中控褚健老师解读《工业控制系统信息安全行动计划(2018-2020》
2018-08-15
工业控制系统是钢铁、石化、电力、核工业、轨道交通、冶金、装备制造、武器装备等重点领域的核心中枢,是国家关键基础设施的重要组成部分。工业控制系统信息安全(以下简称工控安全)是实施制造强国和网络强国战略的重要保障,关系到国家安全、经济发展和社会稳定。为此,工业和信息化部于2017年12月12日正式印发了《工业控制系统信息安全行动计划(2018—2020)》(以下简称《行动计划》),明确了未来三年工信部在工控安全方面的工作重点和方向,为全面落实国家安全战略,提升工业企业工控安全防护能力,加快我国工控安全保障体系建设,促进工业信息安全产业健康发展指明了道路。
1、强化工控安全意识
自2010年伊朗“震网”病毒爆发后,工控系统安全成为网络空间安全威胁新目标。针对工控系统的攻击不是单纯的“信息窃取”,而是“通过操控工控系统,达到破坏关键基础设施安全运行的目的”,更有甚者引发社会动荡、危及国家安全。为避免此类攻击造成的严重危害,需要我们全社会增强工控安全意识,工业生产企业、工控系统制造商、工控安全服务商等应形成合力,着力为中国工控安全健康稳定发展保驾护航。
但现实中,部分生产企业运维和管理人员认为,工控系统本身具有网络分级管理、身份权限认证、建议安装第三方安全软件等基本安全规则和功能,工控系统也从未出现过安全威胁、攻击等问题,因而他们回避风险存在的可能性,简单地认为工控系统是安全的,无需加强工控安全保护意识和行为。
《行动计划》明确要求,“到2020年,全系统工控安全管理工作体系基本建立,全社会工控安全意识明显增强。”同时,《行动计划》引用了《中华人民共和国网络安全法》的“三同”规定,即“同步规划、同步建设、同步运行”,要求工业企业在推进“中国制造2025”、“两化融合”的同时,统一规划、分类处理并规范工控安全管理工作,建立多层次多级工控安全管理机制,在新项目审批、老项目改造和项目运维各个环节进行安全监管和审计,全面落实工控安全防护措施和管理制度;并加强企业内部的技术培训、岗位辅导和相关咨询活动,提高全员的安全意识;定期开展应急演练,加强对企业安全管理机制的监管和审查。
2、明确工控系统安全实施的复杂性、多样性
一直以来,业界针对工控系统的安全问题存在两个误区。第一,无论是安全检测还是主动防护,都希望不同行业、不同品牌控制系统的工控安全设施可以通用;第二,因工控系统品牌多、类型多、协议多,总被认为没有哪个组织愿意投入大量的精力针对如此繁多的工控系统进行攻击,并认为私有协议也很难被利用。
对此,《行动计划》明确要求“坚持因地制宜分类指导”,要“准确把握工控安全在不同行业、不同地区的发展基础和特征,结合工控安全威胁的多样性和复杂性,分类别、分层次、分步骤精准施策。”《行动计划》明确指出,针对不同行业、不同地区的工控系统安全要区分实施,这就要求工控安全企业必须在工控安全方向加强探索,更加专业地提供针对性的安全解决方案,帮助工业生产企业真正的解决问题,保障工控系统的安全运行。
3、全社会共同参与,统筹实施工控安全,工控安全不再是“口号”
一是落实企业主体责任。企业应依据《中华人民共和国网络安全法》建立工控安全责任制,不但明确了其主体责任,还要求企业持续性加大工控安全投入,保障工控安全。
二是落实监督管理责任。工业和信息化部统筹制定工控安全政策标准,开展宣贯培训,定期组织全国检查评估。地方工业和信息化主管部门加快工控安全地方性法规建设,持续完善地方工控安全保障体系,加强日常监督管理,安排专项资金推动地方监测、预警、应急等保障能力建设。
