今日頭條
官方微信
官方抖音
資訊頻道2017年12月27日,工信部正式發(fā)布《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》(以下簡稱行動計劃),這一行動計劃的發(fā)布,是我國貫徹落實《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》、《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》等文件精神的具體行動,該行動計劃的發(fā)布,將加快我國工業(yè)控制系統(tǒng)信息安全保障體系的建設(shè),提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護能力,促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展。本期記者特別刊出行動計劃全文,以及官方解讀和企業(yè)解讀,供讀者更好地理解該行動計劃。
全文|工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)
工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)是實施制造強國和網(wǎng)絡(luò)強國戰(zhàn)略的重要保障。近年來,隨著中國制造2025全面推進,工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展,我國工控安全面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復(fù)雜多樣等新挑戰(zhàn)。為全面落實國家安全戰(zhàn)略,提升工業(yè)企業(yè)工控安全防護能力,促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展,加快我國工控安全保障體系建設(shè),制定本行動計劃。
一、總體要求
(一)指導(dǎo)思想
全面貫徹落實黨的十九大精神,以習近平新時代中國特色社會主義思想為指引,堅持總體國家安全觀,以落實企業(yè)主體責任為關(guān)鍵,緊緊圍繞新時期兩化深度融合發(fā)展需求,重點提升工控安全態(tài)勢感知、安全防護和應(yīng)急處置能力,促進產(chǎn)業(yè)創(chuàng)新發(fā)展,建立多級聯(lián)防聯(lián)動工作機制,為制造強國和網(wǎng)絡(luò)強國戰(zhàn)略建設(shè)奠定堅實基礎(chǔ)。
(二)基本原則
堅持安全和發(fā)展同步推進。樹立正確的網(wǎng)絡(luò)安全觀,堅持以安全保發(fā)展,以發(fā)展促安全,安全和發(fā)展并重。確保信息安全與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運行。
堅持落實企業(yè)主體責任。確立企業(yè)工控安全主體責任地位,強化責任意識,把工控安全作為工業(yè)生產(chǎn)安全的重要組成部分,將安全要求納入企業(yè)生產(chǎn)、經(jīng)營、管理各環(huán)節(jié)。
堅持因地制宜分類指導(dǎo)。準確把握工控安全在不同行業(yè)、不同地區(qū)的發(fā)展基礎(chǔ)和特征,結(jié)合工控安全威脅的多樣性和復(fù)雜性,分類別、分層次、分步驟精準施策。
堅持技術(shù)和管理并重。統(tǒng)籌技術(shù)防護與安全管理,充分運用先進技術(shù)提升工控安全防護能力,創(chuàng)新企業(yè)安全管理機制,全面落實安全管理制度。
(三)主要目標
到2020年,全系統(tǒng)工控安全管理工作體系基本建立,全社會工控安全意識明顯增強。建成全國在線監(jiān)測網(wǎng)絡(luò),應(yīng)急資源庫,仿真測試、信息共享、信息通報平臺(一網(wǎng)一庫三平臺),態(tài)勢感知、安全防護、應(yīng)急處置能力顯著提升。培育一批影響力大、競爭力強的龍頭骨干企業(yè),創(chuàng)建3-5個國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全),產(chǎn)業(yè)創(chuàng)新發(fā)展能力大幅提高。
二、主要行動
(一)安全管理水平提升
落實企業(yè)主體責任。企業(yè)依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》建立工控安全責任制,明確企業(yè)法人代表、經(jīng)營負責人第一責任者的責任,組建管理機構(gòu),完善管理制度。貫徹落實《工業(yè)控制系統(tǒng)信息安全防護指南》安全要求,持續(xù)加大工控安全投入,落實防護技術(shù)改造和隱患治理專項經(jīng)費,積極開展防護能力評估。
