《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 专家谈《工业控制系统信息安全防护指南》

专家谈《工业控制系统信息安全防护指南》

2018-08-15

  2016年10月17日,工业和信息化部印发了《工业控制系统信息安全防护指南》。《指南》的发布对工业企业以及从事工业控制系统安全工作的企业起到了很好的指导作用,对摆在大家面前的很多困惑和难题给出了解答,并提供了针对工业控制系统面临的网络安全问题的解决思路和落地技术手段。针对《指南》,本期记者特别采访了《指南》牵头编制单位——工信部电子一所的网络与信息安全研究部副主任张格先生,就《指南》发布意义、如何落地等问题进行了深入探讨。

880d624b648949cc8ea3b809c60a2669.jpg

  张格:

  工信部电子一所网络与信息安全研究部副主任,高级工程师,长期研究关键信息基础设施和工控领域网络安全技术,多次负责或参与了国家级工控安全检查评估、态势感知、应急处置、重大活动网络安保等工作。担任工业控制系统信息安全产业联盟常务副秘书长、国家安全可靠技术与产业联盟执行秘书长、国家网络安全检查专家委员会委员。

  Q:

  您认为《指南》发布的意义是什么?

  张格:

  《工业控制系统信息安全防护指南》的出台,主要有以下两方面的意义:

  第一,《指南》的发布,是对国家关键信息基础设施安全保护要求的充分落实。习总书记在2016年4月19日全国网络安全和信息化工作座谈会上强调要加强关键信息基础设施保护,2016年11月7日全国人大通过的《中国人民共和国网络安全法》中也有多个条款涉及了关键信息基础设施保护要求。工业控制系统是大部分国家关键信息基础设施运行的核心大脑,《指南》的出台对于提升国家关键信息基础设施网络安全防护能力具有重要意义。

  第二,《指南》的发布,为新时期、新形势下做好工控安全防护工作提供了重要的参考。2011年,工信部出台了《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)文件,第一次对工控安全管理工作提出了具体要求。近年来随着信息技术与工业生产活动的不断融合,工控安全形势日益严峻,原451号文件在指导开展工控安全防护工作上存在操作性不强、技术性不够等不足之处。工控安全主管部门和工业控制系统应用单位,都急需一个简单明了、措施化、易于落地的防护指导手册。《指南》在充分考虑可操作性、务实性、实施便利性等基础上,提出了11大项、30小项工控安全防护措施,为相关单位开展工控安全防护工作提供了有效参考。

  Q:

  《指南》在哪些方面对工业控制系统信息安全防护做出了方向性的引导?

  张格:

  首先,《指南》强调了工业企业承担工控安全防护的主体责任。从性质上看,工控安全是生产经营安全,《指南》要求建立健全企业的工控安全生产责任制,不断完善企业工控安全管理制度、加强企业人员管理、供应链管理及系统运维管理。

  其次,《指南》强调了要从工控系统全生命周期做好安全防护。由于工业生产各业务环节及相关系统之间的连接越来越紧密,工业控制系统在设计、选型、建设、测试、运行、检修、废弃各阶段均需要做好防护工作,《指南》中的防护措施贯穿了工控系统的整个生命周期。

  最后,《指南》强调了工控安全防护要从系统与设备安全、网络安全、主机安全和数据安全方面建立综合防护能力。传统的单点防护已经不能应对日益严峻的安全形势,《指南》提出要在工控系统与设备、工业网络、工业主机、工业数据各核心要素上都建立防护能力,大幅提高黑客攻击工控系统的难度,切实提升工控系统安全水平。

  Q:

  您认为《指南》在后续的贯彻执行工作中,会面临哪些问题?如何解决?

  张格:

  《指南》的印发,为工业企业开展工控安全防护提供了指导,在其贯彻执行中,可能会有以下两方面问题:

  一是工控安全专业技术队伍严重不足。当前我国在工控安全方面的风险评估、防护方案规划与实施方面的人才存在较大缺口,工业企业在落实《指南》中的防护措施时,急需相关专业技术人员来实施有关工作。下一步有关主管部门会通过专业建设、人才培育等多种措施,加快工控安全人才力量的建设。

  二是工控安全防护的典型案例仍然不足。当前我国开展工控安全防护工作的工业企业相对较少,已形成的工控安全防护典型案例不多,导致工业企业在落实《指南》时找不到太多可借鉴的成功案例或实施经验。下一步工信部将加大《指南》的试点示范工作以及工控安全防护解决方案优秀案例的推广,带动工业企业围绕《指南》部署防护手段,壮大工业信息安全产业。

  Q:

  政府对于《指南》的落地工作有哪些具体的规划?

  张格:

  《指南》于2016年10月17日正式印发后,工信部于2016年12月6日在北京召开了《指南》全国宣贯会,启动了《指南》的宣贯工作。为推动《指南》的落地,2017年工信部及地方工信主管部门将进一步加大宣贯力度,继续在全国范围内组织开展《指南》的宣贯和培训工作。同时,将组织开展全国工控系统安全防护评测能力检查评估工作,综合评价我国工控企业的工控安全防护水平。另外,为促进优秀防护产品应用、培育防护解决方案优秀案例,还将会组织开展工控安全防护试点示范专项工作,推动《指南》在工业企业的落地实施。

  Q:

  《指南》之后,还会陆续发布哪些相关指南或法规?

  张格:

  工信部将围绕国家工控安全工作的整体方案部署,建立健全工控安全政策法规体系。下一步,将组织制定工控安全三年行动计划,清晰指导我国工控安全工作,并出台《工业控制系统信息安全防护能力评估方法》及其评估细则,通过工控安全防护水平综合评价来促进工业企业落实工控安全防护措施。

  Q:

  《指南》的发布,对于工业控制系统信息安全市场将有哪些影响?


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。