互聯(lián)網安全審查、檢測和評估的方向和重點，梳理和細化安全審查和檢測評估內容，編制可量化、可操作的工業(yè)互聯(lián)網安全審查和檢測評估技術要求和測試評價方法相關標準。

　　在產業(yè)協(xié)同發(fā)展行動中，由于我國工業(yè)軟硬件自主研發(fā)實力不足，在高端裝備、工業(yè)控制系統(tǒng)、工業(yè)網絡和軟件領域的技術產業(yè)實力難以滿足安全防護需求，工業(yè)控制系統(tǒng)及工業(yè)軟硬件依賴國外技術產品。工業(yè)控制系統(tǒng)方面，工控MCU、DSP、FPGA等核心元器件技術與國外差距較大，SCADA、PLC、DCS、PCS等系統(tǒng)國外產品占領大部分國內市場。PLC絕大部分是法國施耐德、德國西門子等品牌，DCS的首選品牌則包括瑞典ABB、美國羅克韋爾等傳統(tǒng)品牌。工業(yè)軟硬件方面，超高精度機床主要來自日本、德國和瑞士。國外廠商憑借其全球品牌影響力，進入中國市場較早，已經形成持續(xù)性的產品服務生態(tài)和利益鏈，具備較強的市場競爭優(yōu)勢。為推動工業(yè)互聯(lián)網科技創(chuàng)新與產業(yè)發(fā)展，我們需要產學研相結合，實現(xiàn)工業(yè)互聯(lián)網安全關鍵核心技術自主可控。而目前工業(yè)企業(yè)——廠商——科研機構的鏈條不暢，缺乏促進合作的相關項目。高校應注重開放創(chuàng)新，加強工業(yè)互聯(lián)網各類行業(yè)客戶、專業(yè)服務企業(yè)之間的協(xié)同合作，發(fā)揮其在所屬領域的知識經驗和資源優(yōu)勢，形成一系列重量級工業(yè)應用。

　　在工業(yè)互聯(lián)網產業(yè)生態(tài)培育工程中，國內網絡安全人才存在較大缺口，且高度集中在北京、廣州、上海等一線城市，在安全需求分析和體系設計、安全態(tài)勢分析以及戰(zhàn)略法規(guī)制定方面的人才最為緊缺。而工業(yè)信息安全從業(yè)人員在數(shù)量和質量上與現(xiàn)實需求差距更大，服務支撐能力不足，相當一部分在企業(yè)端負責信息安全的管理人員是非專業(yè)出身，對工業(yè)控制系統(tǒng)的系統(tǒng)知識不甚了解，負責操作和維護工業(yè)控制系統(tǒng)的工程人員是其它相關專業(yè)轉行，對工業(yè)信息安全掌握不系統(tǒng)不到位。大多數(shù)工業(yè)企業(yè)現(xiàn)有安全領域從業(yè)人員不具備分析和解決工業(yè)信息安全問題的能力，在專業(yè)性上亟待提高。

　　2021-2023年是我國工業(yè)互聯(lián)網的快速成長期，《行動計劃》給出了我國工業(yè)互聯(lián)網這三年發(fā)展的11項重點任務，從政策上推動企業(yè)的工業(yè)化與信息化進一步融合發(fā)展。相信《行動計劃》將帶動我國企業(yè)信息化朝著更高、更深、更廣的方向發(fā)展。