今日頭條
官方微信
官方抖音
資訊頻道2017年12月27日,工信部正式發(fā)布《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》(以下簡稱行動(dòng)計(jì)劃),這一行動(dòng)計(jì)劃的發(fā)布,是我國貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》、《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》等文件精神的具體行動(dòng),該行動(dòng)計(jì)劃的發(fā)布,將加快我國工業(yè)控制系統(tǒng)信息安全保障體系的建設(shè),提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護(hù)能力,促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展。本期記者特別刊出行動(dòng)計(jì)劃全文,以及官方解讀和企業(yè)解讀,供讀者更好地理解該行動(dòng)計(jì)劃。
全文|工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)
工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)是實(shí)施制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的重要保障。近年來,隨著中國制造2025全面推進(jìn),工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展,我國工控安全面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復(fù)雜多樣等新挑戰(zhàn)。為全面落實(shí)國家安全戰(zhàn)略,提升工業(yè)企業(yè)工控安全防護(hù)能力,促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展,加快我國工控安全保障體系建設(shè),制定本行動(dòng)計(jì)劃。
一、總體要求
(一)指導(dǎo)思想
全面貫徹落實(shí)黨的十九大精神,以習(xí)近平新時(shí)代中國特色社會(huì)主義思想為指引,堅(jiān)持總體國家安全觀,以落實(shí)企業(yè)主體責(zé)任為關(guān)鍵,緊緊圍繞新時(shí)期兩化深度融合發(fā)展需求,重點(diǎn)提升工控安全態(tài)勢感知、安全防護(hù)和應(yīng)急處置能力,促進(jìn)產(chǎn)業(yè)創(chuàng)新發(fā)展,建立多級聯(lián)防聯(lián)動(dòng)工作機(jī)制,為制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略建設(shè)奠定堅(jiān)實(shí)基礎(chǔ)。
(二)基本原則
堅(jiān)持安全和發(fā)展同步推進(jìn)。樹立正確的網(wǎng)絡(luò)安全觀,堅(jiān)持以安全保發(fā)展,以發(fā)展促安全,安全和發(fā)展并重。確保信息安全與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運(yùn)行。
堅(jiān)持落實(shí)企業(yè)主體責(zé)任。確立企業(yè)工控安全主體責(zé)任地位,強(qiáng)化責(zé)任意識,把工控安全作為工業(yè)生產(chǎn)安全的重要組成部分,將安全要求納入企業(yè)生產(chǎn)、經(jīng)營、管理各環(huán)節(jié)。
堅(jiān)持因地制宜分類指導(dǎo)。準(zhǔn)確把握工控安全在不同行業(yè)、不同地區(qū)的發(fā)展基礎(chǔ)和特征,結(jié)合工控安全威脅的多樣性和復(fù)雜性,分類別、分層次、分步驟精準(zhǔn)施策。
堅(jiān)持技術(shù)和管理并重。統(tǒng)籌技術(shù)防護(hù)與安全管理,充分運(yùn)用先進(jìn)技術(shù)提升工控安全防護(hù)能力,創(chuàng)新企業(yè)安全管理機(jī)制,全面落實(shí)安全管理制度。
(三)主要目標(biāo)
到2020年,全系統(tǒng)工控安全管理工作體系基本建立,全社會(huì)工控安全意識明顯增強(qiáng)。建成全國在線監(jiān)測網(wǎng)絡(luò),應(yīng)急資源庫,仿真測試、信息共享、信息通報(bào)平臺(一網(wǎng)一庫三平臺),態(tài)勢感知、安全防護(hù)、應(yīng)急處置能力顯著提升。培育一批影響力大、競爭力強(qiáng)的龍頭骨干企業(yè),創(chuàng)建3-5個(gè)國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全),產(chǎn)業(yè)創(chuàng)新發(fā)展能力大幅提高。
二、主要行動(dòng)
(一)安全管理水平提升
