在工业信息安全领域国际合作已经引起世界各国的高度重视,2015年8月,联合国信息安全问题政府专家组召开会议,并向联合国秘书长提交报告,各国首次统一约束自身在网络空间中的活动,包括不能利用网络攻击他国核电站、银行、交通、供水系统等重要基础设施,以及不能在IT产品中植入“后门程序”等。
目前,我国政府、社会组织、企业与“一带一路”沿线国家在网络安全等方面签订了一些备忘录,如:中国和俄罗斯签署备忘录,规定两国相互不发动网络攻击,并共同反对可能“破坏国内政治和经济社会稳定”“扰乱公共秩序”或“干涉他国内政”的技术。CNCERT与柬埔寨GD-ICT签订网络安全合作备忘录。卡巴斯基实验室和中国网安签订战略合作协议。中国科技巨头华为与马来西亚签订合作备忘录,支持该国实现跨国网络安全,创造“更安全稳定的网络空间”等。但是在工业信息安全领域尚未开展实质性合作,随着“一带一路”倡议的不断推进,未来在以下几个方面有突破的空间。
(一)关键信息基础设施安全防护合作
设施联通是“一带一路”倡议的重要方向,习近平主席在5月14日启幕的“一带一路”国际合作高峰论坛开幕式上表示“目前,以中巴、中蒙俄、新亚欧大陆桥等经济走廊为引领,以陆海空通道和信息高速路为骨架,以铁路、港口、管网等重大工程为依托,一个复合型的基础设施网络正在形成。”2016年,中国企业在“一带一路”沿线的61个国家新签对外承包工程项目合同1862份,新签合同额318.5亿美元,涉及电力工程、房屋建筑、交通运输、石油化工、通讯设备等多领域。亚投行在基础设施方面的项目投资近30个,大多是支持落后地区电力、水利、交通、通信等关键基础设施建设。
表1 亚投行目前在投项目中存在工业信息安全风险的项目
国家 | 项目名称 |
阿曼 | 宽带基础设施项目 |
印度 | 班加罗尔地铁项目–线R6 |
塔吉克斯坦 | 努列克水电改造项目 |
印度尼西亚 | 大坝运行改进和安全项目二期 |
阿曼 | 铁路系统准备项目 |
巴基斯坦 | 国家高速公路M-4项目 |
印度 | 孟买地铁4号线工程 |
菲律宾 | 马尼拉防洪工程 |
印度 | 输电系统加固工程 |
埃及 | 第二轮太阳能光伏上网电价计划 |
孟加拉 | 天然气基础设施和效率改善项目 |
阿塞拜疆 | 跨安纳托利亚天然气管道项目(TANAP) |
缅甸 | 敏建电厂项目 |
阿曼 | 特港商业终端和操作区开发项目 |
孟加拉 | 配电系统升级扩建工程 |
巴基斯坦 | Tarbela 5水电站扩建工程 |
斯里兰卡 | 气候复原改善计划-第二阶段 |
格鲁吉亚 | 280兆瓦的南斯克拉水电站 |
每个国家的关键基础设施,从石油管道到电网,从民航到水运网,从交通到金融/银行系统,都逐步引入网络管理和监控系统,在提高了基础设施性能水平的同时,由于其对于信息和通信的依赖性且允许网络访问,引发了网络攻击的风险。自2010年震网病毒事件以来,关键信息基础设施遭受攻击便层出不穷,进入2016年,更是愈演愈烈,美国、德国、俄罗斯等国家均遭受影响,攻击导致大面积网络异常。
(二)智能化工厂的工控系统安全防护合作
截至2016年底,我国企业已在“一带一路”沿线20个国家建有56个经贸合作产业园区,累计投资185.5亿美元,入驻企业1082家,为东道国创造超过10亿美元的税收,提供超过17万个就业岗位。其中不乏智能化生产基地,面临着工业控制信息安全风险,如海尔在俄罗斯建设的冰箱工厂,华为、中兴入驻的中白工业园等。
(三)工业信息安全认证、评估等服务领域合作
目前,欧盟、日本等国家和地区在工业控制系统信息安全标准方面开展了大量工作,从国家法规标准到行业化标准制定了一系列标准或指南。推动认证、评估等服务快速发展。以德国为代表的欧洲国家,已经开始基于ISO 27000 系列的ISO 27009 进行工控安全的建设;日本基于IEC62443 要求结合阿基里斯认证要求,从2013年起规定所有工控产品必须通过国家标准认证才能在其国内使用,并且已经在一些重点行业如能源和化工行业开始了工控安全检查和建设;以色列已成立国家级工控产品安全检测中心,用于工控安全产品入网前的安全检测。
未来,随着“一带一路”沿线国家工业信息安全逐步发展,工业信息安全领域的监测、预警、认证、评估等服务合作将成为重点。
(来源:国家工业信息安全发展研究中心)
声明:本文来自全球工信,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。