各位与会的代表、专家，大家下午好。在这里和大家探讨一下工业信息安全的问题。先给大家讲几个概念，第一，工业信息安全和工业互联网的关系。我们现在谈工业互联网，实际上网络空间是一个很大的范畴，这个范畴把工业互联网和工业信息安全的内容包含在里面了。我们过去没有网络这个概念的时候，一谈工业都是那种封闭的、比较小的或者是一个大工厂没有连网的状态，我们把它称之为传统的工业状态。

今天，我们把它变成一个大的网络的时候就变成新的东西了。这时候我们就讲工业信息安全已经成为一个重大的问题，这个重大问题体现在两个方面，第一，传统工业时期，企业尤其是生产制造业各干各的，没有连网。即便是自己企业内部也没有那么大的信息系统。近10年以来，尤其是近20年以来由于计算机的快速发展、信息化的快速发展、信息化技术的快速应用，所有传统企业，尤其是在我们国家，我们国家又是一个工业基础、工业门类非常完善的一个国家，从材料、制造什么地方我们几乎都有，包括市场我们也存在。所以这个时候传统工业搭上了信息化快车的时候，我们天天讲两化融合以后，传统工业往前走了一步，过去讲自动化、自动控制。再往前走一步因为有了互联网，所有的传统企业驾驭在互联网上跑的时候，安全又成为一个新的特点，这个安全就是工业互联网的安全。

那么，工业互联网的安全在工业信息安全中间又是一个其中的门类或者说一个部分。现代工业没有互联网大家都知道没法干事，但是正是因为有了工业、有了互联网，尤其是现代工业有了互联网之后，又给现代工业的发展带来了新的挑战和新的安全隐患。大家知道，当一个封闭系统在一起做的时候，你根本对外都不打开，你也不上互联网。如果想捣乱破坏的话只有一件事，翻墙进你的大门把你的机器整坏。当工业控制系统拎到一张网上的时候，当这张网又在互联网上溜达的时候，我可以不翻墙进你的工厂，刚才国家安全应急中心的同志也介绍的一下关于网络的问题。其实远程控制、远程入侵，这个时候就出现了。

我不知道在座的有多少人看过以前的电影，七八十年代的电影讲到工厂的时候，那时候非得进你的大门把看门老头打晕了以后搞破坏。今天当我们把计算机技术应用在工厂的机器上，当我们把工业控制系统应用在我们的生产机器上的时候，这样一个过去传统的工业企业所面临的问题就呈现了新的状态。这个状态我把它叫做工业互联网面临的大的问题，也就是工业信息安全面临的大的问题。

国旗就是工控安全，现在已经变成了工控安全、工业互联网安全，现在已经占了非常大的比重。

现在谈一下工业互联网的认识和相关主要的问题。这张图告诉大家大致的工业互联网构成是这些内容，比如说平台、应用软件、供应商、操作系统等等，每一个环节都有可能出现问题。从保障对象的角度来看四大类，工业数据、平台运营商、网络基础设施、工业企业。基础网络我就不说了，我们现在天天讲的网络安全，你脑子里面呈现的大致是基础网络那部分。但是对于工业数据安全、平台运营商安全、工业企业的安全，这三个方面我们如何看待它的问题？可以这么讲，这么多年以来，尤其是近五年以来，尤其是近来三年以来，中国的工业体系更加完善、中国的工业发展更加快速，但是我们大多数处于工业环境中的这些人，因为大部分的人是老的工业体系下培养出来的人，对于工业信息安全的概念在脑子里面很多人没有形成。