落實(shí)企業(yè)主體責(zé)任。企業(yè)依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》建立工控安全責(zé)任制,明確企業(yè)法人代表、經(jīng)營負(fù)責(zé)人第一責(zé)任者的責(zé)任,組建管理機(jī)構(gòu),完善管理制度。貫徹落實(shí)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》安全要求,持續(xù)加大工控安全投入,落實(shí)防護(hù)技術(shù)改造和隱患治理專項(xiàng)經(jīng)費(fèi),積極開展防護(hù)能力評估。
落實(shí)監(jiān)督管理責(zé)任。工業(yè)和信息化部統(tǒng)籌制定工控安全政策標(biāo)準(zhǔn),開展宣貫培訓(xùn),定期組織全國檢查評估,對納入審查范圍的工業(yè)控制系統(tǒng)產(chǎn)品與服務(wù)實(shí)施安全審查。地方工業(yè)和信息化主管部門加快工控安全地方性法規(guī)建設(shè),建立重要工業(yè)控制系統(tǒng)目錄清單,加強(qiáng)日常監(jiān)督管理,安排專項(xiàng)資金推動(dòng)地方監(jiān)測、預(yù)警、應(yīng)急等保障能力建設(shè),持續(xù)完善地方工控安全保障體系。
(二)態(tài)勢感知能力提升
建設(shè)全國工控安全監(jiān)測網(wǎng)絡(luò)。支持國家級工業(yè)信息安全技術(shù)機(jī)構(gòu)持續(xù)完善主動(dòng)監(jiān)測、被動(dòng)誘捕、威脅情報(bào)獲取等工控安全在線監(jiān)測手段,擴(kuò)展工業(yè)控制系統(tǒng)資產(chǎn)識別種類,提高識別精準(zhǔn)度和搜索效率。建設(shè)以國家工控安全在線監(jiān)測平臺為中心,涵蓋省級重要節(jié)點(diǎn)的監(jiān)測網(wǎng)絡(luò),實(shí)現(xiàn)對全國重要工業(yè)控制系統(tǒng)運(yùn)行狀態(tài)、風(fēng)險(xiǎn)隱患的實(shí)時(shí)感知、精準(zhǔn)研判和科學(xué)決策。
實(shí)施信息共享工程。鼓勵(lì)行業(yè)主管部門、企業(yè)、科研院所、聯(lián)盟協(xié)會(huì)等機(jī)構(gòu)和個(gè)人積極參與信息共享工作,建立共享清單,明確共享內(nèi)容,推動(dòng)形成政府引導(dǎo)、企業(yè)主體、社會(huì)參與、利益共享的工作機(jī)制。充分利用云計(jì)算、大數(shù)據(jù)等技術(shù)手段,建設(shè)國家工控安全信息共享平臺,實(shí)現(xiàn)信息的安全、可靠、及時(shí)共享。
(三)安全防護(hù)能力提升
加強(qiáng)防護(hù)技術(shù)研究。支持建設(shè)工控安全靶場、仿真測試等共性技術(shù)平臺,研發(fā)工控安全防護(hù)技術(shù)工具集,加強(qiáng)分區(qū)隔離、安全交換、協(xié)議管控等關(guān)鍵技術(shù)攻關(guān)。開展防護(hù)能力建設(shè)試點(diǎn)示范,形成可復(fù)制、可推廣的安全防護(hù)整體解決方案。探索工業(yè)云、工業(yè)大數(shù)據(jù)等新興應(yīng)用的安全架構(gòu)設(shè)計(jì),開展工業(yè)互聯(lián)網(wǎng)安全防護(hù)技術(shù)研究和創(chuàng)新。
建立健全標(biāo)準(zhǔn)體系。制定工控安全分級、安全要求、安全實(shí)施、安全測評類標(biāo)準(zhǔn),加快工控安全防護(hù)能力評估、工業(yè)控制系統(tǒng)設(shè)備產(chǎn)品安全、工業(yè)互聯(lián)網(wǎng)平臺安全等急用先行標(biāo)準(zhǔn)的發(fā)布和應(yīng)用,鼓勵(lì)企業(yè)、科研院所、行業(yè)組織等參與國際標(biāo)準(zhǔn)化工作。
(四)應(yīng)急處置能力提升
開展信息通報(bào)預(yù)警。制定《工業(yè)信息安全信息報(bào)送與通報(bào)管理辦法》,建立信息通報(bào)員、日常信息通報(bào)、應(yīng)急信息通報(bào)、風(fēng)險(xiǎn)預(yù)警等制度。建設(shè)工控安全信息通報(bào)預(yù)警平臺,及時(shí)發(fā)布風(fēng)險(xiǎn)預(yù)警信息,跟蹤風(fēng)險(xiǎn)防范工作進(jìn)展,形成快速高效、各方聯(lián)動(dòng)的信息通報(bào)預(yù)警體系。
建設(shè)國家應(yīng)急資源庫。按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》總體要求,支持國家級工業(yè)信息安全技術(shù)機(jī)構(gòu)建設(shè)應(yīng)急資源庫,實(shí)現(xiàn)信息采集、輔助決策、預(yù)案演練等功能。在突發(fā)工業(yè)信息安全事件時(shí),支撐行業(yè)主管部門協(xié)調(diào)技術(shù)專家和專業(yè)隊(duì)伍對事件開展分析研判,并調(diào)動(dòng)相關(guān)應(yīng)急資源及時(shí)有效的開展處置工作。
