工业领域关键信息基础设施是国家重要的战略资源，关系国家安全、国计民生和公共利益，具有基础性、支撑性、全局性作用，是国家网络安全工作中的重中之重。在《关键信息基础设施安全保护条例》（以下简称《条例》）正式施行的两年时间里，我国深入贯彻落实《条例》有关要求，积极推进相关研究部署和探索实践，加快提升我国工业领域关键信息基础设施安全保护能力。与此同时，我们也要深刻认识到，我国工业领域关键信息基础设施安全保护工作仍任重道远，面临新形势下的新问题新挑战，短板弱项仍然突出，亟待强化统筹规划和体系布局，做好把脉问诊、把控源头、筑牢根基、夯实基础，加快推进安全保障体系建设，为构筑新型工业化发展新格局夯实底座基石。

一、新形势下工业领域关键信息基础设施安全保护工作的重要性

工业领域关键信息基础设施（简称“工业关基”）是指在工业生产制造中遭到破坏、丧失功能或者数据泄漏后，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。从存在形态上，工业关基主要以工业控制系统为核心，也包括工业互联网平台、5G网络基础设施、云计算中心、工业大数据中心等承载工业领域核心业务的重要设施及信息系统。从业务特点看，工业关基分布广泛、业务要求高，与国计民生关系密切。我国作为制造业大国，工业领域分布着大量投资价值高、社会影响广、业务运行高的关键信息基础设施。研究显示，超过80%以上的国家关键信息基础设施及智慧城市业务系统都依赖以工业控制系统为核心的工业关基作为支撑。如何保障工业关基安全已成为工业领域网络安全工作亟待解决的首要任务。

（一）国际社会纷纷强化工业领域关键信息基础设施安全保护

美国、欧洲、俄罗斯等国家和地区已先后将关键信息基础设施安全保护上升到国家战略高度。以美国为例，已先后发布战略方针、行政命令、实施指南等不同层级政策管理文件，建立多部门协同管理工作机制，并持续加大关键信息基础设施网络安全投入。2013年，美国颁布《第21号总统政策指令》（PPD-21），对化工、关键制造业、能源等重要工业领域的关键信息基础设施提出针对性安全要求。之后又陆续发布了《化工行业网络安全框架实施指南》《关键制造业部门网络安全框架实施指南》《能源行业网络安全多年计划》等文件。2018年，美国能源部（DOE）新建了网络安全、能源安全和应急响应办公室（CESER），负责处理能源关键基础设施网络安全问题。2022年，拜登政府签署了2023财年综合拨款法案，《2022年关键基础设施网络事件报告法案》作为其中之一，明确了能源、制造业、化工等16个工业领域在内的相关行业部门管理职责。俄罗斯也积极加强关键领域网络安全保护，2022年3月，普京签署第166号总统令《确保俄罗斯联邦关键信息基础设施技术独立和安全的措施》，明确禁止在未经政府相关机构授权的情况下，为国家关键基础设施部门采购外国软件，强化对关键信息基础设施领域的保护。2022年5月，欧盟议会和欧盟成员国就《关于在欧盟范围内实施高水平网络安全措施的指令》达成协议，以加强电力、区域供热和制冷、石油、天然气、航空、铁路、水利和公路，以及计算机及电子、机械设备、汽车制造等十类基本实体和六类重要实体的安全保护。

（二）我国工业领域关键信息基础设施安全保护工作有序推进

法规层面，2021年9月正式施行的《关键信息基础设施安全保护条例》，明确了关键信息基础设施安全保护的监督管理工作机制及工业关基运营者的责任和义务，同时也对网络安全监测、检测、风险评估、预警通报和响应处置等方面提出了明确要求。2022年2月，《网络安全审查办法》正式施行，明确了对关基运营者采购网络产品和服务，影响或可能影响国家安全的应进行网络安全审查，以确保关键信息基础设施供应链安全。政策层面，工业和信息化部陆续出台《工业控制系统信息安全防护指南》《关于加强工业互联网安全工作的指导意见》《工业和信息化领域数据安全管理办法（试行）》等系列文件，以提升工业领域网络安全和数据安全保障能力。

标准层面，2023年5月，国家标准GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》已正式实施，细化的工业领域网络安全、数据安全标准体系及重点标准正在加快研究制定。

工业领域关键信息基础设施的安全事关国家安全、国计民生和公共利益，如何强化工业领域关键信息基础设施安全保护，构筑完备的安全保障能力已迫在眉睫。

二、新形势下工业领域关键信息基础设施安全保护的新问题、新要求

当前，新型基础设施建设、数字化转型、新型工业化等建设进程加速推进，在国家级对抗博弈加剧、工业领域安全事件频发高发态势下，我国工业领域关键信息基础设施已成为网络攻击的焦点。我国亟待补齐体系化布局不足、安全防御技术短板突出、综合保障能力薄弱等重点难点问题。

