■工信部信息化和軟件服務業(yè)司副司長 王建偉

制造業(yè)是立國之本、強國之基，是實體經(jīng)濟的核心構成。制造業(yè)高質(zhì)量發(fā)展要求以提質(zhì)增效為重點，加快結構調(diào)整，推動發(fā)展方式轉(zhuǎn)變，實現(xiàn)新舊動能轉(zhuǎn)換。工業(yè)控制系統(tǒng)是制造業(yè)的神經(jīng)中樞，其安全防護事關工業(yè)生產(chǎn)穩(wěn)定運行，事關人民生命財產(chǎn)安全。近年來，針對工業(yè)控制系統(tǒng)的網(wǎng)絡攻擊呈現(xiàn)出顯著的政治、軍事和經(jīng)濟意圖，工業(yè)控制系統(tǒng)逐漸成為網(wǎng)絡空間對抗的主戰(zhàn)場，提升我國工控安全防護水平已成為實現(xiàn)制造業(yè)高質(zhì)量發(fā)展的重要基礎。

一、厘清防護基礎要素，筑牢高質(zhì)量發(fā)展安全根基

提升工控安全防護水平，必須厘清安全防護的基礎要素，從供給側和需求側雙向出發(fā)，有的放矢地開展工控安全工作，打牢制造業(yè)高質(zhì)量發(fā)展的安全基礎。

從供給側看工控安全防護基礎要素。一是核心技術產(chǎn)品的攻關。強化工業(yè)控制系統(tǒng)核心技術研究和關鍵產(chǎn)品研發(fā)能力，研制具備內(nèi)生安全功能的產(chǎn)品，促進安全防護與業(yè)務場景有效銜接，是提升工控安全防護水平的根本途徑。二是安全服務能力的提升。建設威脅可知、風險可控的技術防控能力，構建國家、地方、企業(yè)多級協(xié)同的技術保障體系，是提升工控安全防護水平的主要手段。三是產(chǎn)業(yè)發(fā)展生態(tài)的建設。構建多方協(xié)作機制，匯聚產(chǎn)業(yè)鏈上下游優(yōu)勢資源，充分釋放產(chǎn)業(yè)集聚的疊加和倍增效應，培育具備國際競爭力的龍頭骨干企業(yè)，是提升工控安全防護水平的重要保障。四是基礎共性標準的應用。加快關鍵技術標準、核心產(chǎn)品標準和重點應用標準的研制，推動標準廣泛應用，是提升工控安全防護水平的基本要求。

從需求側看工控安全防護基礎要素。一是安全主體責任的落實。建立與企業(yè)信息化發(fā)展戰(zhàn)略相匹配的安全管理制度和技術防護體系，加大安全工作的人力、資金和技術投入力度，是提升工控安全防護水平的基本前提。二是技術防護能力的建設。促進工控安全防護解決方案與企業(yè)信息化建設深度融合，構建與實際生產(chǎn)環(huán)境緊耦合的安全防護策略，是提升工控安全防護水平的必然要求。三是專業(yè)人才隊伍的培育。培養(yǎng)工業(yè)自動化和網(wǎng)絡安全復合型人才，加強專業(yè)技能培訓，建立人才選拔機制，是提升工控安全防護水平的核心關鍵。

二、落實防護指南要求，提升工控安全綜合防護水平

網(wǎng)絡安全和信息化是相輔相成的，安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。為應對制造業(yè)發(fā)展中面臨的網(wǎng)絡安全風險，規(guī)范企業(yè)安全管理制度和技術防護體系建設，進一步夯實工控安全防護基礎，2016年10月，工業(yè)和信息化部正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護指南》（以下簡稱《指南》）?！吨改稀穲猿制髽I(yè)的主體責任及政府的監(jiān)管、服務職責，聚焦系統(tǒng)防護、安全管理等安全保障重點，提出了11 項具體防護要求，為企業(yè)開展安全防護提供了根本依據(jù)?！吨改稀酚“l(fā)后，受到社會各界的高度關注，地方工信主管部門、工業(yè)企業(yè)、網(wǎng)絡安全企業(yè)、工業(yè)控制系統(tǒng)廠商、科研機構等積極響應，在全國范圍內(nèi)形成了學習貫徹《指南》、落實防護要求的良好氛圍。

