今日頭條
官方微信
官方抖音
資訊頻道2017年12月27日,工信部正式發布《工業控制系統信息安全行動計劃(2018-2020年)》(以下簡稱行動計劃),這一行動計劃的發布,是我國貫徹落實《國務院關于深化制造業與互聯網融合發展的指導意見》、《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》等文件精神的具體行動,該行動計劃的發布,將加快我國工業控制系統信息安全保障體系的建設,提升工業企業工業控制系統信息安全防護能力,促進工業信息安全產業發展。本期記者特別刊出行動計劃全文,以及官方解讀和企業解讀,供讀者更好地理解該行動計劃。
全文|工業控制系統信息安全行動計劃(2018-2020年)
工業控制系統信息安全(以下簡稱工控安全)是實施制造強國和網絡強國戰略的重要保障。近年來,隨著中國制造2025全面推進,工業數字化、網絡化、智能化加快發展,我國工控安全面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復雜多樣等新挑戰。為全面落實國家安全戰略,提升工業企業工控安全防護能力,促進工業信息安全產業發展,加快我國工控安全保障體系建設,制定本行動計劃。
一、總體要求
(一)指導思想
全面貫徹落實黨的十九大精神,以習近平新時代中國特色社會主義思想為指引,堅持總體國家安全觀,以落實企業主體責任為關鍵,緊緊圍繞新時期兩化深度融合發展需求,重點提升工控安全態勢感知、安全防護和應急處置能力,促進產業創新發展,建立多級聯防聯動工作機制,為制造強國和網絡強國戰略建設奠定堅實基礎。
(二)基本原則
堅持安全和發展同步推進。樹立正確的網絡安全觀,堅持以安全保發展,以發展促安全,安全和發展并重。確保信息安全與信息化建設同步規劃、同步建設、同步運行。
堅持落實企業主體責任。確立企業工控安全主體責任地位,強化責任意識,把工控安全作為工業生產安全的重要組成部分,將安全要求納入企業生產、經營、管理各環節。
堅持因地制宜分類指導。準確把握工控安全在不同行業、不同地區的發展基礎和特征,結合工控安全威脅的多樣性和復雜性,分類別、分層次、分步驟精準施策。
堅持技術和管理并重。統籌技術防護與安全管理,充分運用先進技術提升工控安全防護能力,創新企業安全管理機制,全面落實安全管理制度。
(三)主要目標
到2020年,全系統工控安全管理工作體系基本建立,全社會工控安全意識明顯增強。建成全國在線監測網絡,應急資源庫,仿真測試、信息共享、信息通報平臺(一網一庫三平臺),態勢感知、安全防護、應急處置能力顯著提升。培育一批影響力大、競爭力強的龍頭骨干企業,創建3-5個國家新型工業化產業示范基地(工業信息安全),產業創新發展能力大幅提高。
二、主要行動
(一)安全管理水平提升
落實企業主體責任。企業依據《中華人民共和國網絡安全法》建立工控安全責任制,明確企業法人代表、經營負責人第一責任者的責任,組建管理機構,完善管理制度。貫徹落實《工業控制系統信息安全防護指南》安全要求,持續加大工控安全投入,落實防護技術改造和隱患治理專項經費,積極開展防護能力評估。
落實監督管理責任。工業和信息化部統籌制定工控安全政策標準,開展宣貫培訓,定期組織全國檢查評估,對納入審查范圍的工業控制系統產品與服務實施安全審查。地方工業和信息化主管部門加快工控安全地方性法規建設,建立重要工業控制系統目錄清單,加強日常監督管理,安排專項資金推動地方監測、預警、應急等保障能力建設,持續完善地方工控安全保障體系。
(二)態勢感知能力提升
建設全國工控安全監測網絡。支持國家級工業信息安全技術機構持續完善主動監測、被動誘捕、威脅情報獲取等工控安全在線監測手段,擴展工業控制系統資產識別種類,提高識別精準度和搜索效率。建設以國家工控安全在線監測平臺為中心,涵蓋省級重要節點的監測網絡,實現對全國重要工業控制系統運行狀態、風險隱患的實時感知、精準研判和科學決策。