（一）工业领域关键信息基础设施已成为网络攻击重灾区，攻击影响大、后果严重

当前，全球工业领域网络安全事件高发频发，工业领域成为网络攻击的最主要目标。据有关监测数据显示，2022年我国监测发现的工业领域各类网络安全攻击超过7975万次，同比增长超过23.9%。同时，网络攻击已渗透进入工业领域关基的物理世界，其破坏效应呈指数放大，极易诱发系统性重大风险。一方面，网络攻击可造成巨大的经济损失。2023年2月，美国应用材料公司受勒索攻击事件造成的经济损失高达2.5亿美元。6月，宾士域集团受勒索攻击造成的损失超过7000万美元。另一方面，以钢铁、电力、石油石化等为代表的工业关基一旦遭遇勒索攻击，可引发关键生产生活用品供应中断、大量产线瘫痪停摆，核心数据泄漏，甚至引发大规模断水、断电、断气、火灾、爆炸，严重扰乱公共秩序、威胁产业和战略资源安全、威胁国家安全。2021年5月7日，美国最大成品油管道运营商科洛尼尔管道运输公司遭到网络攻击，导致美国东部沿海主要城市输送油气的管道系统被迫下线，影响了美国东部45%的燃料供应。2019年的委内瑞拉大规模断电事件、南美五国大规模停电事件，不但造成关键基础设施服务失灵，且引发了社会恐慌和国家政权动荡。2023年7月，名古屋港的勒索攻击事件不仅造成港口货运中断、运营停滞，更严重干扰了往来日本全国的货物流通。

尤其是在大国博弈日趋激烈，集团对抗日渐凸显，战争风险不断升高的背景下，针对关键基础设施的全方位攻击不断发生并愈演愈烈，关键基础设施已成为地缘政治博弈的新前沿。关键信息基础设施的安全问题日益成为至关重要的国家安全治理问题，成为国家安全角力的新领域。俄乌冲突中，美国及其盟国有组织、有预谋的国家级黑客组织，以分布式拒绝服务攻击、钓鱼欺诈、漏洞利用、供应链攻击、伪装成勒索软件的恶意数据擦除攻击等多种“网络武力”，持续对索罗斯及白俄罗斯的铁路系统、重要物流网络等实施网络打击。同时黑客组织“匿名者”（Anonymous）在官方Twitter发布了涉及超过900个俄罗斯暴露在公网的工业控制系统作为攻击目标，给俄罗斯关键领域的生产运营造成巨大危害。

（二）工业领域关键基础设施安全短板弱项突出，难以抵御高水平定向攻击

    一是我国工业领域关键信息基础设施网络安全“软肋”众多。当前，我国工业控制系统上云上平台规模化扩大下的“安全上云”技术手段应用严重不足，为网络攻击在“云”和“终端”侧的双向传导，进行病毒植入、渗透入侵提供了新通道，通过互联网或工业云平台可入侵进入关键工控系统，也可利用工控系统内的智能设备渗透进入工业云平台。“5G+工业互联网”广泛应用、5G全连接工厂加速建设，工厂网络已由封闭转向开放，工业企业普遍缺乏对多样、海量工业设备接入网络的安全防护管理，难以抵御网络攻击入侵。工业现场广泛应用的工业级PDA、工业智能网关等多种智能设备，在研发设计之初通常缺乏安全性考虑，存在漏洞、后门等安全隐患，难以有效抵御网络攻击风险。

二是工业领域关键信息基础设施安全保障基础薄弱。一方面，我国工业关基产品部分依赖进口，其技术和产品的网络安全无法得到保障。比如，目前我国工业基础软件、研发设计软件、生产控制软件、工业嵌入式软件等大量依靠进口，重点行业使用的数据采集与监视控制系统（SCADA）、可编程逻辑控制器（PLC）、分散控制系统（DCS），国内国内市场被大部分国外产品占据。在供应链全球化趋势下，利用企业外部合作伙伴、供应商或第三方服务机构发起的供应链攻击已成为一种新型网络威胁。工业产品生产环节预留后门、在开发工具及协议栈等基础软件植入恶意代码或后门程序、利用工业产品漏洞实施远程设备控制或拒绝服务攻击等重大网络安全事件屡见不鲜，工业关基源头安全的问题短期内难以得到改善。另一方面，工业网络安全技术产品对外依赖高的情况依然存在。当前，我国依托工业互联网网络安全保障体系建设，正在探索构建覆盖威胁识别、攻击防御、响应恢复等全生命周期的工业领域网络安全技术产品体系。但从深入分析看，相关网络安全产品使用的关键软硬件技术、核心零部件等，比如CPU、内存、操作系统、数据库等组件仍依赖国外现成的技术和产品。工业领域网络安全作为做好新型工业化网络安全保障的基础前提，一旦自身引入后面隐患或安全漏洞，非但起不到安全防护作用，反而可能成为新的攻击突破口。此外，我国尚未完全掌握工业领域网络安全防御决策的核心主导权。比如，漏洞库、检测规则库、威胁情报等规则是漏洞扫描、入侵检测、工业防火墙等典型网络安全技术产品的防御决策依据，对技术产品能力起到非常决定性的作用。但近年来，美国对我国实施的网络安全审查、供应商评定、风险评估等一系列供应链管控不断加码，管控行为已渗透扩张至网络安全领域。奇虎360、美亚柏科等网络安全公司被美国纳入技术产品出口管控实体清单，对我网络安全产业实施打压遏制，不利于我国网络安全技术产品发展。