(五)產(chǎn)業(yè)發(fā)展能力提升
培育龍頭骨干企業(yè)。面向工控安全領(lǐng)域產(chǎn)業(yè)發(fā)展需求,加快培育一批技術(shù)水平高、業(yè)務(wù)規(guī)模大、競爭能力強(qiáng)的工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)和安全服務(wù)商,支持龍頭骨干企業(yè)突破核心技術(shù),研發(fā)關(guān)鍵產(chǎn)品、提高服務(wù)能力、創(chuàng)新商業(yè)模式,聯(lián)合工業(yè)企業(yè)開展優(yōu)秀產(chǎn)品及解決方案示范,推動(dòng)行業(yè)應(yīng)用。
創(chuàng)建國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)。選擇工業(yè)基礎(chǔ)雄厚、產(chǎn)業(yè)鏈條完備、聚集效應(yīng)明顯的地區(qū)建設(shè)國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)。圍繞工業(yè)控制系統(tǒng)技術(shù)研發(fā)、應(yīng)用示范、產(chǎn)融合作、人才培養(yǎng)等關(guān)鍵環(huán)節(jié),探索產(chǎn)業(yè)發(fā)展路徑,促進(jìn)產(chǎn)業(yè)集聚發(fā)展,發(fā)揮先行先試和示范帶動(dòng)作用。
三、保障措施
(一)加強(qiáng)組織協(xié)調(diào)
在國家制造強(qiáng)國建設(shè)領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下,加強(qiáng)工控安全保障體系重大決策、重大工程和重大問題的統(tǒng)籌協(xié)調(diào),全面落實(shí)行動(dòng)計(jì)劃各項(xiàng)任務(wù)。各地工業(yè)和信息化主管部門要加強(qiáng)本地區(qū)統(tǒng)籌管理,做好行動(dòng)計(jì)劃的貫徹落實(shí)和組織保障。
(二)加大政策支持
堅(jiān)持政府引導(dǎo)和市場運(yùn)作相結(jié)合,充分調(diào)動(dòng)社會(huì)力量支持工控安全保障體系建設(shè)。支持有條件的地方設(shè)立專項(xiàng),加大對工控安全基礎(chǔ)設(shè)施建設(shè)、關(guān)鍵技術(shù)驗(yàn)證測試平臺建設(shè)、產(chǎn)業(yè)創(chuàng)新發(fā)展的支持力度。利用國家政策性信貸資金支持工業(yè)信息安全產(chǎn)業(yè)示范基地建設(shè)。
(三)加快人才培養(yǎng)
鼓勵(lì)工業(yè)企業(yè)加強(qiáng)與院校合作,聯(lián)合培養(yǎng)工控安全專業(yè)人才。打造國家工控安全高端智庫,為工控安全戰(zhàn)略部署、規(guī)劃制定、決策咨詢、重大問題提供智力支持和技術(shù)支撐,培養(yǎng)一支門類齊全、技術(shù)精湛的工控安全專業(yè)人才隊(duì)伍。
(四)鼓勵(lì)社會(huì)參與
充分發(fā)揮行業(yè)協(xié)會(huì)、產(chǎn)業(yè)聯(lián)盟等中介組織的積極作用,支持開展技術(shù)研發(fā)、技能競賽、標(biāo)準(zhǔn)推廣、公共服務(wù)、國際合作等工作,促進(jìn)技術(shù)交流、加強(qiáng)信息溝通,形成政產(chǎn)學(xué)研用高效聯(lián)動(dòng)的發(fā)展格局。
官方解讀
工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)是實(shí)施制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的重要前提,關(guān)系到國家安全、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定。為貫徹落實(shí)黨的十九大精神,日前,工業(yè)和信息化部正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020)》(以下簡稱《行動(dòng)計(jì)劃》),旨在深入落實(shí)國家安全戰(zhàn)略,加快工控安全保障體系建設(shè),促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展。《行動(dòng)計(jì)劃》的發(fā)布引發(fā)各界廣泛關(guān)注。近日,工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司負(fù)責(zé)人就《行動(dòng)計(jì)劃》內(nèi)容進(jìn)行了解讀。
Q:《行動(dòng)計(jì)劃》的定位是如何考慮的?