这两天到南京，在南京碰了几个大学的教授，聊天的时候说到了一件事情，某大学利用第三方的软件开发了一个平台，实际上是一个办公平台。这个平台被发现有漏洞，这个人就问我说你们单位是搞安全的，这个要紧不要紧？我说你第一时间赶紧让第三方把漏洞堵了。这个事情可能会产生两个问题，第一，你不堵这个漏洞，假设这个漏洞被人侵犯了，把页面篡改了，你们领导要承担主要责任。第二，一旦这个漏洞被曝光是某某公司开发的什么平台，那个公司损失巨大。在这个话题之外，我所感受到的一个重大的就是这些大学教授也是一个科技大学的领导，他对这个概念还没有那么强烈。我们深处这个环境中，因为有一些东西我们所监测全国、全世界的这些事我就不跟大家说了。我清清楚楚地知道这个中间的危害有多大，这是非常严重的一件事情。但是就我们在言谈话语中间，这些大学教授对这个事的概念很小。当然这包括我们到一些企业去调研的时候，你跟企业领导讲，你们的那个软件漏洞怎么样、你们的工业控制系统用的什么控制系统等等。我可以不夸张地讲，当前我们国家，包括世界上的一些国家运用的工业控制系统中的那个控制的部分，无一例外都有问题。有的问题大一点，有的问题小一点，有的问题容易发现，有的问题可能要经过高级的那些人员折腾才能看见，基本上是这样的状态。所以我在这里先强调一下工业控制系统，工业信息安全的这个问题一定、务必、必须让大家重视起来。否则在我们国家这么快速的发展状态下，尤其是今天我们面临这么错综复杂的国际问题，中国全面的工业基础都这么好，一旦这个问题不重视，它要进来全面给你搞瘫痪的时候，你那时候哭都来不及。虽然我们国家在网络应用、物联网、云计算、大数据等等这些方面的应用，在全球运用比较多，某些方面还是比较领先的。但是这种领先不表明你的安全在全球就是比较牛的，这是两回事。

有几个问题跟大家分享一下。第一个问题，2017年以来，我们中心监测了很多的漏洞。大家看这张图有一部分工业安全的漏洞相当多，这还是2017年的，到现在变化非常大。我们所监测的更多的是偏重在工业系统安全里面，这也是我们国家的一个命脉，任何一个大国如果没有工业基础，你想成为全球领先的大国，这事不大可能。这些问题很多东西，你像PRC，我们那个时代做PRC芯片的时候，基本上会借助计算机或者是一台仪器把数据烧进去，而且烧进去之后不可更改。但是我现在告诉你，PRC的入侵基本上可以不用计算机，由一个PRC直接发起攻击到另外一个PRC，只要你在网络上有联络，就直接可以进去，非常可怕，而且这种漏洞我们已经验证过了。

第二个问题，公共平台。我们现在开发的所有公共平台，我和南京教授聊天的时候他们是第三方开发的，第三方开发的平台我问你，你有没有问他，他经过什么样的安全检测软件进行过检测。一周以前也是在南京讨论的另外一个话题，我跟美国的一个互联网联盟的秘书长，他说了一件事，他说他希望能够推动一件事情，这件事情就是当你的软件开发出来之后应该用一个第三方的可靠、认可的工具来进行攻击和检测，看你这个软件和平台的安全性和可靠性到底怎么样。我相信，我们在座的如果你是搞开发的，我相信你们开发的时候一定是本着如何完成甲方给你的要求，把这个程序编得非常漂亮，界面弄得非常好看，本着这个思想的。你的第一出发点绝没有含安全方面的事，甲方说你把这个东西给我做出来，比如说姓名、性别，这些随时可改，这些要求流程上你做得非常棒。但是，你做完之后交给甲方，甲方上线运行的时候只是看这个软件能不能按照我的这个流程从第一到第十能不能干下来。我们从来没有去想某一个坏蛋、某一个黑客在暗地里说你一上线我有没有偷你的东西。我真的希望我们的软件上线之前，包括硬件在内的这些系统上线之前应该经过某一个专业的工具进行测试。比如说，你的内部的一张表格，表格中间填的有文字、有字母、有数字，还有别的一些信息。你有没有用一个软件进行破坏性的测试，填乱七八糟的东西，看填到什么时候是不是崩溃。在座的各位到工厂去参观或者是调研的时候，你会发现我们包括手机在的这些产品出来卖之前要经过各式各样的检测，有些检测比如说有温度的检测、压力的检测等等一大堆的检测。可是我问你，我们编的一个平台软件、编的一个系统软件，你经过这一类跟工业有点类似的这种检测吗？这是当前我们认识的重大误区，而且这个误区如果不重视，将来出现的问题可能会更大。