實施信息共享工程。鼓勵行業主管部門、企業、科研院所、聯盟協會等機構和個人積極參與信息共享工作,建立共享清單,明確共享內容,推動形成政府引導、企業主體、社會參與、利益共享的工作機制。充分利用云計算、大數據等技術手段,建設國家工控安全信息共享平臺,實現信息的安全、可靠、及時共享。
(三)安全防護能力提升
加強防護技術研究。支持建設工控安全靶場、仿真測試等共性技術平臺,研發工控安全防護技術工具集,加強分區隔離、安全交換、協議管控等關鍵技術攻關。開展防護能力建設試點示范,形成可復制、可推廣的安全防護整體解決方案。探索工業云、工業大數據等新興應用的安全架構設計,開展工業互聯網安全防護技術研究和創新。
建立健全標準體系。制定工控安全分級、安全要求、安全實施、安全測評類標準,加快工控安全防護能力評估、工業控制系統設備產品安全、工業互聯網平臺安全等急用先行標準的發布和應用,鼓勵企業、科研院所、行業組織等參與國際標準化工作。
(四)應急處置能力提升
開展信息通報預警。制定《工業信息安全信息報送與通報管理辦法》,建立信息通報員、日常信息通報、應急信息通報、風險預警等制度。建設工控安全信息通報預警平臺,及時發布風險預警信息,跟蹤風險防范工作進展,形成快速高效、各方聯動的信息通報預警體系。
建設國家應急資源庫。按照《國家網絡安全事件應急預案》總體要求,支持國家級工業信息安全技術機構建設應急資源庫,實現信息采集、輔助決策、預案演練等功能。在突發工業信息安全事件時,支撐行業主管部門協調技術專家和專業隊伍對事件開展分析研判,并調動相關應急資源及時有效的開展處置工作。
(五)產業發展能力提升
培育龍頭骨干企業。面向工控安全領域產業發展需求,加快培育一批技術水平高、業務規模大、競爭能力強的工業控制系統生產企業和安全服務商,支持龍頭骨干企業突破核心技術,研發關鍵產品、提高服務能力、創新商業模式,聯合工業企業開展優秀產品及解決方案示范,推動行業應用。
創建國家新型工業化產業示范基地(工業信息安全)。選擇工業基礎雄厚、產業鏈條完備、聚集效應明顯的地區建設國家新型工業化產業示范基地(工業信息安全)。圍繞工業控制系統技術研發、應用示范、產融合作、人才培養等關鍵環節,探索產業發展路徑,促進產業集聚發展,發揮先行先試和示范帶動作用。
三、保障措施
(一)加強組織協調
在國家制造強國建設領導小組統一領導下,加強工控安全保障體系重大決策、重大工程和重大問題的統籌協調,全面落實行動計劃各項任務。各地工業和信息化主管部門要加強本地區統籌管理,做好行動計劃的貫徹落實和組織保障。
(二)加大政策支持
堅持政府引導和市場運作相結合,充分調動社會力量支持工控安全保障體系建設。支持有條件的地方設立專項,加大對工控安全基礎設施建設、關鍵技術驗證測試平臺建設、產業創新發展的支持力度。利用國家政策性信貸資金支持工業信息安全產業示范基地建設。
(三)加快人才培養
鼓勵工業企業加強與院校合作,聯合培養工控安全專業人才。打造國家工控安全高端智庫,為工控安全戰略部署、規劃制定、決策咨詢、重大問題提供智力支持和技術支撐,培養一支門類齊全、技術精湛的工控安全專業人才隊伍。
(四)鼓勵社會參與
充分發揮行業協會、產業聯盟等中介組織的積極作用,支持開展技術研發、技能競賽、標準推廣、公共服務、國際合作等工作,促進技術交流、加強信息溝通,形成政產學研用高效聯動的發展格局。
官方解讀
工業控制系統信息安全(以下簡稱工控安全)是實施制造強國和網絡強國戰略的重要前提,關系到國家安全、經濟發展和社會穩定。為貫徹落實黨的十九大精神,日前,工業和信息化部正式印發了《工業控制系統信息安全行動計劃(2018-2020)》(以下簡稱《行動計劃》),旨在深入落實國家安全戰略,加快工控安全保障體系建設,促進工業信息安全產業發展。《行動計劃》的發布引發各界廣泛關注。近日,工業和信息化部信息化和軟件服務業司負責人就《行動計劃》內容進行了解讀。
Q:《行動計劃》的定位是如何考慮的?
