引導(dǎo)企業(yè)進(jìn)行工控安全防護(hù)能力迭代升級(jí)

■中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院副院長(zhǎng) 黃子河

為貫徹落實(shí)國(guó)務(wù)院《關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》，保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工業(yè)和信息化部于2016年、2017年先后出臺(tái)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（以下簡(jiǎn)稱《防護(hù)指南》），以及《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》和《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃》等多個(gè)政策性文件，對(duì)部分省市區(qū)工業(yè)和信息化主管部門相關(guān)同志和部分專業(yè)技術(shù)人員進(jìn)行工業(yè)控制系統(tǒng)信息安全培訓(xùn)，并在一些工業(yè)企業(yè)開(kāi)展工控系統(tǒng)安全防護(hù)能力驗(yàn)證工作，收到良好效果。

《防護(hù)指南》指導(dǎo)行業(yè)制定工作規(guī)范

《防護(hù)指南》在工業(yè)控制系統(tǒng)信息安全工作方面發(fā)揮了積極作用。

一是很好地指導(dǎo)了行業(yè)制定具有本行業(yè)特性的安全防護(hù)能力評(píng)估工作規(guī)范。不同行業(yè)的工控系統(tǒng)具有不同的工藝要求、生產(chǎn)流程、網(wǎng)絡(luò)環(huán)境和上下游產(chǎn)業(yè)，對(duì)于工控系統(tǒng)信息安全工作也有不同的要求。以汽車制造行業(yè)為例，該行業(yè)涉及沖壓、焊接、涂裝、總裝、機(jī)械零部件制造、電子零部件制造等生產(chǎn)環(huán)節(jié)，其工業(yè)控制系統(tǒng)具有智能化程度高、工業(yè)機(jī)器人應(yīng)用廣、上下游廠商數(shù)量多、生產(chǎn)分工細(xì)等特點(diǎn)。依據(jù)《防護(hù)指南》，行業(yè)用戶可以進(jìn)一步明確相關(guān)信息安全細(xì)則，合理控制、規(guī)避自身的工控系統(tǒng)安全風(fēng)險(xiǎn)。

二是很好地指導(dǎo)了第三方測(cè)評(píng)機(jī)構(gòu)開(kāi)展安全檢查工作。第三方評(píng)測(cè)機(jī)構(gòu)作為專業(yè)技術(shù)隊(duì)伍，支撐工信部開(kāi)展了工業(yè)控制系統(tǒng)信息安全檢查工作，摸清了行業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全現(xiàn)狀，發(fā)現(xiàn)了安全風(fēng)險(xiǎn)和隱患，提出了整改建議，協(xié)助行業(yè)企業(yè)提升了工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)水平，為形成較完善的工業(yè)控制系統(tǒng)信息安全檢查工作制度奠定了基礎(chǔ)。評(píng)測(cè)機(jī)構(gòu)通過(guò)查找典型行業(yè)工業(yè)控制系統(tǒng)信息安全問(wèn)題，進(jìn)一步了解和掌握了我國(guó)部分典型行業(yè)工業(yè)控制系統(tǒng)的信息安全現(xiàn)狀，通過(guò)分析工業(yè)控制系統(tǒng)信息安全整體防護(hù)能力和安全防護(hù)水平，提出了有效的安全解決方案、對(duì)策措施以及下一步工業(yè)控制系統(tǒng)信息安全工作重點(diǎn)，為政府部門制定國(guó)家工業(yè)控制系統(tǒng)信息安全戰(zhàn)略規(guī)劃及政策法規(guī)提供了參考依據(jù)。

《防護(hù)指南》提供信息安全指導(dǎo)參考依據(jù)

《防護(hù)指南》為應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)、工業(yè)APP 等工業(yè)新態(tài)勢(shì)的信息安全工作提供了工業(yè)控制系統(tǒng)細(xì)分領(lǐng)域的信息安全指導(dǎo)參考依據(jù)。