前段时间，我们讨论的时候我举的例子就是电梯控制的例子。我知道有一些电梯在全国卖电梯的时候就在中间植入一些传感器，他会说你这个电梯用了10年、8年，哪个零件容易出问题，我就帮你来修。殊不知，这种零件在互联网上传数据的时候很可能被人截获，被截获之后可以远程控制你的电梯上下。假设这部电梯装在某个非常重要的地方，这个电梯又被人控制了，当国家领导人或者某个重要的事情在这个电梯中间要发生的时候，电梯失控出问题，你想想这种危害是多大，这个事情是存在的，被电梯控制的事情是存在的，因为我们发现过漏洞

第三个问题，大数据安全的问题。我认为是两个方面的事，第一，产生数据是不是安全的。大家知道，我们的某一个工业控制平台不一定是完全没有漏洞的，不一定是一个没被人控制的。你这台系统产生数据的时候，那个数据真的就是那些东西吗？这是第一个问题。第二，即便产生的时候非常多，所有的系统产生的数据都是对的。传输过程中传到中央控制器或者云端的时候，这个过程如果有人进来把你的数据改了，你的数据还安全吗。所以现在大家一谈大数据，没有太多人说大数据安全概念是什么。你去医院检查，化验一滴血的时候拿错了可能出来的数据就错了。化验过程中机器出了问题没有校准，产生的数据给你的数据也不对。这就是这个过程中间出现的问题。

所以我们在讲数据采集、数据存储，在进入数据挖掘的时候，当数据采集过程当中是对的，存的时候存错了，挖的时候肯定挖不对，挖出来对的话如果在输出的时候出了时候被感染也是问题。我们在检验监测过程中发现有一类数据是非常麻烦的，我没法判断你这个数据到底是真的还是假的，有没有错，我没法判断这件事情。家用传感器、摄像头，只要在网上跑，因为你那个摄像头就是连视频的网，只要在网上跑有可能发现漏洞以后，你这个数据传的时候可能都有问题。我只是告诫大家，脑子里面一定要有那根弦，当你做开发者或者你是第三方检验机构对数据进行检验检测的时候，安全要放在最头上。早期人家编程序的时候就会说用什么样的数据是比较安全的，用什么语句编这个程序是不错的，用什么不行。当你编程序用数据库、用别的时候东西的时候，你得想假设那个人是个黑客要进来的时候，你采用的这条语句会不会被人用走。

接下来给大家谈一下工业信息安全的态势。习总书记多次强调，包括今年4月20日又一次强调网络安全的问题。这个中间比较复杂的一个重大的问题是网络安全主权的问题，欧盟你再牛，说你的公民跑到中国来他的信息数据也不能用在中国来，这个事情产生法律冲突。大家记住，一个老外在中国犯罪他一定会适应中国的法律，因为你在我的国土上。网络空间安全，习总书记在2012年的时候提出网络空间主权的时候，西方国家坚决反对，为什么？习总书记讲，网络空间的主权也是国家主权的一部分，是国家主权的一个延伸，这是中国提出来的鲜明的观点。换个角度看，西方国家别想用网络来控制我，我认为这件事情是推动人类命运共同体建设中间的一个重大的理论创造发明，应该是这个角度去看。网络空间主权，你只要在我的国家你别废话，你都得听我的，你不能在网络上胡说八道就不行，应该是这样的概念。你进入我们这个国家，你在我们这个国家采购发生的一些跟网络数据有关系的问题，我们国家按照我的国家的法律应该有权处理，按照欧盟的法律你无权，这是绝对的对抗，这些事情在现实中间都存在了。