答:隨著中國制造2025全面推進(jìn),工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展,新形勢下工控安全工作的重要性和緊迫性更加凸顯。黨中央、國務(wù)院高度重視信息安全問題。習(xí)近平總書記多次就網(wǎng)絡(luò)安全和信息化工作做出重要指示,強(qiáng)調(diào)“安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進(jìn)”。《中國制造2025》提出要“加強(qiáng)智能制造工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保障能力建設(shè),健全綜合保障體系”。《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》將“提高工業(yè)信息系統(tǒng)安全水平”作為主要任務(wù)之一,2017年6月1日實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》也要求對包括工業(yè)控制系統(tǒng)在內(nèi)的“可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”實(shí)行重點(diǎn)保護(hù)。近期發(fā)布的《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,提出“建立工業(yè)互聯(lián)網(wǎng)安全保障體系、提升安全保障能力”的發(fā)展目標(biāo),部署“強(qiáng)化安全保障”的主要任務(wù),為工業(yè)互聯(lián)網(wǎng)安全保障工作制定了時(shí)間表和路線圖。
《行動(dòng)計(jì)劃》深入貫徹落實(shí)國家安全戰(zhàn)略,突出了落實(shí)企業(yè)主體責(zé)任,從提升工業(yè)企業(yè)工控安全防護(hù)能力,促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展,加快工控安全保障體系建設(shè)出發(fā),進(jìn)一步明確了部門、地方和企業(yè)做什么和怎么做,部署了五大能力提升行動(dòng),為下一步開展工控安全工作提供了依據(jù)和指導(dǎo)。
Q:《行動(dòng)計(jì)劃》實(shí)施的主要目標(biāo)是什么?
答:到2020年,一是建成工控安全管理工作體系,企業(yè)主體責(zé)任明確,各級政府部門監(jiān)督管理職責(zé)清楚,工作管理機(jī)制基本完善。二是全系統(tǒng)、全行業(yè)工控安全意識普遍增強(qiáng),對工控安全危害認(rèn)識明顯提高,將工控安全作為生產(chǎn)安全的重要組成部分。三是態(tài)勢感知、安全防護(hù)、應(yīng)急處置能力顯著提升,全面加強(qiáng)技術(shù)支撐體系建設(shè),建成全國在線監(jiān)測網(wǎng)絡(luò),應(yīng)急資源庫,仿真測試、信息共享、信息通報(bào)平臺(一網(wǎng)一庫三平臺)。四是促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展,提升產(chǎn)業(yè)供給能力,培育一批龍頭骨干企業(yè),創(chuàng)建3-5個(gè)國家新型工業(yè)化產(chǎn)業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)。
Q:《行動(dòng)計(jì)劃》強(qiáng)調(diào)落實(shí)企業(yè)主體責(zé)任,企業(yè)應(yīng)如何落實(shí)主體責(zé)任?