落實監(jiān)督管理責任。工業(yè)和信息化部統(tǒng)籌制定工控安全政策標準,開展宣貫培訓,定期組織全國檢查評估,對納入審查范圍的工業(yè)控制系統(tǒng)產(chǎn)品與服務(wù)實施安全審查。地方工業(yè)和信息化主管部門加快工控安全地方性法規(guī)建設(shè),建立重要工業(yè)控制系統(tǒng)目錄清單,加強日常監(jiān)督管理,安排專項資金推動地方監(jiān)測、預(yù)警、應(yīng)急等保障能力建設(shè),持續(xù)完善地方工控安全保障體系。
(二)態(tài)勢感知能力提升
建設(shè)全國工控安全監(jiān)測網(wǎng)絡(luò)。支持國家級工業(yè)信息安全技術(shù)機構(gòu)持續(xù)完善主動監(jiān)測、被動誘捕、威脅情報獲取等工控安全在線監(jiān)測手段,擴展工業(yè)控制系統(tǒng)資產(chǎn)識別種類,提高識別精準度和搜索效率。建設(shè)以國家工控安全在線監(jiān)測平臺為中心,涵蓋省級重要節(jié)點的監(jiān)測網(wǎng)絡(luò),實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運行狀態(tài)、風險隱患的實時感知、精準研判和科學決策。
實施信息共享工程。鼓勵行業(yè)主管部門、企業(yè)、科研院所、聯(lián)盟協(xié)會等機構(gòu)和個人積極參與信息共享工作,建立共享清單,明確共享內(nèi)容,推動形成政府引導(dǎo)、企業(yè)主體、社會參與、利益共享的工作機制。充分利用云計算、大數(shù)據(jù)等技術(shù)手段,建設(shè)國家工控安全信息共享平臺,實現(xiàn)信息的安全、可靠、及時共享。
(三)安全防護能力提升
加強防護技術(shù)研究。支持建設(shè)工控安全靶場、仿真測試等共性技術(shù)平臺,研發(fā)工控安全防護技術(shù)工具集,加強分區(qū)隔離、安全交換、協(xié)議管控等關(guān)鍵技術(shù)攻關(guān)。開展防護能力建設(shè)試點示范,形成可復(fù)制、可推廣的安全防護整體解決方案。探索工業(yè)云、工業(yè)大數(shù)據(jù)等新興應(yīng)用的安全架構(gòu)設(shè)計,開展工業(yè)互聯(lián)網(wǎng)安全防護技術(shù)研究和創(chuàng)新。
建立健全標準體系。制定工控安全分級、安全要求、安全實施、安全測評類標準,加快工控安全防護能力評估、工業(yè)控制系統(tǒng)設(shè)備產(chǎn)品安全、工業(yè)互聯(lián)網(wǎng)平臺安全等急用先行標準的發(fā)布和應(yīng)用,鼓勵企業(yè)、科研院所、行業(yè)組織等參與國際標準化工作。
(四)應(yīng)急處置能力提升
開展信息通報預(yù)警。制定《工業(yè)信息安全信息報送與通報管理辦法》,建立信息通報員、日常信息通報、應(yīng)急信息通報、風險預(yù)警等制度。建設(shè)工控安全信息通報預(yù)警平臺,及時發(fā)布風險預(yù)警信息,跟蹤風險防范工作進展,形成快速高效、各方聯(lián)動的信息通報預(yù)警體系。
建設(shè)國家應(yīng)急資源庫。按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》總體要求,支持國家級工業(yè)信息安全技術(shù)機構(gòu)建設(shè)應(yīng)急資源庫,實現(xiàn)信息采集、輔助決策、預(yù)案演練等功能。在突發(fā)工業(yè)信息安全事件時,支撐行業(yè)主管部門協(xié)調(diào)技術(shù)專家和專業(yè)隊伍對事件開展分析研判,并調(diào)動相關(guān)應(yīng)急資源及時有效的開展處置工作。
(五)產(chǎn)業(yè)發(fā)展能力提升
培育龍頭骨干企業(yè)。面向工控安全領(lǐng)域產(chǎn)業(yè)發(fā)展需求,加快培育一批技術(shù)水平高、業(yè)務(wù)規(guī)模大、競爭能力強的工業(yè)控制系統(tǒng)生產(chǎn)企業(yè)和安全服務(wù)商,支持龍頭骨干企業(yè)突破核心技術(shù),研發(fā)關(guān)鍵產(chǎn)品、提高服務(wù)能力、創(chuàng)新商業(yè)模式,聯(lián)合工業(yè)企業(yè)開展優(yōu)秀產(chǎn)品及解決方案示范,推動行業(yè)應(yīng)用。
創(chuàng)建國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)。選擇工業(yè)基礎(chǔ)雄厚、產(chǎn)業(yè)鏈條完備、聚集效應(yīng)明顯的地區(qū)建設(shè)國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)。圍繞工業(yè)控制系統(tǒng)技術(shù)研發(fā)、應(yīng)用示范、產(chǎn)融合作、人才培養(yǎng)等關(guān)鍵環(huán)節(jié),探索產(chǎn)業(yè)發(fā)展路徑,促進產(chǎn)業(yè)集聚發(fā)展,發(fā)揮先行先試和示范帶動作用。
