中國電子技術(shù)標(biāo)準(zhǔn)化研究院

副院長 楊建軍

在工業(yè)互聯(lián)網(wǎng)蓬勃發(fā)展的大時代背景下，工業(yè)控制系統(tǒng)中大量應(yīng)用網(wǎng)絡(luò)通信技術(shù)已成為現(xiàn)代工業(yè)的典型特征之一，但同時也為黑客提供了更加便利的入侵渠道，工控領(lǐng)域的信息安全問題日益凸顯。為應(yīng)對不斷增長的工控安全風(fēng)險，工業(yè)和信息化部于2016年10月正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護指南》（以下簡稱《指南》），為工業(yè)企業(yè)、安全服務(wù)企業(yè)、地方主管部門圍繞工業(yè)控制系統(tǒng)開展安全防護工作指明了正確方向。

積極科學(xué)引導(dǎo)

重點示范先行

《指南》發(fā)布以來，在工業(yè)和信息化部指導(dǎo)下，包括中國電子技術(shù)標(biāo)準(zhǔn)化研究院在內(nèi)的部屬技術(shù)支撐機構(gòu)，每年根據(jù)產(chǎn)業(yè)發(fā)展?fàn)顩r、企業(yè)信息化水平、安全態(tài)勢焦點等情況，選取具有典型代表性的重點工業(yè)企業(yè)開展工控安全檢查評估專項工作，為工業(yè)企業(yè)“問診把脈”，全面分析安全威脅現(xiàn)狀，找準(zhǔn)安全問題短板，開具堵漏補缺的整改“藥方”，對企業(yè)乃至產(chǎn)業(yè)的整體工控安全防護水平提升具有重大促進作用。

三年來，工控安全檢查評估專項已覆蓋石油石化、煤炭化工、鋼鐵有色、汽車制造、能源電力、機械裝備、電子制造等重要行業(yè)領(lǐng)域。同時，《指南》還帶動了部分省市主管部門主動設(shè)立地方專項，對生產(chǎn)自動化、信息化程度較高的工業(yè)龍頭企業(yè)實施跟蹤服務(wù)式評估檢查，工控安全隱患得以逐一排查，工控漏洞風(fēng)險得到有效控制，降低了發(fā)生大規(guī)模工控安全事故的可能性，也使企業(yè)能夠?qū)ψ陨砉た匕踩珷顩r做到心中有數(shù)。工控安全做得比較到位的部分企業(yè)還被評為示范單位，在行業(yè)內(nèi)推廣分享經(jīng)驗。

三年來，通過這種“政府搭臺、機構(gòu)主導(dǎo)、企業(yè)唱戲”的工控安全防護工作模式，工控安全的理念已在業(yè)界深入人心，大部分工業(yè)企業(yè)建立了科學(xué)的安全意識觀，明確了要將“工控安全與生產(chǎn)業(yè)務(wù)兩手一起抓”作為長期發(fā)展指導(dǎo)思想，并能夠從技術(shù)和管理雙重維度部署安全防護工作，為重要工業(yè)控制系統(tǒng)的安全運行奠定了堅實基礎(chǔ)。

深化落實“放改服”

以標(biāo)準(zhǔn)助力防護

今年6月，國務(wù)院召開的全國深化“放管服”改革優(yōu)化營商環(huán)境電視電話會議對深化“放管服”改革作出部署，李克強總理強調(diào)要以習(xí)近平新時代中國特色社會主義思想為指導(dǎo)，認(rèn)真貫徹黨中央、國務(wù)院決策部署，推動“放管服”改革和優(yōu)化營商環(huán)境取得更大成效。深入領(lǐng)會會議精神，從理論和實踐結(jié)合上理解把握“放管服”改革的內(nèi)涵、作用和走向，對我們持續(xù)推進工控安全防護工作有著重要意義。

國家統(tǒng)計局?jǐn)?shù)據(jù)顯示，截至2018年年底，全國規(guī)模以上工業(yè)企業(yè)共有37.8萬家，平均每省超1.2萬家，有的沿海發(fā)達(dá)省份甚至超過3萬家。要在全國范圍內(nèi)全面鋪開工控安全防護工作，僅靠各級主管部門設(shè)立專項來推動顯然是遠(yuǎn)遠(yuǎn)不夠的，迫切需要轉(zhuǎn)變工作思路和模式，充分依托市場化服務(wù)的力量來調(diào)動各參與方的主觀積極性，徹底貫徹“網(wǎng)絡(luò)安全全國一盤棋”的指導(dǎo)思想，在整體上提升和強化工控安全防護能力，而這也是與當(dāng)前“放管服”改革目標(biāo)方向相一致的。