答:工控安全是工業(yè)生產(chǎn)安全的重要組成部分,工業(yè)企業(yè)作為工業(yè)控制系統(tǒng)運(yùn)營者應(yīng)承擔(dān)主體責(zé)任。企業(yè)應(yīng)從以下方面落實(shí)主體責(zé)任:一是貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》,按照“誰主管、誰負(fù)責(zé);誰運(yùn)營、誰負(fù)責(zé)”的原則,建立工控安全責(zé)任制,明確企業(yè)法人代表、經(jīng)營負(fù)責(zé)人第一責(zé)任者的責(zé)任。二是抽調(diào)信息化、生產(chǎn)管理、運(yùn)營維護(hù)、設(shè)備管理等相關(guān)部門人員,組建企業(yè)工控安全管理機(jī)構(gòu)。三是按照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》要求,編制完善配置和補(bǔ)丁管理、物理和環(huán)境安全防護(hù)等制度,定期組織開展培訓(xùn),切實(shí)推動(dòng)各項(xiàng)制度落地實(shí)施。四是以《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作指南》為指導(dǎo),積極開展工控安全防護(hù)能力評估。五是持續(xù)加大工控安全投入,落實(shí)防護(hù)技術(shù)改造和隱患治理專項(xiàng)經(jīng)費(fèi)。
Q:《行動(dòng)計(jì)劃》在主要目標(biāo)里提出到2020年建成“一網(wǎng)一庫三平臺”,“一網(wǎng)一庫三平臺”具體指的是什么?
答:“一網(wǎng)”是指全國工控安全在線監(jiān)測網(wǎng)絡(luò)。支持國家工業(yè)信息安全發(fā)展研究中心牽頭,聯(lián)合地方、行業(yè)等技術(shù)機(jī)構(gòu),建設(shè)以國家工控安全在線監(jiān)測平臺為中心,縱向連接省級分中心,橫向覆蓋重點(diǎn)工業(yè)行業(yè)的多級監(jiān)測網(wǎng)絡(luò),實(shí)現(xiàn)對全國重要工業(yè)控制系統(tǒng)運(yùn)行狀態(tài)、風(fēng)險(xiǎn)隱患的實(shí)時(shí)感知、精準(zhǔn)研判和科學(xué)決策。
“一庫”是指工控安全應(yīng)急資源庫。按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》總體要求,支持國家工業(yè)信息安全發(fā)展研究中心建設(shè)應(yīng)急資源庫,匯聚漏洞、風(fēng)險(xiǎn)、解決方案、預(yù)案等信息,實(shí)現(xiàn)輔助決策、預(yù)案演練等功能。在突發(fā)工業(yè)信息安全事件時(shí),支撐行業(yè)主管部門協(xié)調(diào)技術(shù)專家和專業(yè)隊(duì)伍對事件開展分析研判,并調(diào)動(dòng)相關(guān)應(yīng)急資源及時(shí)有效的開展處置工作。
“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報(bào)平臺。建設(shè)工控安全仿真測試平臺,以化工生產(chǎn)、管道輸送、污水處理、智能制造等真實(shí)工業(yè)控制場景為基礎(chǔ),模擬業(yè)務(wù)流程,還原真實(shí)現(xiàn)場,滿足培訓(xùn)、測試、驗(yàn)證、試驗(yàn)等多元化需求。充分利用云計(jì)算、大數(shù)據(jù)等技術(shù)手段,建設(shè)國家工控安全信息共享平臺,建立共享清單,明確共享內(nèi)容,推動(dòng)形成政府引導(dǎo)、企業(yè)主體、社會(huì)參與、利益共享的工作機(jī)制。支持建設(shè)工控安全信息通報(bào)預(yù)警平臺,及時(shí)發(fā)布風(fēng)險(xiǎn)預(yù)警信息,跟蹤風(fēng)險(xiǎn)防范工作進(jìn)展,形成快速高效、各方聯(lián)動(dòng)的信息通報(bào)預(yù)警體系。
企業(yè)解讀
和利時(shí)智能技術(shù)有限公司總工程師朱毅明