三、保障措施
(一)加強組織協(xié)調(diào)
在國家制造強國建設(shè)領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo)下,加強工控安全保障體系重大決策、重大工程和重大問題的統(tǒng)籌協(xié)調(diào),全面落實行動計劃各項任務(wù)。各地工業(yè)和信息化主管部門要加強本地區(qū)統(tǒng)籌管理,做好行動計劃的貫徹落實和組織保障。
(二)加大政策支持
堅持政府引導(dǎo)和市場運作相結(jié)合,充分調(diào)動社會力量支持工控安全保障體系建設(shè)。支持有條件的地方設(shè)立專項,加大對工控安全基礎(chǔ)設(shè)施建設(shè)、關(guān)鍵技術(shù)驗證測試平臺建設(shè)、產(chǎn)業(yè)創(chuàng)新發(fā)展的支持力度。利用國家政策性信貸資金支持工業(yè)信息安全產(chǎn)業(yè)示范基地建設(shè)。
(三)加快人才培養(yǎng)
鼓勵工業(yè)企業(yè)加強與院校合作,聯(lián)合培養(yǎng)工控安全專業(yè)人才。打造國家工控安全高端智庫,為工控安全戰(zhàn)略部署、規(guī)劃制定、決策咨詢、重大問題提供智力支持和技術(shù)支撐,培養(yǎng)一支門類齊全、技術(shù)精湛的工控安全專業(yè)人才隊伍。
(四)鼓勵社會參與
充分發(fā)揮行業(yè)協(xié)會、產(chǎn)業(yè)聯(lián)盟等中介組織的積極作用,支持開展技術(shù)研發(fā)、技能競賽、標準推廣、公共服務(wù)、國際合作等工作,促進技術(shù)交流、加強信息溝通,形成政產(chǎn)學研用高效聯(lián)動的發(fā)展格局。
官方解讀
工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)是實施制造強國和網(wǎng)絡(luò)強國戰(zhàn)略的重要前提,關(guān)系到國家安全、經(jīng)濟發(fā)展和社會穩(wěn)定。為貫徹落實黨的十九大精神,日前,工業(yè)和信息化部正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020)》(以下簡稱《行動計劃》),旨在深入落實國家安全戰(zhàn)略,加快工控安全保障體系建設(shè),促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展。《行動計劃》的發(fā)布引發(fā)各界廣泛關(guān)注。近日,工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司負責人就《行動計劃》內(nèi)容進行了解讀。
Q:《行動計劃》的定位是如何考慮的?
答:隨著中國制造2025全面推進,工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展,新形勢下工控安全工作的重要性和緊迫性更加凸顯。黨中央、國務(wù)院高度重視信息安全問題。習近平總書記多次就網(wǎng)絡(luò)安全和信息化工作做出重要指示,強調(diào)“安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進”。《中國制造2025》提出要“加強智能制造工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保障能力建設(shè),健全綜合保障體系”。《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》將“提高工業(yè)信息系統(tǒng)安全水平”作為主要任務(wù)之一,2017年6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》也要求對包括工業(yè)控制系統(tǒng)在內(nèi)的“可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”實行重點保護。近期發(fā)布的《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,提出“建立工業(yè)互聯(lián)網(wǎng)安全保障體系、提升安全保障能力”的發(fā)展目標,部署“強化安全保障”的主要任務(wù),為工業(yè)互聯(lián)網(wǎng)安全保障工作制定了時間表和路線圖。
《行動計劃》深入貫徹落實國家安全戰(zhàn)略,突出了落實企業(yè)主體責任,從提升工業(yè)企業(yè)工控安全防護能力,促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展,加快工控安全保障體系建設(shè)出發(fā),進一步明確了部門、地方和企業(yè)做什么和怎么做,部署了五大能力提升行動,為下一步開展工控安全工作提供了依據(jù)和指導(dǎo)。
Q:《行動計劃》實施的主要目標是什么?