一是增強意識，開展《指南》宣貫培訓。扎實推進《指南》落實工作，在全國范圍內(nèi)分區(qū)域、分階段開展《指南》宣貫培訓，累計培訓各地工信主管部門和重點領域工業(yè)企業(yè)工控安全負責人1200 余人，促進企業(yè)安全意識大幅提升。支持江蘇、浙江、四川、廣東等8個省市開展技術專題培訓，幫助各地建立工控安全專業(yè)技術隊伍。

二是抓好落實，貫徹《指南》防護要求。引導產(chǎn)學研用依據(jù)《指南》防護要點，開展聯(lián)合攻關和集成應用，研發(fā)具備安全功能的工業(yè)控制系統(tǒng)產(chǎn)品，促進內(nèi)生安全水平提升。在冶金、石化、電力等重點行業(yè)，形成了一批安全解決方案。落實企業(yè)主體責任，以較低成本實現(xiàn)防護能力躍升，消減了自身面臨的主要安全風險。

三是提升能力，建設技術支撐服務體系。加強工控安全技術保障能力建設，圍繞落實《指南》要求，初步形成了產(chǎn)品檢測、態(tài)勢監(jiān)測、風險處置和事件響應能力。加快工控安全標準體系建設，推動《指南》配套國家標準、行業(yè)標準、團體標準制修訂，增強標準供給能力，近三年，推動發(fā)布工控安全國家標準13項。

《指南》發(fā)布以來，在工業(yè)和信息化部指導下，產(chǎn)學研用各方圍繞落實《指南》開展了一系列工作，加快推動工控安全防護從理論研究進入概念普及和實踐階段，初步形成了政策指導、標準支撐、技術創(chuàng)新、產(chǎn)業(yè)協(xié)同的良好工作局面，工控安全綜合防護水平顯著提升，為守好制造業(yè)高質(zhì)量發(fā)展的安全大門奠定了堅實基礎。

三、加強政策標準引領，護航高質(zhì)量發(fā)展邁上新臺階

目前通過落實《指南》，我國工控安全工作取得了階段性成效，但同時也面臨著不少困難和挑戰(zhàn)。例如，部分企業(yè)落實工控安全防護主體責任還不到位；地方主管部門仍然缺乏有效的管理手段和支撐力量；科研機構尚未建立完善的技術支撐服務能力等。面對新形勢、新問題，我們必須以習近平新時代中國特色社會主義思想為指導，牢固樹立總體國家安全觀，堅持安全和發(fā)展同步推進，以工控安全防護貫標為突破口，充分發(fā)揮《指南》及配套標準的規(guī)范和引領作用，推動安全防護步入實踐深耕的新階段，助力制造業(yè)邁入高質(zhì)量發(fā)展的快車道。

第一，貫標推進機構要組織技術力量加快重點標準研制發(fā)布，扎實推進重點地區(qū)貫標培訓深度行活動，進而在全國范圍推動貫標工作。搭建公共服務平臺，為企業(yè)提供自對標、自診斷服務，逐步形成貫標長效推進機制。

第二，地方工信主管部門要以貫標為工作抓手，充分調(diào)動區(qū)域內(nèi)優(yōu)勢資源，建設地方貫標支撐隊伍，引導工業(yè)企業(yè)積極參與貫標、實施貫標，扎實推進《指南》和配套標準落地落實。

第三，工業(yè)企業(yè)要切實落實安全防護的主體責任，積極參與貫標工作，將工控安全貫標納入企業(yè)信息化發(fā)展戰(zhàn)略，建立更加有效的安全管理制度和技術防護體系，探索形成安全防護樣板工程。

第四，工業(yè)控制系統(tǒng)廠商和工控安全廠商要增強協(xié)同攻關和集成應用，研發(fā)具備安全功能的工業(yè)控制系統(tǒng)產(chǎn)品，配合貫標形成可操作、可復制的成套解決方案，助力工業(yè)企業(yè)提升安全防護水平。