■中國電子信息產(chǎn)業(yè)發(fā)展研究院副院長 黃子河

為貫徹落實(shí)國務(wù)院《關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》，保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工業(yè)和信息化部于2016年、2017年先后出臺了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（以下簡稱《防護(hù)指南》），以及《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作管理辦法》和《工業(yè)控制系統(tǒng)信息安全行動計劃》等多個政策性文件，對部分省市區(qū)工業(yè)和信息化主管部門相關(guān)同志和部分專業(yè)技術(shù)人員進(jìn)行工業(yè)控制系統(tǒng)信息安全培訓(xùn)，并在一些工業(yè)企業(yè)開展工控系統(tǒng)安全防護(hù)能力驗(yàn)證工作，收到良好效果。

《防護(hù)指南》指導(dǎo)行業(yè)制定工作規(guī)范

《防護(hù)指南》在工業(yè)控制系統(tǒng)信息安全工作方面發(fā)揮了積極作用。

一是很好地指導(dǎo)了行業(yè)制定具有本行業(yè)特性的安全防護(hù)能力評估工作規(guī)范。不同行業(yè)的工控系統(tǒng)具有不同的工藝要求、生產(chǎn)流程、網(wǎng)絡(luò)環(huán)境和上下游產(chǎn)業(yè)，對于工控系統(tǒng)信息安全工作也有不同的要求。以汽車制造行業(yè)為例，該行業(yè)涉及沖壓、焊接、涂裝、總裝、機(jī)械零部件制造、電子零部件制造等生產(chǎn)環(huán)節(jié)，其工業(yè)控制系統(tǒng)具有智能化程度高、工業(yè)機(jī)器人應(yīng)用廣、上下游廠商數(shù)量多、生產(chǎn)分工細(xì)等特點(diǎn)。依據(jù)《防護(hù)指南》，行業(yè)用戶可以進(jìn)一步明確相關(guān)信息安全細(xì)則，合理控制、規(guī)避自身的工控系統(tǒng)安全風(fēng)險。

二是很好地指導(dǎo)了第三方測評機(jī)構(gòu)開展安全檢查工作。第三方評測機(jī)構(gòu)作為專業(yè)技術(shù)隊伍，支撐工信部開展了工業(yè)控制系統(tǒng)信息安全檢查工作，摸清了行業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全現(xiàn)狀，發(fā)現(xiàn)了安全風(fēng)險和隱患，提出了整改建議，協(xié)助行業(yè)企業(yè)提升了工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)水平，為形成較完善的工業(yè)控制系統(tǒng)信息安全檢查工作制度奠定了基礎(chǔ)。評測機(jī)構(gòu)通過查找典型行業(yè)工業(yè)控制系統(tǒng)信息安全問題，進(jìn)一步了解和掌握了我國部分典型行業(yè)工業(yè)控制系統(tǒng)的信息安全現(xiàn)狀，通過分析工業(yè)控制系統(tǒng)信息安全整體防護(hù)能力和安全防護(hù)水平，提出了有效的安全解決方案、對策措施以及下一步工業(yè)控制系統(tǒng)信息安全工作重點(diǎn)，為政府部門制定國家工業(yè)控制系統(tǒng)信息安全戰(zhàn)略規(guī)劃及政策法規(guī)提供了參考依據(jù)。

《防護(hù)指南》提供信息安全指導(dǎo)參考依據(jù)

《防護(hù)指南》為應(yīng)對工業(yè)互聯(lián)網(wǎng)、工業(yè)APP 等工業(yè)新態(tài)勢的信息安全工作提供了工業(yè)控制系統(tǒng)細(xì)分領(lǐng)域的信息安全指導(dǎo)參考依據(jù)。