圍繞工業(yè)控制系統(tǒng)的信息安全標(biāo)準(zhǔn)化需求，中國電子技術(shù)標(biāo)準(zhǔn)化研究院研制了較為完善的標(biāo)準(zhǔn)體系，并持續(xù)推進國家標(biāo)準(zhǔn)立項和發(fā)布工作。截至2019年9月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（TC260）已發(fā)布相關(guān)國家標(biāo)準(zhǔn)13項，內(nèi)容涵蓋了工控設(shè)備安全、工控網(wǎng)絡(luò)安全、安全分級、安全管理、風(fēng)險評估、安全防護產(chǎn)品等方方面面，對工業(yè)企業(yè)、設(shè)備生產(chǎn)商、系統(tǒng)集成商、安全企業(yè)都具有重大指導(dǎo)意義。當(dāng)前，我們正加速推動國標(biāo)《信息安全技術(shù)工業(yè)控制系統(tǒng)安全防護能力建設(shè)實施規(guī)范》研制、宣貫和發(fā)布工作，以便進一步完善和配合《指南》內(nèi)容要求，同時通過全國范圍的持續(xù)貫標(biāo)培訓(xùn)，加速培育一批專業(yè)化的標(biāo)準(zhǔn)服務(wù)隊伍，擴充市場服務(wù)供給能力，形成國家級、地方級、行業(yè)級多樣化的服務(wù)機構(gòu)組織，以標(biāo)準(zhǔn)服務(wù)帶動市場，助力工控安全防護。

對標(biāo)核查防患于未然

齊頭并進踏上新征程

為更快更好地落實工控安全防護工作新思路，在工信部信軟司的指導(dǎo)下，部屬技術(shù)支撐機構(gòu)正在開展或計劃開展一系列配套工作：一是在全國選取了6省市作為先期試點，開展貫標(biāo)培訓(xùn)深度行活動，以標(biāo)準(zhǔn)內(nèi)容為核心，重點針對工控系統(tǒng)面臨的安全威脅、常用的防護手段、典型安全事件、優(yōu)秀實施案例等內(nèi)容進行宣貫，為工業(yè)企業(yè)持續(xù)提供標(biāo)準(zhǔn)培訓(xùn)服務(wù)，擴大標(biāo)準(zhǔn)的影響力;二是依托中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會，成立工業(yè)控制系統(tǒng)信息安全防護能力推進分會，集結(jié)工控行業(yè)相關(guān)骨干企業(yè)，孵化和培育一批對標(biāo)審核服務(wù)機構(gòu)，構(gòu)建對標(biāo)服務(wù)供給能力;三是鼓勵工業(yè)企業(yè)主動對標(biāo)核查，無論是自對標(biāo)還是采購對標(biāo)服務(wù)，都能夠使得企業(yè)對自身的工控安全防護狀況有清醒的認(rèn)識，并且制定可行的改進方案和實施目標(biāo)，將安全風(fēng)險降低到可控水平，持續(xù)有效保護工控資產(chǎn)。通過以上工作，在全國范圍內(nèi)開展貫標(biāo)，構(gòu)建起全國工控安全防護工作內(nèi)生式發(fā)展的良好態(tài)勢。

放眼整個世界工業(yè)領(lǐng)域，自動化、智能化、網(wǎng)聯(lián)化是工業(yè)控制系統(tǒng)的大勢所趨，工控安全已經(jīng)是不得不考慮的關(guān)鍵影響因素，越是重要的工控系統(tǒng)越需要加固安全。委內(nèi)瑞拉水電站遭受攻擊引發(fā)大規(guī)模斷電、挪威鋁業(yè)集團工業(yè)控制系統(tǒng)危機導(dǎo)致生產(chǎn)停滯，這些案例不斷警示著我們：工控安全是一項長期斗爭，要切實且全面抓好防護工作。我國是工業(yè)大國，更是工業(yè)控制系統(tǒng)應(yīng)用大國，要不留死角地落實好工控安全防護任務(wù)，我們的工作模式就需要與時俱進的轉(zhuǎn)變。相信在“放管服”改革思想指導(dǎo)下，充分宣傳、引導(dǎo)、利用標(biāo)準(zhǔn)化服務(wù)這一有力武器能夠?qū)崿F(xiàn)既定目標(biāo)，推動工控安全防護全面邁入“齊頭并進”的新征程。