答:到2020年,一是建成工控安全管理工作體系,企業(yè)主體責任明確,各級政府部門監(jiān)督管理職責清楚,工作管理機制基本完善。二是全系統(tǒng)、全行業(yè)工控安全意識普遍增強,對工控安全危害認識明顯提高,將工控安全作為生產(chǎn)安全的重要組成部分。三是態(tài)勢感知、安全防護、應(yīng)急處置能力顯著提升,全面加強技術(shù)支撐體系建設(shè),建成全國在線監(jiān)測網(wǎng)絡(luò),應(yīng)急資源庫,仿真測試、信息共享、信息通報平臺(一網(wǎng)一庫三平臺)。四是促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展,提升產(chǎn)業(yè)供給能力,培育一批龍頭骨干企業(yè),創(chuàng)建3-5個國家新型工業(yè)化產(chǎn)業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)。
Q:《行動計劃》強調(diào)落實企業(yè)主體責任,企業(yè)應(yīng)如何落實主體責任?
答:工控安全是工業(yè)生產(chǎn)安全的重要組成部分,工業(yè)企業(yè)作為工業(yè)控制系統(tǒng)運營者應(yīng)承擔主體責任。企業(yè)應(yīng)從以下方面落實主體責任:一是貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》,按照“誰主管、誰負責;誰運營、誰負責”的原則,建立工控安全責任制,明確企業(yè)法人代表、經(jīng)營負責人第一責任者的責任。二是抽調(diào)信息化、生產(chǎn)管理、運營維護、設(shè)備管理等相關(guān)部門人員,組建企業(yè)工控安全管理機構(gòu)。三是按照《工業(yè)控制系統(tǒng)信息安全防護指南》要求,編制完善配置和補丁管理、物理和環(huán)境安全防護等制度,定期組織開展培訓,切實推動各項制度落地實施。四是以《工業(yè)控制系統(tǒng)信息安全防護能力評估工作指南》為指導(dǎo),積極開展工控安全防護能力評估。五是持續(xù)加大工控安全投入,落實防護技術(shù)改造和隱患治理專項經(jīng)費。
Q:《行動計劃》在主要目標里提出到2020年建成“一網(wǎng)一庫三平臺”,“一網(wǎng)一庫三平臺”具體指的是什么?
答:“一網(wǎng)”是指全國工控安全在線監(jiān)測網(wǎng)絡(luò)。支持國家工業(yè)信息安全發(fā)展研究中心牽頭,聯(lián)合地方、行業(yè)等技術(shù)機構(gòu),建設(shè)以國家工控安全在線監(jiān)測平臺為中心,縱向連接省級分中心,橫向覆蓋重點工業(yè)行業(yè)的多級監(jiān)測網(wǎng)絡(luò),實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運行狀態(tài)、風險隱患的實時感知、精準研判和科學決策。
“一庫”是指工控安全應(yīng)急資源庫。按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》總體要求,支持國家工業(yè)信息安全發(fā)展研究中心建設(shè)應(yīng)急資源庫,匯聚漏洞、風險、解決方案、預(yù)案等信息,實現(xiàn)輔助決策、預(yù)案演練等功能。在突發(fā)工業(yè)信息安全事件時,支撐行業(yè)主管部門協(xié)調(diào)技術(shù)專家和專業(yè)隊伍對事件開展分析研判,并調(diào)動相關(guān)應(yīng)急資源及時有效的開展處置工作。
“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。建設(shè)工控安全仿真測試平臺,以化工生產(chǎn)、管道輸送、污水處理、智能制造等真實工業(yè)控制場景為基礎(chǔ),模擬業(yè)務(wù)流程,還原真實現(xiàn)場,滿足培訓、測試、驗證、試驗等多元化需求。充分利用云計算、大數(shù)據(jù)等技術(shù)手段,建設(shè)國家工控安全信息共享平臺,建立共享清單,明確共享內(nèi)容,推動形成政府引導(dǎo)、企業(yè)主體、社會參與、利益共享的工作機制。支持建設(shè)工控安全信息通報預(yù)警平臺,及時發(fā)布風險預(yù)警信息,跟蹤風險防范工作進展,形成快速高效、各方聯(lián)動的信息通報預(yù)警體系。
