以標準服務帶動市場助力工控安全防護

中國電子技術標準化研究院

副院長 楊建軍

在工業互聯網蓬勃發展的大時代背景下，工業控制系統中大量應用網絡通信技術已成為現代工業的典型特征之一，但同時也為黑客提供了更加便利的入侵渠道，工控領域的信息安全問題日益凸顯。為應對不斷增長的工控安全風險，工業和信息化部于2016年10月正式印發了《工業控制系統信息安全防護指南》（以下簡稱《指南》），為工業企業、安全服務企業、地方主管部門圍繞工業控制系統開展安全防護工作指明了正確方向。

積極科學引導

重點示范先行

《指南》發布以來，在工業和信息化部指導下，包括中國電子技術標準化研究院在內的部屬技術支撐機構，每年根據產業發展狀況、企業信息化水平、安全態勢焦點等情況，選取具有典型代表性的重點工業企業開展工控安全檢查評估專項工作，為工業企業“問診把脈”，全面分析安全威脅現狀，找準安全問題短板，開具堵漏補缺的整改“藥方”，對企業乃至產業的整體工控安全防護水平提升具有重大促進作用。

三年來，工控安全檢查評估專項已覆蓋石油石化、煤炭化工、鋼鐵有色、汽車制造、能源電力、機械裝備、電子制造等重要行業領域。同時，《指南》還帶動了部分省市主管部門主動設立地方專項，對生產自動化、信息化程度較高的工業龍頭企業實施跟蹤服務式評估檢查，工控安全隱患得以逐一排查，工控漏洞風險得到有效控制，降低了發生大規模工控安全事故的可能性，也使企業能夠對自身工控安全狀況做到心中有數。工控安全做得比較到位的部分企業還被評為示范單位，在行業內推廣分享經驗。

三年來，通過這種“政府搭臺、機構主導、企業唱戲”的工控安全防護工作模式，工控安全的理念已在業界深入人心，大部分工業企業建立了科學的安全意識觀，明確了要將“工控安全與生產業務兩手一起抓”作為長期發展指導思想，并能夠從技術和管理雙重維度部署安全防護工作，為重要工業控制系統的安全運行奠定了堅實基礎。

深化落實“放改服”

以標準助力防護

今年6月，國務院召開的全國深化“放管服”改革優化營商環境電視電話會議對深化“放管服”改革作出部署，李克強總理強調要以習近平新時代中國特色社會主義思想為指導，認真貫徹黨中央、國務院決策部署，推動“放管服”改革和優化營商環境取得更大成效。深入領會會議精神，從理論和實踐結合上理解把握“放管服”改革的內涵、作用和走向，對我們持續推進工控安全防護工作有著重要意義。

國家統計局數據顯示，截至2018年年底，全國規模以上工業企業共有37.8萬家，平均每省超1.2萬家，有的沿海發達省份甚至超過3萬家。要在全國范圍內全面鋪開工控安全防護工作，僅靠各級主管部門設立專項來推動顯然是遠遠不夠的，迫切需要轉變工作思路和模式，充分依托市場化服務的力量來調動各參與方的主觀積極性，徹底貫徹“網絡安全全國一盤棋”的指導思想，在整體上提升和強化工控安全防護能力，而這也是與當前“放管服”改革目標方向相一致的。

圍繞工業控制系統的信息安全標準化需求，中國電子技術標準化研究院研制了較為完善的標準體系，并持續推進國家標準立項和發布工作。截至2019年9月，全國信息安全標準化技術委員會（TC260）已發布相關國家標準13項，內容涵蓋了工控設備安全、工控網絡安全、安全分級、安全管理、風險評估、安全防護產品等方方面面，對工業企業、設備生產商、系統集成商、安全企業都具有重大指導意義。當前，我們正加速推動國標《信息安全技術工業控制系統安全防護能力建設實施規范》研制、宣貫和發布工作，以便進一步完善和配合《指南》內容要求，同時通過全國范圍的持續貫標培訓，加速培育一批專業化的標準服務隊伍，擴充市場服務供給能力，形成國家級、地方級、行業級多樣化的服務機構組織，以標準服務帶動市場，助力工控安全防護。

對標核查防患于未然

齊頭并進踏上新征程

為更快更好地落實工控安全防護工作新思路，在工信部信軟司的指導下，部屬技術支撐機構正在開展或計劃開展一系列配套工作：一是在全國選取了6省市作為先期試點，開展貫標培訓深度行活動，以標準內容為核心，重點針對工控系統面臨的安全威脅、常用的防護手段、典型安全事件、優秀實施案例等內容進行宣貫，為工業企業持續提供標準培訓服務，擴大標準的影響力;二是依托中國電子工業標準化技術協會，成立工業控制系統信息安全防護能力推進分會，集結工控行業相關骨干企業，孵化和培育一批對標審核服務機構，構建對標服務供給能力;三是鼓勵工業企業主動對標核查，無論是自對標還是采購對標服務，都能夠使得企業對自身的工控安全防護狀況有清醒的認識，并且制定可行的改進方案和實施目標，將安全風險降低到可控水平，持續有效保護工控資產。通過以上工作，在全國范圍內開展貫標，構建起全國工控安全防護工作內生式發展的良好態勢。

放眼整個世界工業領域，自動化、智能化、網聯化是工業控制系統的大勢所趨，工控安全已經是不得不考慮的關鍵影響因素，越是重要的工控系統越需要加固安全。委內瑞拉水電站遭受攻擊引發大規模斷電、挪威鋁業集團工業控制系統危機導致生產停滯，這些案例不斷警示著我們：工控安全是一項長期斗爭，要切實且全面抓好防護工作。我國是工業大國，更是工業控制系統應用大國，要不留死角地落實好工控安全防護任務，我們的工作模式就需要與時俱進的轉變。相信在“放管服”改革思想指導下，充分宣傳、引導、利用標準化服務這一有力武器能夠實現既定目標，推動工控安全防護全面邁入“齊頭并進”的新征程。