工信部在12月29日發(fā)布的《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018-2020年)》中明確提出堅(jiān)持安全和發(fā)展同步推進(jìn)、堅(jiān)持落實(shí)企業(yè)主體責(zé)任、堅(jiān)持因地制宜分類指導(dǎo)、堅(jiān)持技術(shù)和管理并重等四大基本原則,其中的因地制宜分類指導(dǎo)與技術(shù)和管理并重原則對于實(shí)現(xiàn)供給側(cè)改革,為工業(yè)企業(yè)提供既安全又經(jīng)濟(jì)的工控系統(tǒng)信息安全解決方案,推進(jìn)工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)的可持續(xù)發(fā)展具有現(xiàn)實(shí)的指導(dǎo)意義。
首先,工業(yè)企業(yè)門類眾多,生產(chǎn)工藝千差萬別,相同的工業(yè)控制系統(tǒng)在不同的行業(yè)應(yīng)用中信息安全風(fēng)險(xiǎn)差異極大。工控信息安全風(fēng)險(xiǎn)不能簡單地按照企業(yè)生產(chǎn)規(guī)模或控制復(fù)雜程度劃分,而是應(yīng)該按照工控系統(tǒng)信息安全危險(xiǎn)可能造成的經(jīng)濟(jì)和社會(huì)后果以及發(fā)生的可能性進(jìn)行評估,例如:用于能源、交通、市政等基礎(chǔ)設(shè)施或化工、冶金、醫(yī)藥、食品等涉及高危行業(yè)的工業(yè)控制系統(tǒng),無論規(guī)模大小,都應(yīng)該采用嚴(yán)格的信息安全防護(hù)措施保證其安全穩(wěn)定運(yùn)行;用于一些離散制造業(yè)的工業(yè)控制系統(tǒng)即使規(guī)模巨大,但信息安全的危險(xiǎn)主要是相對可控的經(jīng)濟(jì)損失,一般不會(huì)產(chǎn)生大的社會(huì)影響或人身安全問題,可以選擇與其風(fēng)險(xiǎn)匹配的信息安全防護(hù)措施,不必過度設(shè)計(jì)。
其次,工控系統(tǒng)信息安全防護(hù)不僅僅是涉及計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù),而且要與傳統(tǒng)工業(yè)技術(shù)和管理手段相結(jié)合,形成信息與光機(jī)電技術(shù)一體化的全方位縱深防御體系,提供因地制宜、分類的解決方案,例如:在一些關(guān)鍵工業(yè)裝備上可以保留必要機(jī)械或電氣的多樣性保護(hù)手段,在工控系統(tǒng)完全失控的情況下作為最后的安全防線。
第三,對于工控系統(tǒng)信息安全,可以采用管理手段與技術(shù)手段相結(jié)合,以較低的實(shí)施成本和較快的實(shí)施速度,有效提高對惡意攻擊的難度,減緩攻擊實(shí)施的速度,提供較為充裕的時(shí)間采取必要的應(yīng)急措施,避免災(zāi)難性的后果。
在行動(dòng)計(jì)劃中還提到通過培育龍頭骨干企業(yè)和創(chuàng)建國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)實(shí)現(xiàn)產(chǎn)業(yè)發(fā)展能力提升,這一措施為國內(nèi)工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)發(fā)展提供了明確的政策引導(dǎo)。
目前國內(nèi)工業(yè)控制系統(tǒng)信息安全企業(yè)主要來自三個(gè)源頭,IT信息安全企業(yè)的工業(yè)業(yè)務(wù)部門、工控系統(tǒng)企業(yè)的信息安全部門和新創(chuàng)業(yè)的工控信息安全企業(yè),即使是新創(chuàng)業(yè)的工控信息安全企業(yè),其核心的骨干技術(shù)人員也大多來自IT信息安全企業(yè)和工控系統(tǒng)企業(yè)。由于工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)正處于爬坡上升階段,研發(fā)投入大,合同產(chǎn)出小,整個(gè)行業(yè)承受的壓力比較大,新創(chuàng)業(yè)的工控信息安全企業(yè)的壓力就更大。按照工信部的行動(dòng)計(jì)劃執(zhí)行,一方面加大對行業(yè)龍頭骨干企業(yè)的支持力度,幫助企業(yè)渡過暫時(shí)的困難,另一方面通過政策引導(dǎo),落實(shí)企業(yè)對工控信息安全的主體責(zé)任,鼓勵(lì)大中型企業(yè)集團(tuán)主動(dòng)推進(jìn)自身的工控系統(tǒng)信息安全改進(jìn),落實(shí)資金,帶動(dòng)整個(gè)行業(yè)的發(fā)展。這無疑對于目前的工業(yè)控制系統(tǒng)信息安全相關(guān)企業(yè)是極大的鼓勵(lì)。
摘自《自動(dòng)化博覽》2018年1月刊
北京市公安局海淀分局備案號:11010802023656號