一是為在工業(yè)互聯(lián)網(wǎng)背景下的工控安全工作提供指導(dǎo)。工業(yè)互聯(lián)網(wǎng)是支撐智能制造的關(guān)鍵綜合信息基礎(chǔ)設(shè)施，是將機(jī)器、人、控制系統(tǒng)與信息系統(tǒng)有效連接的網(wǎng)絡(luò)信息系統(tǒng)，要求在安全可信的前提下，支撐實(shí)現(xiàn)單個(gè)機(jī)器到生產(chǎn)線、車間、工廠乃至整個(gè)工業(yè)體系的智能決策和動(dòng)態(tài)優(yōu)化?！斗雷o(hù)指南》要求在工業(yè)云平臺(tái)訪問(wèn)過(guò)程中使用身份認(rèn)證管理，并明確了遠(yuǎn)程訪問(wèn)過(guò)程中的安全加固要求，提升了終端和數(shù)據(jù)傳輸過(guò)程中的安全防護(hù)能力。

二是為工業(yè)APP 安全防護(hù)能力提供了安全指導(dǎo)參考依據(jù)。每個(gè)工業(yè)APP 都承載了一定的工業(yè)知識(shí)和經(jīng)驗(yàn)，關(guān)注于解決特定的工業(yè)問(wèn)題，需要將多個(gè)工業(yè)APP 組成一個(gè)有機(jī)整體，才能為工業(yè)企業(yè)提供完整的使用功能和解決方案。而這些可能來(lái)自于不同的開(kāi)發(fā)者，也可能來(lái)自于工業(yè)企業(yè)的技術(shù)人員，也可能是在其他APP 基礎(chǔ)上二次開(kāi)發(fā)形成的新APP，因此需要內(nèi)部建立安全規(guī)范和防護(hù)體系?！斗雷o(hù)指南》要求建立工業(yè)控制系統(tǒng)配置清單，在配置變更前進(jìn)行嚴(yán)格安全測(cè)試，并分離工業(yè)控制系統(tǒng)的開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境，從而保障工業(yè)APP 在開(kāi)發(fā)過(guò)程中的安全屬性。

依據(jù)《防護(hù)指南》落實(shí)安全保障工作

中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院依據(jù)《防護(hù)指南》，落實(shí)了多項(xiàng)安全保障工作。一是參照指南要求，建設(shè)工控系統(tǒng)通信總線信息安全仿真測(cè)試平臺(tái)，并基于該項(xiàng)目承擔(dān)了工業(yè)控制系統(tǒng)智能化安全云服務(wù)平臺(tái)測(cè)試等工作。二是參與編寫了《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作實(shí)施細(xì)則》《油氣管道SCADA信息安全管理辦法》等規(guī)范。三是支撐工信部，按照《防護(hù)指南》要求，對(duì)石化化工、裝備制造、汽車制造、能源、航空航天等重點(diǎn)行業(yè)企業(yè)進(jìn)行工業(yè)控制系統(tǒng)信息安全檢查。四是在石油石化、電力、軌道交通等大型行業(yè)企業(yè)開(kāi)展了油氣管道SCADA 系統(tǒng)信息安全測(cè)評(píng)，為油田工業(yè)控制系統(tǒng)提供信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)等數(shù)十項(xiàng)控制系統(tǒng)的安全測(cè)評(píng)服務(wù)，通過(guò)發(fā)現(xiàn)問(wèn)題并提出整改建議，切實(shí)引導(dǎo)工業(yè)企業(yè)進(jìn)行工業(yè)控制系統(tǒng)信息安全防護(hù)能力的迭代升級(jí)。

《防護(hù)指南》在過(guò)去三年內(nèi)一直發(fā)揮著積極的作用。通過(guò)開(kāi)展對(duì)工業(yè)控制系統(tǒng)信息安全自查、抽查工作，協(xié)助企業(yè)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，提升了企業(yè)安全意識(shí)和防護(hù)水平以及專業(yè)技術(shù)隊(duì)伍信息安全檢查能力。在后續(xù)開(kāi)展工業(yè)控制系統(tǒng)信息安全工作時(shí)，中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院將繼續(xù)支撐工信部開(kāi)展年度工控信息安全抽查、檢查工作，參與《防護(hù)指南》相關(guān)標(biāo)準(zhǔn)的制修訂工作，將《防護(hù)指南》的工作思路向各個(gè)重點(diǎn)行業(yè)推進(jìn)并落實(shí)，進(jìn)一步為工業(yè)控制系統(tǒng)、智能制造、工業(yè)互聯(lián)網(wǎng)、人工智能與工業(yè)場(chǎng)景融合等新技術(shù)領(lǐng)域的信息安全工作提供信息安全的各項(xiàng)測(cè)評(píng)、咨詢服務(wù)。