引導企業進行工控安全防護能力迭代升級

■中國電子信息產業發展研究院副院長 黃子河

為貫徹落實國務院《關于深化制造業與互聯網融合發展的指導意見》，保障工業企業工業控制系統信息安全，工業和信息化部于2016年、2017年先后出臺了《工業控制系統信息安全防護指南》（以下簡稱《防護指南》），以及《工業控制系統信息安全事件應急管理工作指南》《工業控制系統信息安全防護能力評估工作管理辦法》和《工業控制系統信息安全行動計劃》等多個政策性文件，對部分省市區工業和信息化主管部門相關同志和部分專業技術人員進行工業控制系統信息安全培訓，并在一些工業企業開展工控系統安全防護能力驗證工作，收到良好效果。

《防護指南》指導行業制定工作規范

《防護指南》在工業控制系統信息安全工作方面發揮了積極作用。

一是很好地指導了行業制定具有本行業特性的安全防護能力評估工作規范。不同行業的工控系統具有不同的工藝要求、生產流程、網絡環境和上下游產業，對于工控系統信息安全工作也有不同的要求。以汽車制造行業為例，該行業涉及沖壓、焊接、涂裝、總裝、機械零部件制造、電子零部件制造等生產環節，其工業控制系統具有智能化程度高、工業機器人應用廣、上下游廠商數量多、生產分工細等特點。依據《防護指南》，行業用戶可以進一步明確相關信息安全細則，合理控制、規避自身的工控系統安全風險。

二是很好地指導了第三方測評機構開展安全檢查工作。第三方評測機構作為專業技術隊伍，支撐工信部開展了工業控制系統信息安全檢查工作，摸清了行業企業工業控制系統信息安全現狀，發現了安全風險和隱患，提出了整改建議，協助行業企業提升了工業控制系統信息安全防護技術水平，為形成較完善的工業控制系統信息安全檢查工作制度奠定了基礎。評測機構通過查找典型行業工業控制系統信息安全問題，進一步了解和掌握了我國部分典型行業工業控制系統的信息安全現狀，通過分析工業控制系統信息安全整體防護能力和安全防護水平，提出了有效的安全解決方案、對策措施以及下一步工業控制系統信息安全工作重點，為政府部門制定國家工業控制系統信息安全戰略規劃及政策法規提供了參考依據。

《防護指南》提供信息安全指導參考依據

《防護指南》為應對工業互聯網、工業APP 等工業新態勢的信息安全工作提供了工業控制系統細分領域的信息安全指導參考依據。

一是為在工業互聯網背景下的工控安全工作提供指導。工業互聯網是支撐智能制造的關鍵綜合信息基礎設施，是將機器、人、控制系統與信息系統有效連接的網絡信息系統，要求在安全可信的前提下，支撐實現單個機器到生產線、車間、工廠乃至整個工業體系的智能決策和動態優化。《防護指南》要求在工業云平臺訪問過程中使用身份認證管理，并明確了遠程訪問過程中的安全加固要求，提升了終端和數據傳輸過程中的安全防護能力。

二是為工業APP 安全防護能力提供了安全指導參考依據。每個工業APP 都承載了一定的工業知識和經驗，關注于解決特定的工業問題，需要將多個工業APP 組成一個有機整體，才能為工業企業提供完整的使用功能和解決方案。而這些可能來自于不同的開發者，也可能來自于工業企業的技術人員，也可能是在其他APP 基礎上二次開發形成的新APP，因此需要內部建立安全規范和防護體系。《防護指南》要求建立工業控制系統配置清單，在配置變更前進行嚴格安全測試，并分離工業控制系統的開發、測試和生產環境，從而保障工業APP 在開發過程中的安全屬性。

依據《防護指南》落實安全保障工作

中國電子信息產業發展研究院依據《防護指南》，落實了多項安全保障工作。一是參照指南要求，建設工控系統通信總線信息安全仿真測試平臺，并基于該項目承擔了工業控制系統智能化安全云服務平臺測試等工作。二是參與編寫了《工業控制系統信息安全防護能力評估工作實施細則》《油氣管道SCADA信息安全管理辦法》等規范。三是支撐工信部，按照《防護指南》要求，對石化化工、裝備制造、汽車制造、能源、航空航天等重點行業企業進行工業控制系統信息安全檢查。四是在石油石化、電力、軌道交通等大型行業企業開展了油氣管道SCADA 系統信息安全測評，為油田工業控制系統提供信息安全風險評估服務等數十項控制系統的安全測評服務，通過發現問題并提出整改建議，切實引導工業企業進行工業控制系統信息安全防護能力的迭代升級。

《防護指南》在過去三年內一直發揮著積極的作用。通過開展對工業控制系統信息安全自查、抽查工作，協助企業發現安全風險，提升了企業安全意識和防護水平以及專業技術隊伍信息安全檢查能力。在后續開展工業控制系統信息安全工作時，中國電子信息產業發展研究院將繼續支撐工信部開展年度工控信息安全抽查、檢查工作，參與《防護指南》相關標準的制修訂工作，將《防護指南》的工作思路向各個重點行業推進并落實，進一步為工業控制系統、智能制造、工業互聯網、人工智能與工業場景融合等新技術領域的信息安全工作提供信息安全的各項測評、咨詢服務。