為提升工控安全防護能力提供專業服務

工業和信息化部電子第五研究所

副所長 王勇

隨著信息化和工業化深度融合，工業控制系統從單機走向互聯、從封閉走向開放、從自動化走向智能化，為實現制造業數字化轉型，不斷提升制造業數字化、網絡化、智能化發展水平，為推動我國制造業高質量發展提供了重要支撐。在顯著提高生產力的同時，工業控制系統也面臨著日益嚴峻的信息安全威脅。工業和信息化部于2016年10月印發了《工業控制系統信息安全防護指南》（以下簡稱《指南》），并組織編制了《工業控制系統信息安全防護建設實施規范》（以下簡稱《實施規范》）標準，指導企業提升安全防護水平，為我國制造業高質量發展保駕護航。工業和信息化部電子第五研究所（以下簡稱五所）持續開展貫標和評估服務，幫助各行業企業落實《指南》相關要求。

推動《指南》落地開展工控安全評估貫標

自《指南》發布三周年以來，五所通過開展一系列工業控制系統信息安全（以下簡稱工控安全）防護能力評估、檢測、貫標工作，進一步推動《指南》落地，并且圍繞《指南》內容不斷提升工控安全技術和服務能力，為企業提升工控安全防護能力提供更加專業的服務。

一是參照《指南》開展工控安全評估貫標服務。圍繞落實《指南》的有關要求，五所扎實推進工控安全防護能力貫標工作，開展工控安全防護能力評估和工控安全抽查工作。三年來，在電力、石化、汽車、船舶、軌道交通、重型機械等領域開展了針對《指南》的工控安全評估，幫助企業按照政策標準要求，建立了有效的工控安全管理和技術防護體系，切實提升安全防護水平。

二是依托《指南》培育工控安全技術服務團隊。五所認證中心是全國首批信息安全管理體系認證機構之一，在信息安全領域積累了豐富的理論基礎和實踐經驗。在此基礎上，依托《指南》貫標和評估工作的開展，不斷梳理總結貫標評估經驗，在提升工控安全服務能力方面持續深入研究，并將成果用以培養工控安全人才，形成了博士和高級工程師牽頭的人才隊伍。

三是圍繞《指南》內容開展工控安全技術積累。圍繞《指南》提出的工業控制系統全生命周期安全防護要求，五所建立了典型工業控制系統信息安全檢測評估環境，開展了工業控制系統漏洞分析、脆弱性檢測、風險評估、防護技術等方面的研究工作，形成了工業控制系統漏洞庫、評估案例庫、防護方案庫等積累。

建立有效體系

形成規范化安全保障

工控安全防護能力貫標是在落實《指南》要求的基礎上，形成對《指南》的有效補充。從工控安全防護設計、建設、運維全生命周期出發，幫助企業按照標準有關要求建立有效的工控安全管理和技術防護體系，形成規范化、體系化的安全保障，對推動兩化深度融合、保障制造業高質量發展具有重要意義。

一是統一思想，提高認識。要充分認識開展工控安全防護貫標既是國家安全體系總體部署的要求，也是企業持續健康發展的基礎。企業高層務必高度重視，統一思想，提高認識。全員參與，提升全員貫標意識，做到貫標工作人人有責，推行貫標人人盡責。

二是通力協作，加強溝通。工控安全防護能力貫標既涉及技術層面的物理與環境安全、數據安全防護、監測預警與態勢感知等內容，也涉及管理層面的安全規劃與機構建設、人員管理及培訓、訪問控制與審計等內容，要做到全面貫徹落實標準內容，必須做到技術部門和管理部門通力協作、生產部門和IT部門充分溝通。

三是梳理對標，有的放矢。在實施貫標工作前，企業必須充分梳理自身的需求，找到與標準之間的差距，在貫標過程中才能做到有的放矢，切實開展和落實糾正措施、預防措施等改進機制。在貫標完成后，通過不斷檢查和持續改進，確保各項措施得到正確的執行，才能保證貫標工作取得實實在在的效果。

四是借助力量，增強合作。企業在面對一個新的標準體系時，難免會遇到標準理解不深入的問題，此時，可以借助政府行業指導經驗、科研院所研究能力、技術服務提供商技術能力等專業機構力量，加強政產學研合作，加大與科研院所和技術服務提供商的對接，在其專業指導下開展貫標工作。

提升防護能力

構建良性發展格局

面對復雜多變的網絡安全新形勢，應當堅定不移地堅持以習近平新時代中國特色社會主義思想為指導，以工業企業安全防護能力提升為主線，調動政產學研各方資源，加強頂層設計、培育產業環境，加快推進工控安全保障體系建設，形成政策指導、標準支撐、產業創新的良性發展格局。

一是應用方示范，引領貫標工作扎實落地實施。各行業、各地區相關主管部門需加大工控安全貫標指導力度，結合本行業、本地區特點，推動工控安全防護能力本質貫標。通過培育工控安全防護典型成功案例，切實發揮示范帶動作用，引領工控安全工作高質量落地落實。

二是需求側牽引，切實提升工控防護本質安全。工業企業在開展本質貫標的過程中，加強工業控制系統及相關產品的安全性評價和篩選，從本質安全角度減少企業所面臨的工控安全風險隱患。同時，推動工控廠商加快開展產學研用聯合攻關，形成強安全性的工業控制系統和解決方案。

三是服務方推動，促進企業貫標能力廣泛提升。各行業組織應加大力度推動工控安全標準的研制、驗證和宣貫培訓，引導企業開展自評估、自診斷和自對標;貫標服務機構加強服務能力建設，為工業企業提供有力的技術支撐、信息發布和測評服務。

新形勢下，制造業高質量發展需要信息化與安全雙輪驅動，以正確的安全防護觀念為引導，構建多方參與、協同保護的發展格局。五所將繼續加大投入，進一步提升工控安全技術水平和服務能力，發揮橋梁紐帶作用推動政產學研用各方攜手共進，推動《指南》落地落實，廣泛提高我國工業企業工控安全防護水平，為制造業高質量發展提供堅實保障。