从安全演进路径讲，工业信息安全已经成为国家安全体系的有机组成部分。过去封闭系统的时候，工业安全信息提的并不多，现在不是这样了，我不用翻墙进去我就能搞定你。我们工厂的这个网络物理全是隔离的，物理隔绝的网络在远程射屏的干扰下是可以入侵的。汽车咱们现在不用开钥匙了，走到车门口一拉就开了，是一个蓝牙短程通讯系统。这样一个系统几年前已经发现漏洞了，你那个系统我根本不要你在不在跟前，我远程可以把车开走。这个在《速度与激情8》电影里面特别典型，他说的那个事在现实世界中是存在的，只不过大家没见过发生的就是了。这是一个简单的讲说物理隔离是不是就怎么着，一个是远程的无线入侵。第二，你自己在内部没有把握好用了不该用的光盘，其他的一些系统只要插到你的系统中，这个系统可能就成为一个定时炸弹，只不过没有激发的点。一旦激发那个点成熟，你的整个系统会崩溃的。我们物理隔离系统是不是就牛的不得了，别人就进不来？也不见得。

第二，从全球范围来看，工业信息安全形势日趋严峻。美国是世界老大，他的问题比较多，技术也比较强。我们是新兴国家，我们在发展过程中对安全问题的考虑并不周到，所以这里面的隐患非常多。比较典型的刚才云主任谈的，给你公布一堆漏洞，有些人就用这个漏洞。3月份北京市海淀区信息被披露的事，就是一个中学生干的，用了第三方工具下载之后开始入侵一大堆网络，那些网络的脆弱性真是不忍直视，直接进去把数据偷出来就卖钱去了。我们有一大堆的网站系统安全上的不堪一击。

第三，从国家的角度来讲，战略布局是任何一个国家，尤其是发达国家特别重视的一个点。我们国家也无一例外，我们2016年发布战略，2017年发布《网络安全法》，6月1日开始实施。这件事情在我们国家的网络生活中是一个重大的事件，《网络安全法》的颁布。为此我们中心做了全国巡回《网络安全法》普及工作，我也去了好几个地方，东南西北都去过。但是每到一个地方你会发现工业基础高低、网络发达和不发达之间，他们对《网络安全法》的认识差距巨大。我们过去容易讲发达地区是东西差距、南北差距等等。从网络角度来讲，网络安全意识差距也非常大。有些人你跟他讲网络安全，他觉得这事跟我远着呢，其实一点都不远。

从技术发展角度来讲，开展工业系统安全应急演练，我们叫工业靶场，现在做得比较多，美国做得比咱们要多很多，刚才公布的那些东西很多都是美国自己干的。做一个靶场去攻，然后看哪里有问题。去年11月份我们组织了一个全国网络演练，在杭州。我们中心组织全国网络演练的时候来了东西南北，最终进入决赛的是50支队伍。第一，拿了一些防火墙或者是一些系统把这个队伍分成两组，你先来发现漏洞，拿出来的这些系统和这些东西有一些企业觉得我的系统非常牢固，基本上说想进来不容易。但是通过半天的时间，交卷的时候发现这套体系或者这个防火墙漏洞百出。一方面，显示我们国家IT人才水平很高；另一方面，说明我们当时在研究防火墙或者系统的时候，这些企业安全上的考虑可能考虑了，但是不是完善的。第一步完了，发现漏洞之后怎么办？你再负责把它堵上。堵上以后呢，接下来的比赛就是交换系统，你不是把系统的漏洞都堵完了吗？交给另外一波，但是仍然发现漏洞。可以这么讲，我们国家从技术上来讲不是说有些技术做不到，只是说当前工业系统安全、工业信息安全从这个角度来看问题还是比较大的，只是我们每一个人都非常善良，非常善良地认为我们的工业系统别人不是要进来的，是如何利用它给老百姓生产更好的东西的。但是别忘了，有黑天就有白天，有光明就有黑暗，任何一个很好的事物出现的时候总有一些利益集团或者是有别的目的的机构，他会对你产生一些别的想法。所以从这来讲，我想利用这样的论坛告诉大家，如果你在从事工业信息安全、工业信息系统开发这方面工作的话，安全问题务必要放在头等重要的位置上。