（三）工业领域关键基础设施安全保护面临全新挑战

一是新形势下的工业领域网络安全管理体系亟待优化。目前，我国工业领域关键信息基础设施保护工作仍处于起步和探索阶段，尚未构建起适配发展需求的管理体系，工业领域关基保护措施体系性不足。一方面，在关键信息基础设施认定方面，缺乏有效的行业配套政策指导文件，工业领域行业众多，运行状态、防护需求均存在较大差异性，实施过程中容易出现运营者对要求认知不够、理解不一、工作落实不到位等问题。另一方面，在新型工业化的推进下，工业企业往往跳出传统单一供需关系，形成深入融合的发展局面。传统的工业领域网络安全责任界定理念“谁建设谁负责、谁运行谁负责”的安全管理思路，将难以适应新形势下的安全管理需要。

二是新技术加速融合应用，挑战既有工业关基安全防御思路。一方面，新型网络攻击技术持续衍生，工业领域攻防对抗加剧，“易攻难守”局面更加突出。工业领域关键信息基础设施逐步呈现跨域互联、融合开放的特点，以工业操作系统、智能机器人等为代表的工业生产系统智能化水平进一步提升，网络安全风险也呈现出攻击方式由单一到多样、攻击范围由点到面、攻击扩散速度以指数级巨变等发展态势。另一方面，工业领域关键信息基础设施的安全保护措施缺乏体系性，现有安全防护思路的完备性、防护产品的成熟度和适配性都有待检验和提升，不能满足关基“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的安全需求。此外，新形势下网络安全产品需要与企业的实际生产场景和安全场景融合，工业关基安全保障能力建设需要与建设同步发展。传统的工业关基安全产品体系亟待从过去的零散、局部、被动建设，转变为构建内在、体系化、主动有序为特点的安全体系建设。

总体来看，新形势下工业领域关键信息基础设施安全保护工作面临时代赋予的更高挑战。在外因方面，新技术、新模式、新业态构建了更为开放融合的安全生态，需要构建完善向协同共治、服务供给倾斜的网络安全工作机制，提供与新形势下发展需求相匹配的按需供给、智能主动的安全保护能力；在内因方面，部分工业基础技术及其网络安全技术产品受制于人问题依然严峻，在部署工业关基安全防线过程中，用则存隐患，不用则存空缺的两难窘境亟待解决。

三、深化建立新形势下工业领域关键信息基础设施安全保护工作的新思路、新举措

工业领域关键信息基础设施是国家关键基础设施及智慧城市业务系统的核心支撑，为保障关键信息基础设施安全，既要突破既有网络安全防御定式，又要加速重构工业网络安全管理生态，建设适用新时代新任务下的综合安全保障体系。

一是把控供应链源头，加速建设信息创新产业体系。基于我国工业生产制造种类全、信息化基础良好的优势，应加速构建工业领域信息创新产业体系，把控工业关键信息基础设施供应链源头安全。加快提升工业领域关键技术产品创新能力，尤其是重点突破高端制造、高科技产品，加快打造自主创新产业体系。开展试点示范，加快推动国产信息技术应用创新产业关键技术和产品的规模化应用，探索形成分生产制造门类、分工业场景下可推广、可复制的产品及解决方案，并在关键细分行业加速应用部署，保障关键基础设施安全。

二是筑牢根基，强有力提升工业领域关基安全保障能力。在推进工业领域关键信息基础设施识别认定管理基础之上，“紧抓关键少数、谋求重点突破”，探索建立工业领域关键信息基础设施网络安全和数据安全监督检查工作机制，推动常态化安全检查评估，以查促建、以查促防，持续强化安全保障能力建设。强化工业领域安全检测技术研究创新，加大在工业漏洞挖掘与分析、恶意软件检测清除、开源代码安全检测、工业情报智能分析、威胁检测及动态预警等方面的资源投入。加强重点行业、关键场景下的工业关键信息基础设施安全管理，强化工业关基产品安全防御技术，部署安全审查、产品溯源、威胁监测等技术手段，研究部署基于人工智能、商用密码、区块链、可信计算等安全技术的应用，保障工业关基供应链安全。

三是夯实基础，建立适配时代需要的工业领域安全人才保障体系。聚焦工业领域关键信息基础设施安全保护，组织跨区域、跨行业应急演练、攻防对抗、专项赛事等实战化活动，分行业、分领域、抓重点，组织实战攻防演练，验证各类网络攻击技术手段，还原真实攻击方式和现实情况。逐步将工业关基攻防演练工作纳入重点工业企业管理制度和考核指标，定期组织实战演练，切实检验、锻炼工业网络勒索发现、监测与应急处置能力。“以赛促改、以赛促建”，持续举办国家级、省市级工业领域安全大赛，通过“全场景竞赛、实际环境演练、安全众测”等赛事活动，培养选拔专业技能人才，解决行业人才紧缺难题，打破企业人才输出壁垒。