工業(yè)和信息化部電子第五研究所

副所長(zhǎng) 王勇

隨著信息化和工業(yè)化深度融合，工業(yè)控制系統(tǒng)從單機(jī)走向互聯(lián)、從封閉走向開放、從自動(dòng)化走向智能化，為實(shí)現(xiàn)制造業(yè)數(shù)字化轉(zhuǎn)型，不斷提升制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展水平，為推動(dòng)我國(guó)制造業(yè)高質(zhì)量發(fā)展提供了重要支撐。在顯著提高生產(chǎn)力的同時(shí)，工業(yè)控制系統(tǒng)也面臨著日益嚴(yán)峻的信息安全威脅。工業(yè)和信息化部于2016年10月印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（以下簡(jiǎn)稱《指南》），并組織編制了《工業(yè)控制系統(tǒng)信息安全防護(hù)建設(shè)實(shí)施規(guī)范》（以下簡(jiǎn)稱《實(shí)施規(guī)范》）標(biāo)準(zhǔn)，指導(dǎo)企業(yè)提升安全防護(hù)水平，為我國(guó)制造業(yè)高質(zhì)量發(fā)展保駕護(hù)航。工業(yè)和信息化部電子第五研究所（以下簡(jiǎn)稱五所）持續(xù)開展貫標(biāo)和評(píng)估服務(wù)，幫助各行業(yè)企業(yè)落實(shí)《指南》相關(guān)要求。

推動(dòng)《指南》落地開展工控安全評(píng)估貫標(biāo)

自《指南》發(fā)布三周年以來(lái)，五所通過(guò)開展一系列工業(yè)控制系統(tǒng)信息安全（以下簡(jiǎn)稱工控安全）防護(hù)能力評(píng)估、檢測(cè)、貫標(biāo)工作，進(jìn)一步推動(dòng)《指南》落地，并且圍繞《指南》內(nèi)容不斷提升工控安全技術(shù)和服務(wù)能力，為企業(yè)提升工控安全防護(hù)能力提供更加專業(yè)的服務(wù)。

一是參照《指南》開展工控安全評(píng)估貫標(biāo)服務(wù)。圍繞落實(shí)《指南》的有關(guān)要求，五所扎實(shí)推進(jìn)工控安全防護(hù)能力貫標(biāo)工作，開展工控安全防護(hù)能力評(píng)估和工控安全抽查工作。三年來(lái)，在電力、石化、汽車、船舶、軌道交通、重型機(jī)械等領(lǐng)域開展了針對(duì)《指南》的工控安全評(píng)估，幫助企業(yè)按照政策標(biāo)準(zhǔn)要求，建立了有效的工控安全管理和技術(shù)防護(hù)體系，切實(shí)提升安全防護(hù)水平。

二是依托《指南》培育工控安全技術(shù)服務(wù)團(tuán)隊(duì)。五所認(rèn)證中心是全國(guó)首批信息安全管理體系認(rèn)證機(jī)構(gòu)之一，在信息安全領(lǐng)域積累了豐富的理論基礎(chǔ)和實(shí)踐經(jīng)驗(yàn)。在此基礎(chǔ)上，依托《指南》貫標(biāo)和評(píng)估工作的開展，不斷梳理總結(jié)貫標(biāo)評(píng)估經(jīng)驗(yàn)，在提升工控安全服務(wù)能力方面持續(xù)深入研究，并將成果用以培養(yǎng)工控安全人才，形成了博士和高級(jí)工程師牽頭的人才隊(duì)伍。

三是圍繞《指南》內(nèi)容開展工控安全技術(shù)積累。圍繞《指南》提出的工業(yè)控制系統(tǒng)全生命周期安全防護(hù)要求，五所建立了典型工業(yè)控制系統(tǒng)信息安全檢測(cè)評(píng)估環(huán)境，開展了工業(yè)控制系統(tǒng)漏洞分析、脆弱性檢測(cè)、風(fēng)險(xiǎn)評(píng)估、防護(hù)技術(shù)等方面的研究工作，形成了工業(yè)控制系統(tǒng)漏洞庫(kù)、評(píng)估案例庫(kù)、防護(hù)方案庫(kù)等積累。

建立有效體系

形成規(guī)范化安全保障

工控安全防護(hù)能力貫標(biāo)是在落實(shí)《指南》要求的基礎(chǔ)上，形成對(duì)《指南》的有效補(bǔ)充。從工控安全防護(hù)設(shè)計(jì)、建設(shè)、運(yùn)維全生命周期出發(fā)，幫助企業(yè)按照標(biāo)準(zhǔn)有關(guān)要求建立有效的工控安全管理和技術(shù)防護(hù)體系，形成規(guī)范化、體系化的安全保障，對(duì)推動(dòng)兩化深度融合、保障制造業(yè)高質(zhì)量發(fā)展具有重要意義。

一是統(tǒng)一思想，提高認(rèn)識(shí)。要充分認(rèn)識(shí)開展工控安全防護(hù)貫標(biāo)既是國(guó)家安全體系總體部署的要求，也是企業(yè)持續(xù)健康發(fā)展的基礎(chǔ)。企業(yè)高層務(wù)必高度重視，統(tǒng)一思想，提高認(rèn)識(shí)。全員參與，提升全員貫標(biāo)意識(shí)，做到貫標(biāo)工作人人有責(zé)，推行貫標(biāo)人人盡責(zé)。

