今日頭條
官方微信
官方抖音
資訊頻道2017年12月29日,工信部發布《工業控制系統信息安全行動計劃(2018-2020)》(以下簡稱行動計劃),隨著《行動計劃》官方解讀的發布,市場對該計劃也產生了熱議,本期特別刊出和利時智能技術有限公司總工程師朱毅明對該計劃的解讀,希望對相關同仁有所啟發!
以下為解讀全文:
工信部在12月29日發布的《工業控制系統信息安全行動計劃(2018-2020)》中明確提出堅持安全和發展同步推進、堅持落實企業主體責任、堅持因地制宜分類指導、堅持技術和管理并重等四大基本原則,其中的因地制宜分類指導與技術和管理并重原則對于實現供給側改革,為工業企業提供既安全又經濟的工控系統信息安全解決方案,推進工業控制系統信息安全產業的可持續發展具有現實的指導意義。
首先,工業企業門類眾多,生產工藝千差萬別,相同的工業控制系統在不同的行業應用中信息安全風險差異極大。工控信息安全風險不能簡單地按照企業生產規模或控制復雜程度劃分,而是應該按照工控系統信息安全危險可能造成的經濟和社會后果以及發生的可能性進行評估,例如:用于能源、交通、市政等基礎設施或化工、冶金、醫藥、食品等涉及高危行業的工業控制系統,無論規模大小,都應該采用嚴格的信息安全防護措施保證其安全穩定運行;用于一些離散制造業的工業控制系統即使規模巨大,但信息安全的危險主要是相對可控的經濟損失,一般不會產生大的社會影響或人身安全問題,可以選擇與其風險匹配的信息安全防護措施,不必過度設計。
其次,工控系統信息安全防護不僅僅是涉及計算機和網絡技術,而且要與傳統工業技術和管理手段相結合,形成信息與光機電技術一體化的全方位縱深防御體系,提供因地制宜、分類的解決方案,例如:在一些關鍵工業裝備上可以保留必要機械或電氣的多樣性保護手段,在工控系統完全失控的情況下提供最后的安全防線。
第三,對于工控系統信息安全,可以采用管理手段與技術手段相結合,以較低的實施成本和較快的實施速度,有效提高對惡意攻擊的難度,減緩攻擊實施的速度,提供較為充裕的時間采取必要的應急措施,避免災難性的后果。
在行動計劃中還提到通過培育龍頭骨干企業和創建國家新型工業化產業示范基地(工業信息安全)實現產業發展能力提升,這一措施為國內工業控制系統信息安全產業發展提供了明確的政策引導。
目前國內工業控制系統信息安全企業主要來自三個源頭,IT信息安全企業的工業業務部門、工控系統企業的信息安全部門和新創業的工控信息安全企業,即使是新創業的工控信息安全企業,其核心的骨干技術人員也大多來自IT信息安全企業和工控系統企業。由于工業控制系統信息安全產業正處于爬坡上升階段,研發投入大,合同產出小,整個行業承受的壓力比較大,新創業的工控信息安全企業的壓力就更大。按照工信部的行動計劃執行,一方面加大對行業龍頭骨干企業的支持力度,幫助企業渡過暫時的困難,另一方面通過政策引導,落實企業對工控信息安全的主體責任,鼓勵大中型企業集團主動推進自身的工控系統信息安全改進,落實資金,帶動整個行業的發展。這無疑對于目前的工業控制系統信息安全相關企業是極大的鼓勵。
本文轉自《自動化博覽》2018年第一期
北京市公安局海淀分局備案號:11010802023656號