答:隨著中國制造2025全面推進,工業數字化、網絡化、智能化加快發展,新形勢下工控安全工作的重要性和緊迫性更加凸顯。黨中央、國務院高度重視信息安全問題。習近平總書記多次就網絡安全和信息化工作做出重要指示,強調“安全是發展的前提,發展是安全的保障,安全和發展要同步推進”。《中國制造2025》提出要“加強智能制造工業控制系統網絡安全保障能力建設,健全綜合保障體系”。《國務院關于深化制造業與互聯網融合發展的指導意見》將“提高工業信息系統安全水平”作為主要任務之一,2017年6月1日實施的《中華人民共和國網絡安全法》也要求對包括工業控制系統在內的“可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”實行重點保護。近期發布的《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》,提出“建立工業互聯網安全保障體系、提升安全保障能力”的發展目標,部署“強化安全保障”的主要任務,為工業互聯網安全保障工作制定了時間表和路線圖。
《行動計劃》深入貫徹落實國家安全戰略,突出了落實企業主體責任,從提升工業企業工控安全防護能力,促進工業信息安全產業發展,加快工控安全保障體系建設出發,進一步明確了部門、地方和企業做什么和怎么做,部署了五大能力提升行動,為下一步開展工控安全工作提供了依據和指導。
Q:《行動計劃》實施的主要目標是什么?
答:到2020年,一是建成工控安全管理工作體系,企業主體責任明確,各級政府部門監督管理職責清楚,工作管理機制基本完善。二是全系統、全行業工控安全意識普遍增強,對工控安全危害認識明顯提高,將工控安全作為生產安全的重要組成部分。三是態勢感知、安全防護、應急處置能力顯著提升,全面加強技術支撐體系建設,建成全國在線監測網絡,應急資源庫,仿真測試、信息共享、信息通報平臺(一網一庫三平臺)。四是促進工業信息安全產業發展,提升產業供給能力,培育一批龍頭骨干企業,創建3-5個國家新型工業化產業化產業示范基地(工業信息安全)。
Q:《行動計劃》強調落實企業主體責任,企業應如何落實主體責任?
答:工控安全是工業生產安全的重要組成部分,工業企業作為工業控制系統運營者應承擔主體責任。企業應從以下方面落實主體責任:一是貫徹落實《中華人民共和國網絡安全法》,按照“誰主管、誰負責;誰運營、誰負責”的原則,建立工控安全責任制,明確企業法人代表、經營負責人第一責任者的責任。二是抽調信息化、生產管理、運營維護、設備管理等相關部門人員,組建企業工控安全管理機構。三是按照《工業控制系統信息安全防護指南》要求,編制完善配置和補丁管理、物理和環境安全防護等制度,定期組織開展培訓,切實推動各項制度落地實施。四是以《工業控制系統信息安全防護能力評估工作指南》為指導,積極開展工控安全防護能力評估。五是持續加大工控安全投入,落實防護技術改造和隱患治理專項經費。
Q:《行動計劃》在主要目標里提出到2020年建成“一網一庫三平臺”,“一網一庫三平臺”具體指的是什么?