企業(yè)解讀
和利時智能技術(shù)有限公司總工程師朱毅明
工信部在12月29日發(fā)布的《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》中明確提出堅持安全和發(fā)展同步推進、堅持落實企業(yè)主體責任、堅持因地制宜分類指導(dǎo)、堅持技術(shù)和管理并重等四大基本原則,其中的因地制宜分類指導(dǎo)與技術(shù)和管理并重原則對于實現(xiàn)供給側(cè)改革,為工業(yè)企業(yè)提供既安全又經(jīng)濟的工控系統(tǒng)信息安全解決方案,推進工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)的可持續(xù)發(fā)展具有現(xiàn)實的指導(dǎo)意義。
首先,工業(yè)企業(yè)門類眾多,生產(chǎn)工藝千差萬別,相同的工業(yè)控制系統(tǒng)在不同的行業(yè)應(yīng)用中信息安全風險差異極大。工控信息安全風險不能簡單地按照企業(yè)生產(chǎn)規(guī)模或控制復(fù)雜程度劃分,而是應(yīng)該按照工控系統(tǒng)信息安全危險可能造成的經(jīng)濟和社會后果以及發(fā)生的可能性進行評估,例如:用于能源、交通、市政等基礎(chǔ)設(shè)施或化工、冶金、醫(yī)藥、食品等涉及高危行業(yè)的工業(yè)控制系統(tǒng),無論規(guī)模大小,都應(yīng)該采用嚴格的信息安全防護措施保證其安全穩(wěn)定運行;用于一些離散制造業(yè)的工業(yè)控制系統(tǒng)即使規(guī)模巨大,但信息安全的危險主要是相對可控的經(jīng)濟損失,一般不會產(chǎn)生大的社會影響或人身安全問題,可以選擇與其風險匹配的信息安全防護措施,不必過度設(shè)計。
其次,工控系統(tǒng)信息安全防護不僅僅是涉及計算機和網(wǎng)絡(luò)技術(shù),而且要與傳統(tǒng)工業(yè)技術(shù)和管理手段相結(jié)合,形成信息與光機電技術(shù)一體化的全方位縱深防御體系,提供因地制宜、分類的解決方案,例如:在一些關(guān)鍵工業(yè)裝備上可以保留必要機械或電氣的多樣性保護手段,在工控系統(tǒng)完全失控的情況下作為最后的安全防線。
第三,對于工控系統(tǒng)信息安全,可以采用管理手段與技術(shù)手段相結(jié)合,以較低的實施成本和較快的實施速度,有效提高對惡意攻擊的難度,減緩攻擊實施的速度,提供較為充裕的時間采取必要的應(yīng)急措施,避免災(zāi)難性的后果。
在行動計劃中還提到通過培育龍頭骨干企業(yè)和創(chuàng)建國家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)實現(xiàn)產(chǎn)業(yè)發(fā)展能力提升,這一措施為國內(nèi)工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)發(fā)展提供了明確的政策引導(dǎo)。
目前國內(nèi)工業(yè)控制系統(tǒng)信息安全企業(yè)主要來自三個源頭,IT信息安全企業(yè)的工業(yè)業(yè)務(wù)部門、工控系統(tǒng)企業(yè)的信息安全部門和新創(chuàng)業(yè)的工控信息安全企業(yè),即使是新創(chuàng)業(yè)的工控信息安全企業(yè),其核心的骨干技術(shù)人員也大多來自IT信息安全企業(yè)和工控系統(tǒng)企業(yè)。由于工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)正處于爬坡上升階段,研發(fā)投入大,合同產(chǎn)出小,整個行業(yè)承受的壓力比較大,新創(chuàng)業(yè)的工控信息安全企業(yè)的壓力就更大。按照工信部的行動計劃執(zhí)行,一方面加大對行業(yè)龍頭骨干企業(yè)的支持力度,幫助企業(yè)渡過暫時的困難,另一方面通過政策引導(dǎo),落實企業(yè)對工控信息安全的主體責任,鼓勵大中型企業(yè)集團主動推進自身的工控系統(tǒng)信息安全改進,落實資金,帶動整個行業(yè)的發(fā)展。這無疑對于目前的工業(yè)控制系統(tǒng)信息安全相關(guān)企業(yè)是極大的鼓勵。
摘自《自動化博覽》2018年1月刊
北京市公安局海淀分局備案號:11010802023656號