一是為在工業(yè)互聯(lián)網(wǎng)背景下的工控安全工作提供指導(dǎo)。工業(yè)互聯(lián)網(wǎng)是支撐智能制造的關(guān)鍵綜合信息基礎(chǔ)設(shè)施，是將機(jī)器、人、控制系統(tǒng)與信息系統(tǒng)有效連接的網(wǎng)絡(luò)信息系統(tǒng)，要求在安全可信的前提下，支撐實(shí)現(xiàn)單個機(jī)器到生產(chǎn)線、車間、工廠乃至整個工業(yè)體系的智能決策和動態(tài)優(yōu)化?！斗雷o(hù)指南》要求在工業(yè)云平臺訪問過程中使用身份認(rèn)證管理，并明確了遠(yuǎn)程訪問過程中的安全加固要求，提升了終端和數(shù)據(jù)傳輸過程中的安全防護(hù)能力。

二是為工業(yè)APP 安全防護(hù)能力提供了安全指導(dǎo)參考依據(jù)。每個工業(yè)APP 都承載了一定的工業(yè)知識和經(jīng)驗(yàn)，關(guān)注于解決特定的工業(yè)問題，需要將多個工業(yè)APP 組成一個有機(jī)整體，才能為工業(yè)企業(yè)提供完整的使用功能和解決方案。而這些可能來自于不同的開發(fā)者，也可能來自于工業(yè)企業(yè)的技術(shù)人員，也可能是在其他APP 基礎(chǔ)上二次開發(fā)形成的新APP，因此需要內(nèi)部建立安全規(guī)范和防護(hù)體系?！斗雷o(hù)指南》要求建立工業(yè)控制系統(tǒng)配置清單，在配置變更前進(jìn)行嚴(yán)格安全測試，并分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境，從而保障工業(yè)APP 在開發(fā)過程中的安全屬性。

依據(jù)《防護(hù)指南》落實(shí)安全保障工作

中國電子信息產(chǎn)業(yè)發(fā)展研究院依據(jù)《防護(hù)指南》，落實(shí)了多項(xiàng)安全保障工作。一是參照指南要求，建設(shè)工控系統(tǒng)通信總線信息安全仿真測試平臺，并基于該項(xiàng)目承擔(dān)了工業(yè)控制系統(tǒng)智能化安全云服務(wù)平臺測試等工作。二是參與編寫了《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作實(shí)施細(xì)則》《油氣管道SCADA信息安全管理辦法》等規(guī)范。三是支撐工信部，按照《防護(hù)指南》要求，對石化化工、裝備制造、汽車制造、能源、航空航天等重點(diǎn)行業(yè)企業(yè)進(jìn)行工業(yè)控制系統(tǒng)信息安全檢查。四是在石油石化、電力、軌道交通等大型行業(yè)企業(yè)開展了油氣管道SCADA 系統(tǒng)信息安全測評，為油田工業(yè)控制系統(tǒng)提供信息安全風(fēng)險評估服務(wù)等數(shù)十項(xiàng)控制系統(tǒng)的安全測評服務(wù)，通過發(fā)現(xiàn)問題并提出整改建議，切實(shí)引導(dǎo)工業(yè)企業(yè)進(jìn)行工業(yè)控制系統(tǒng)信息安全防護(hù)能力的迭代升級。

《防護(hù)指南》在過去三年內(nèi)一直發(fā)揮著積極的作用。通過開展對工業(yè)控制系統(tǒng)信息安全自查、抽查工作，協(xié)助企業(yè)發(fā)現(xiàn)安全風(fēng)險，提升了企業(yè)安全意識和防護(hù)水平以及專業(yè)技術(shù)隊伍信息安全檢查能力。在后續(xù)開展工業(yè)控制系統(tǒng)信息安全工作時，中國電子信息產(chǎn)業(yè)發(fā)展研究院將繼續(xù)支撐工信部開展年度工控信息安全抽查、檢查工作，參與《防護(hù)指南》相關(guān)標(biāo)準(zhǔn)的制修訂工作，將《防護(hù)指南》的工作思路向各個重點(diǎn)行業(yè)推進(jìn)并落實(shí)，進(jìn)一步為工業(yè)控制系統(tǒng)、智能制造、工業(yè)互聯(lián)網(wǎng)、人工智能與工業(yè)場景融合等新技術(shù)領(lǐng)域的信息安全工作提供信息安全的各項(xiàng)測評、咨詢服務(wù)。