第四，从我国现状来讲，工业信息安全的风险逐步威胁到经济社会健康发展。因为我们国家是一个工业门类比较全的或者是最全的国家，我们拥有全世界最大的国内市场。当有人在你这个系统中间渗入了漏洞、木马、后门的话，对你有一些想法的时候，这个威胁就大了。自来水系统、水库，这是跟我们生活密切相关的，还有电。我们过去的水库找俩工人搬轮子把闸抬起来，三峡大坝你抬起来试试。你只要有计算机、通信系统，安全隐患就存在了。所以目前看起来，我们所监测到的问题和发现的问题可以这么讲，工业信息安全的风险确确实实逐步地会影响到我们国家经济的健康发展，这也不是耸人听闻。所以在未来的几年，尤其是2025完成以后，接下来的发展我们安全问题恐怕要上升到另外一个更高的高度上去。

接下来跟大家谈一下我们面临的安全挑战。首先是社会意识不强烈、企业意识不强烈、个人意识不强烈，这三个问题同时存在。而且社会意识、企业意识、个人意识在很多人眼中基本上是没有的，就是安全意识是没有的，这是我们当前面临的重大问题。不均衡的问题我就不多说了。

另外一个方面，我们目前的安全系统处于起步阶段，核心的内容、核心的技术等等受制于人，这是我们面临当前最大的现状。所以接下来我们要做更大的努力，核心技术赶紧弄到手，赶紧开发我们自己的体系。当然，这种开发不是封闭的开发，我们要掌握这种核心体系。

坚持国家的总体安全观，这是习近平同志告诉我们的话，要以“本质安全、内外兼顾、业务优先、隐私可控”为安全保障原则。你发起的这个系统或者研发这个东西本质上是安全的，要从这个角度来考虑。

最后和大家简单说一下我们的对策，第一，认识到安全的问题是一直存在的，要认识到这个问题。当然，还要组建工业信息安全的国家队，要把它的能力打造起来。我们中心去年3月21日，从原来的工作重心转移到以工业信息安全为重心的点上来以后，我们把大部分的工作都往这个方向在转。一方面是两化融合，要大力推进；另一方面，信息安全也要进一步挖掘中间的内容。要做好20个方面的关键措施，这些我就不在这里多重复了。这些不一定说20个够不够，有些人说我这些都做得差不多了。我们现在在靶场、系统安全、漏洞验证等等在做这方面的工作，我们的工作也是起步状态，国内的这些工作基本上处于一个大的起步状态，跟欧美发达国家相比我们确确实实，尤其是跟美国相比还是有差距的。这有赖于我们在座所有的人在这方面要进一步的努力，发挥自己的才智，把我们国家的工作能做好。

简单说两句，3-5年工业信息安全市场会进入一个快速的增长期。如果你的企业是干这件事情的，把安全的东西多弄一点，把核心技术多开发一点，要掌握核心技术，这是我们的命根子。第二，要实现全覆盖。我们过去的安全系统只是对工厂、企业、传统企业说的事，现在智能化以后，智能化所有的设备都要植入工业信息安全的大概念，才有可能在未来的发展过程中不出现重大的问题。第三，新机遇。如果你是干这个的，投资也好、做工作也好，这方面机遇很多，也可能是接下来的一个发展非常快速的产业。第四，产业化、集聚化、协同化难度比较大。

简单跟大家汇报这么多。但是我跟大家讲，工业信息安全将来一定会跟我们的生活密切相关，而且不是一般的相关，是一个强相关的关系，谢谢各位。