二是通力協(xié)作，加強(qiáng)溝通。工控安全防護(hù)能力貫標(biāo)既涉及技術(shù)層面的物理與環(huán)境安全、數(shù)據(jù)安全防護(hù)、監(jiān)測(cè)預(yù)警與態(tài)勢(shì)感知等內(nèi)容，也涉及管理層面的安全規(guī)劃與機(jī)構(gòu)建設(shè)、人員管理及培訓(xùn)、訪問(wèn)控制與審計(jì)等內(nèi)容，要做到全面貫徹落實(shí)標(biāo)準(zhǔn)內(nèi)容，必須做到技術(shù)部門和管理部門通力協(xié)作、生產(chǎn)部門和IT部門充分溝通。

三是梳理對(duì)標(biāo)，有的放矢。在實(shí)施貫標(biāo)工作前，企業(yè)必須充分梳理自身的需求，找到與標(biāo)準(zhǔn)之間的差距，在貫標(biāo)過(guò)程中才能做到有的放矢，切實(shí)開展和落實(shí)糾正措施、預(yù)防措施等改進(jìn)機(jī)制。在貫標(biāo)完成后，通過(guò)不斷檢查和持續(xù)改進(jìn)，確保各項(xiàng)措施得到正確的執(zhí)行，才能保證貫標(biāo)工作取得實(shí)實(shí)在在的效果。

四是借助力量，增強(qiáng)合作。企業(yè)在面對(duì)一個(gè)新的標(biāo)準(zhǔn)體系時(shí)，難免會(huì)遇到標(biāo)準(zhǔn)理解不深入的問(wèn)題，此時(shí)，可以借助政府行業(yè)指導(dǎo)經(jīng)驗(yàn)、科研院所研究能力、技術(shù)服務(wù)提供商技術(shù)能力等專業(yè)機(jī)構(gòu)力量，加強(qiáng)政產(chǎn)學(xué)研合作，加大與科研院所和技術(shù)服務(wù)提供商的對(duì)接，在其專業(yè)指導(dǎo)下開展貫標(biāo)工作。

提升防護(hù)能力

構(gòu)建良性發(fā)展格局

面對(duì)復(fù)雜多變的網(wǎng)絡(luò)安全新形勢(shì)，應(yīng)當(dāng)堅(jiān)定不移地堅(jiān)持以習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想為指導(dǎo)，以工業(yè)企業(yè)安全防護(hù)能力提升為主線，調(diào)動(dòng)政產(chǎn)學(xué)研各方資源，加強(qiáng)頂層設(shè)計(jì)、培育產(chǎn)業(yè)環(huán)境，加快推進(jìn)工控安全保障體系建設(shè)，形成政策指導(dǎo)、標(biāo)準(zhǔn)支撐、產(chǎn)業(yè)創(chuàng)新的良性發(fā)展格局。

一是應(yīng)用方示范，引領(lǐng)貫標(biāo)工作扎實(shí)落地實(shí)施。各行業(yè)、各地區(qū)相關(guān)主管部門需加大工控安全貫標(biāo)指導(dǎo)力度，結(jié)合本行業(yè)、本地區(qū)特點(diǎn)，推動(dòng)工控安全防護(hù)能力本質(zhì)貫標(biāo)。通過(guò)培育工控安全防護(hù)典型成功案例，切實(shí)發(fā)揮示范帶動(dòng)作用，引領(lǐng)工控安全工作高質(zhì)量落地落實(shí)。

二是需求側(cè)牽引，切實(shí)提升工控防護(hù)本質(zhì)安全。工業(yè)企業(yè)在開展本質(zhì)貫標(biāo)的過(guò)程中，加強(qiáng)工業(yè)控制系統(tǒng)及相關(guān)產(chǎn)品的安全性評(píng)價(jià)和篩選，從本質(zhì)安全角度減少企業(yè)所面臨的工控安全風(fēng)險(xiǎn)隱患。同時(shí)，推動(dòng)工控廠商加快開展產(chǎn)學(xué)研用聯(lián)合攻關(guān)，形成強(qiáng)安全性的工業(yè)控制系統(tǒng)和解決方案。

三是服務(wù)方推動(dòng)，促進(jìn)企業(yè)貫標(biāo)能力廣泛提升。各行業(yè)組織應(yīng)加大力度推動(dòng)工控安全標(biāo)準(zhǔn)的研制、驗(yàn)證和宣貫培訓(xùn)，引導(dǎo)企業(yè)開展自評(píng)估、自診斷和自對(duì)標(biāo);貫標(biāo)服務(wù)機(jī)構(gòu)加強(qiáng)服務(wù)能力建設(shè)，為工業(yè)企業(yè)提供有力的技術(shù)支撐、信息發(fā)布和測(cè)評(píng)服務(wù)。

新形勢(shì)下，制造業(yè)高質(zhì)量發(fā)展需要信息化與安全雙輪驅(qū)動(dòng)，以正確的安全防護(hù)觀念為引導(dǎo)，構(gòu)建多方參與、協(xié)同保護(hù)的發(fā)展格局。五所將繼續(xù)加大投入，進(jìn)一步提升工控安全技術(shù)水平和服務(wù)能力，發(fā)揮橋梁紐帶作用推動(dòng)政產(chǎn)學(xué)研用各方攜手共進(jìn)，推動(dòng)《指南》落地落實(shí)，廣泛提高我國(guó)工業(yè)企業(yè)工控安全防護(hù)水平，為制造業(yè)高質(zhì)量發(fā)展提供堅(jiān)實(shí)保障。