三是培育龙头骨干企业。面向工控安全领域产业发展需求,加快培育一批技术水平高、业务规模大、竞争能力强的工业安全控制系统生产企业和安全服务商,支持龙头骨干企业突破核心技术,研发关键产品、提高服务能力、创新商业模式,联合工业企业开展优秀产品及解决方案示范,推动工控安全产品及解决方案的行业示范应用落地。
上述三个举措将工业生产企业、工控安全主管部门、工控系统生产企业、工控安全服务商等四个组织的责任进一步明确。同时,《行动计划》从安全管理水平、态势感知能力、安全防护能力、应急处置能力和产业发展能力五个方向进行了全面的规划和推进,在保障措施上则将在加强组织协调、加大政策支持、加快人才培养、工控安全培训和技术督导、鼓励社会参与等诸多方面给予支持,真正做到统筹安排,全社会共同参与。
4、为我国工业信息安全产业健康发展举旗定向
面对复杂严峻的网络安全形势,2016年4月19日,习近平总书记在网络安全与信息化座谈会上指出,要“树立正确的网络安全观”、“加快构建关键信息基础设施安全保障体系”、“全天候全方位感知网络安全态势”、“增强网络安全防御能力和威慑能力”。
《行动计划》结合习近平总书记的讲话,在全面研判工控安全产业发展形势的基础上,围绕工控安全态势感知、安全防护和应急处置能力提升,设立了明确的技术体系目标,并进一步指出要“建成全国在线监测网络,应急资源库,仿真测试、信息共享、信息通报平台(一网一库三平台)”。
“一网”是指全国工控安全监测网络。建设覆盖国家级、省级、区域级、重点工业企业级的纵向在线监测网络,加强网络安全检查,摸清家底,认清风险,找出漏洞;利用主动监测、被动诱捕、威胁情报获取等手段,准确把握网络安全风险发生的规律、动向、趋势,实现对全国重要工业控制系统运行状态、风险隐患的实时感知、精准研判和科学决策。
“一库”是指工控安全应急资源库。按照《国家网络安全事件应急预案》总体要求,支持国家级工业信息安全技术机构建设应急资源库。应急资源库应包括工控系统漏洞、工控系统病毒特征、工控系统安全威胁、工控系统风险等级、行业工控系统安全解决方案、行业工控系统预警及处置机制等,实现信息采集、辅助决策、预案演练等功能,在突发工业信息安全事件时,支撑行业主管部门协调技术专家和专业队伍对事件开展分析研判,并调动相关应急资源及时有效地开展处置工作。
“三平台”是指工控安全仿真测试平台、信息共享平台和信息通报平台。建设工控安全靶场、仿真测试等共性技术平台,覆盖在关键基础设施上广泛使用的工控系统,如发电、变电站控制与电网调度、石油炼化、油气管道传输、安全仪表等(其业务流程、控制方案等与真实现场逼真度高)。基于该平台开展工控网络攻防演练、工控安全漏洞挖掘、安全威胁探针感知、安全防护关键技术攻关等工作。
鼓励全社会资源积极参与信息共享工作,建立共享清单,明确共享内容;推动形成政府引导、企业主体、社会参与、利益共享的工作机制;充分利用云计算、大数据等技术手段,建设国家工控安全信息共享平台,实现信息的安全、可靠、及时共享。
制定《工业信息安全信息报送与通报管理办法》,建立信息通报员、日常信息通报、应急信息通报、风险预警等制度;建设工控安全信息通报预警平台,及时发布风险预警信息,跟踪风险防范工作进展,形成快速高效、各方联动的信息通报预警体系。
我们认为,《行动计划》的出台,是工控安全工作开展和实施的顶层设计,具有高度战略意义,既明确了产学研用各方责任、今后工作方向和部署,又有效地形成了多方合力,打造高效、快速、联动的行动方针,为我国实现工业强国和网络强国战略的开展奠定了坚实的基础,全面保障了国民经济安全有序稳定运行。相信在政府部门的政策引导及实施落地下,在产业发展联盟、工业生产企业、工控系统制造商、工控安全服务商等相关单位的共同参与和努力下,我国的工控安全体系将进入全面建设阶段,更好地做到服务国家利益,保障国家安全。