答:“一網”是指全國工控安全在線監測網絡。支持國家工業信息安全發展研究中心牽頭,聯合地方、行業等技術機構,建設以國家工控安全在線監測平臺為中心,縱向連接省級分中心,橫向覆蓋重點工業行業的多級監測網絡,實現對全國重要工業控制系統運行狀態、風險隱患的實時感知、精準研判和科學決策。
“一庫”是指工控安全應急資源庫。按照《國家網絡安全事件應急預案》總體要求,支持國家工業信息安全發展研究中心建設應急資源庫,匯聚漏洞、風險、解決方案、預案等信息,實現輔助決策、預案演練等功能。在突發工業信息安全事件時,支撐行業主管部門協調技術專家和專業隊伍對事件開展分析研判,并調動相關應急資源及時有效的開展處置工作。
“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。建設工控安全仿真測試平臺,以化工生產、管道輸送、污水處理、智能制造等真實工業控制場景為基礎,模擬業務流程,還原真實現場,滿足培訓、測試、驗證、試驗等多元化需求。充分利用云計算、大數據等技術手段,建設國家工控安全信息共享平臺,建立共享清單,明確共享內容,推動形成政府引導、企業主體、社會參與、利益共享的工作機制。支持建設工控安全信息通報預警平臺,及時發布風險預警信息,跟蹤風險防范工作進展,形成快速高效、各方聯動的信息通報預警體系。
企業解讀
和利時智能技術有限公司總工程師朱毅明
工信部在12月29日發布的《工業控制系統信息安全行動計劃(2018-2020年)》中明確提出堅持安全和發展同步推進、堅持落實企業主體責任、堅持因地制宜分類指導、堅持技術和管理并重等四大基本原則,其中的因地制宜分類指導與技術和管理并重原則對于實現供給側改革,為工業企業提供既安全又經濟的工控系統信息安全解決方案,推進工業控制系統信息安全產業的可持續發展具有現實的指導意義。
首先,工業企業門類眾多,生產工藝千差萬別,相同的工業控制系統在不同的行業應用中信息安全風險差異極大。工控信息安全風險不能簡單地按照企業生產規模或控制復雜程度劃分,而是應該按照工控系統信息安全危險可能造成的經濟和社會后果以及發生的可能性進行評估,例如:用于能源、交通、市政等基礎設施或化工、冶金、醫藥、食品等涉及高危行業的工業控制系統,無論規模大小,都應該采用嚴格的信息安全防護措施保證其安全穩定運行;用于一些離散制造業的工業控制系統即使規模巨大,但信息安全的危險主要是相對可控的經濟損失,一般不會產生大的社會影響或人身安全問題,可以選擇與其風險匹配的信息安全防護措施,不必過度設計。
其次,工控系統信息安全防護不僅僅是涉及計算機和網絡技術,而且要與傳統工業技術和管理手段相結合,形成信息與光機電技術一體化的全方位縱深防御體系,提供因地制宜、分類的解決方案,例如:在一些關鍵工業裝備上可以保留必要機械或電氣的多樣性保護手段,在工控系統完全失控的情況下作為最后的安全防線。
第三,對于工控系統信息安全,可以采用管理手段與技術手段相結合,以較低的實施成本和較快的實施速度,有效提高對惡意攻擊的難度,減緩攻擊實施的速度,提供較為充裕的時間采取必要的應急措施,避免災難性的后果。
在行動計劃中還提到通過培育龍頭骨干企業和創建國家新型工業化產業示范基地(工業信息安全)實現產業發展能力提升,這一措施為國內工業控制系統信息安全產業發展提供了明確的政策引導。
目前國內工業控制系統信息安全企業主要來自三個源頭,IT信息安全企業的工業業務部門、工控系統企業的信息安全部門和新創業的工控信息安全企業,即使是新創業的工控信息安全企業,其核心的骨干技術人員也大多來自IT信息安全企業和工控系統企業。由于工業控制系統信息安全產業正處于爬坡上升階段,研發投入大,合同產出小,整個行業承受的壓力比較大,新創業的工控信息安全企業的壓力就更大。按照工信部的行動計劃執行,一方面加大對行業龍頭骨干企業的支持力度,幫助企業渡過暫時的困難,另一方面通過政策引導,落實企業對工控信息安全的主體責任,鼓勵大中型企業集團主動推進自身的工控系統信息安全改進,落實資金,帶動整個行業的發展。這無疑對于目前的工業控制系統信息安全相關企業是極大的鼓勵。
摘自《自動化博覽》2018年1月刊
北京市公安局海淀分局備案號:11010802023656號