工業(yè)和信息化部電子第五研究所

副所長 王勇

隨著信息化和工業(yè)化深度融合，工業(yè)控制系統(tǒng)從單機走向互聯(lián)、從封閉走向開放、從自動化走向智能化，為實現(xiàn)制造業(yè)數(shù)字化轉(zhuǎn)型，不斷提升制造業(yè)數(shù)字化、網(wǎng)絡化、智能化發(fā)展水平，為推動我國制造業(yè)高質(zhì)量發(fā)展提供了重要支撐。在顯著提高生產(chǎn)力的同時，工業(yè)控制系統(tǒng)也面臨著日益嚴峻的信息安全威脅。工業(yè)和信息化部于2016年10月印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護指南》（以下簡稱《指南》），并組織編制了《工業(yè)控制系統(tǒng)信息安全防護建設實施規(guī)范》（以下簡稱《實施規(guī)范》）標準，指導企業(yè)提升安全防護水平，為我國制造業(yè)高質(zhì)量發(fā)展保駕護航。工業(yè)和信息化部電子第五研究所（以下簡稱五所）持續(xù)開展貫標和評估服務，幫助各行業(yè)企業(yè)落實《指南》相關要求。

推動《指南》落地開展工控安全評估貫標

自《指南》發(fā)布三周年以來，五所通過開展一系列工業(yè)控制系統(tǒng)信息安全（以下簡稱工控安全）防護能力評估、檢測、貫標工作，進一步推動《指南》落地，并且圍繞《指南》內(nèi)容不斷提升工控安全技術和服務能力，為企業(yè)提升工控安全防護能力提供更加專業(yè)的服務。

一是參照《指南》開展工控安全評估貫標服務。圍繞落實《指南》的有關要求，五所扎實推進工控安全防護能力貫標工作，開展工控安全防護能力評估和工控安全抽查工作。三年來，在電力、石化、汽車、船舶、軌道交通、重型機械等領域開展了針對《指南》的工控安全評估，幫助企業(yè)按照政策標準要求，建立了有效的工控安全管理和技術防護體系，切實提升安全防護水平。

二是依托《指南》培育工控安全技術服務團隊。五所認證中心是全國首批信息安全管理體系認證機構之一，在信息安全領域積累了豐富的理論基礎和實踐經(jīng)驗。在此基礎上，依托《指南》貫標和評估工作的開展，不斷梳理總結貫標評估經(jīng)驗，在提升工控安全服務能力方面持續(xù)深入研究，并將成果用以培養(yǎng)工控安全人才，形成了博士和高級工程師牽頭的人才隊伍。

三是圍繞《指南》內(nèi)容開展工控安全技術積累。圍繞《指南》提出的工業(yè)控制系統(tǒng)全生命周期安全防護要求，五所建立了典型工業(yè)控制系統(tǒng)信息安全檢測評估環(huán)境，開展了工業(yè)控制系統(tǒng)漏洞分析、脆弱性檢測、風險評估、防護技術等方面的研究工作，形成了工業(yè)控制系統(tǒng)漏洞庫、評估案例庫、防護方案庫等積累。

建立有效體系

形成規(guī)范化安全保障

工控安全防護能力貫標是在落實《指南》要求的基礎上，形成對《指南》的有效補充。從工控安全防護設計、建設、運維全生命周期出發(fā)，幫助企業(yè)按照標準有關要求建立有效的工控安全管理和技術防護體系，形成規(guī)范化、體系化的安全保障，對推動兩化深度融合、保障制造業(yè)高質(zhì)量發(fā)展具有重要意義。

一是統(tǒng)一思想，提高認識。要充分認識開展工控安全防護貫標既是國家安全體系總體部署的要求，也是企業(yè)持續(xù)健康發(fā)展的基礎。企業(yè)高層務必高度重視，統(tǒng)一思想，提高認識。全員參與，提升全員貫標意識，做到貫標工作人人有責，推行貫標人人盡責。

二是通力協(xié)作，加強溝通。工控安全防護能力貫標既涉及技術層面的物理與環(huán)境安全、數(shù)據(jù)安全防護、監(jiān)測預警與態(tài)勢感知等內(nèi)容，也涉及管理層面的安全規(guī)劃與機構建設、人員管理及培訓、訪問控制與審計等內(nèi)容，要做到全面貫徹落實標準內(nèi)容，必須做到技術部門和管理部門通力協(xié)作、生產(chǎn)部門和IT部門充分溝通。

三是梳理對標，有的放矢。在實施貫標工作前，企業(yè)必須充分梳理自身的需求，找到與標準之間的差距，在貫標過程中才能做到有的放矢，切實開展和落實糾正措施、預防措施等改進機制。在貫標完成后，通過不斷檢查和持續(xù)改進，確保各項措施得到正確的執(zhí)行，才能保證貫標工作取得實實在在的效果。

四是借助力量，增強合作。企業(yè)在面對一個新的標準體系時，難免會遇到標準理解不深入的問題，此時，可以借助政府行業(yè)指導經(jīng)驗、科研院所研究能力、技術服務提供商技術能力等專業(yè)機構力量，加強政產(chǎn)學研合作，加大與科研院所和技術服務提供商的對接，在其專業(yè)指導下開展貫標工作。

提升防護能力

構建良性發(fā)展格局

面對復雜多變的網(wǎng)絡安全新形勢，應當堅定不移地堅持以習近平新時代中國特色社會主義思想為指導，以工業(yè)企業(yè)安全防護能力提升為主線，調(diào)動政產(chǎn)學研各方資源，加強頂層設計、培育產(chǎn)業(yè)環(huán)境，加快推進工控安全保障體系建設，形成政策指導、標準支撐、產(chǎn)業(yè)創(chuàng)新的良性發(fā)展格局。

一是應用方示范，引領貫標工作扎實落地實施。各行業(yè)、各地區(qū)相關主管部門需加大工控安全貫標指導力度，結合本行業(yè)、本地區(qū)特點，推動工控安全防護能力本質(zhì)貫標。通過培育工控安全防護典型成功案例，切實發(fā)揮示范帶動作用，引領工控安全工作高質(zhì)量落地落實。

二是需求側牽引，切實提升工控防護本質(zhì)安全。工業(yè)企業(yè)在開展本質(zhì)貫標的過程中，加強工業(yè)控制系統(tǒng)及相關產(chǎn)品的安全性評價和篩選，從本質(zhì)安全角度減少企業(yè)所面臨的工控安全風險隱患。同時，推動工控廠商加快開展產(chǎn)學研用聯(lián)合攻關，形成強安全性的工業(yè)控制系統(tǒng)和解決方案。

三是服務方推動，促進企業(yè)貫標能力廣泛提升。各行業(yè)組織應加大力度推動工控安全標準的研制、驗證和宣貫培訓，引導企業(yè)開展自評估、自診斷和自對標;貫標服務機構加強服務能力建設，為工業(yè)企業(yè)提供有力的技術支撐、信息發(fā)布和測評服務。

新形勢下，制造業(yè)高質(zhì)量發(fā)展需要信息化與安全雙輪驅(qū)動，以正確的安全防護觀念為引導，構建多方參與、協(xié)同保護的發(fā)展格局。五所將繼續(xù)加大投入，進一步提升工控安全技術水平和服務能力，發(fā)揮橋梁紐帶作用推動政產(chǎn)學研用各方攜手共進，推動《指南》落地落實，廣泛提高我國工業(yè)企業(yè)工控安全防護水平，為制造業(yè)高質(zhì)量發(fā)展提供堅實保障。