今日頭條
官方微信
官方抖音
資訊頻道編者按:
工業(yè)控制系統(tǒng)是鋼鐵、石化、電力、核工業(yè)、軌道交通、冶金、裝備制造、武器裝備等重點領(lǐng)域的核心中樞,是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)是實施制造強國和網(wǎng)絡(luò)強國戰(zhàn)略的重要保障,關(guān)系到國家安全、經(jīng)濟發(fā)展和社會穩(wěn)定。
為此,工業(yè)和信息化部于2017年12月12日正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018—2020)》(以下簡稱《行動計劃》),明確了未來三年工信部在工控安全方面的工作重點和方向,為全面落實國家安全戰(zhàn)略,提升工業(yè)企業(yè)工控安全防護能力,加快我國工控安全保障體系建設(shè),促進工業(yè)信息安全產(chǎn)業(yè)健康發(fā)展指明了道路。本刊特約中控科技集團創(chuàng)始人、工控安全專家褚健老師對《行動計劃》進行深入解讀。
1 強化工控安全意識
自2010年伊朗“震網(wǎng)”病毒爆發(fā)后,工控系統(tǒng)安全成為網(wǎng)絡(luò)空間安全威脅新目標(biāo)。針對工控系統(tǒng)的攻擊不是單純的“信息竊取”,而是“通過操控工控系統(tǒng),達(dá)到破壞關(guān)鍵基礎(chǔ)設(shè)施安全運行的目的”,更有甚者引發(fā)社會動蕩、危及國家安全。為避免此類攻擊造成的嚴(yán)重危害,需要我們?nèi)鐣鰪姽た匕踩庾R,工業(yè)生產(chǎn)企業(yè)、工控系統(tǒng)制造商、工控安全服務(wù)商等應(yīng)形成合力,著力為中國工控安全健康穩(wěn)定發(fā)展保駕護航。
但現(xiàn)實中,部分生產(chǎn)企業(yè)運維和管理人員認(rèn)為,工控系統(tǒng)本身具有網(wǎng)絡(luò)分級管理、身份權(quán)限認(rèn)證、建議安裝第三方安全軟件等基本安全規(guī)則和功能,工控系統(tǒng)也從未出現(xiàn)過安全威脅、攻擊等問題,因而他們回避風(fēng)險存在的可能性,簡單地認(rèn)為工控系統(tǒng)是安全的,無需加強工控安全保護意識和行為。
《行動計劃》明確要求,“到2020年,全系統(tǒng)工控安全管理工作體系基本建立,全社會工控安全意識明顯增強。”同時,《行動計劃》引用了《中華人民共和國網(wǎng)絡(luò)安全法》的“三同”規(guī)定,即“同步規(guī)劃、同步建設(shè)、同步運行”,要求工業(yè)企業(yè)在推進“中國制造2025”、“兩化融合”的同時,統(tǒng)一規(guī)劃、分類處理并規(guī)范工控安全管理工作,建立多層次多級工控安全管理機制,在新項目審批、老項目改造和項目運維各個環(huán)節(jié)進行安全監(jiān)管和審計,全面落實工控安全防護措施和管理制度;并加強企業(yè)內(nèi)部的技術(shù)培訓(xùn)、崗位輔導(dǎo)和相關(guān)咨詢活動,提高全員的安全意識;定期開展應(yīng)急演練,加強對企業(yè)安全管理機制的監(jiān)管和審查。
2 明確工控系統(tǒng)安全實施的復(fù)雜性、多樣性
一直以來,業(yè)界針對工控系統(tǒng)的安全問題存在兩個誤區(qū)。第一,無論是安全檢測還是主動防護,都希望不同行業(yè)、不同品牌控制系統(tǒng)的工控安全設(shè)施可以通用;第二,因工控系統(tǒng)品牌多、類型多、協(xié)議多,總被認(rèn)為沒有哪個組織愿意投入大量的精力針對如此繁多的工控系統(tǒng)進行攻擊,并認(rèn)為私有協(xié)議也很難被利用。
對此,《行動計劃》明確要求“堅持因地制宜分類指導(dǎo)”,要“準(zhǔn)確把握工控安全在不同行業(yè)、不同地區(qū)的發(fā)展基礎(chǔ)和特征,結(jié)合工控安全威脅的多樣性和復(fù)雜性,分類別、分層次、分步驟精準(zhǔn)施策。”《行動計劃》明確指出,針對不同行業(yè)、不同地區(qū)的工控系統(tǒng)安全要區(qū)分實施,這就要求工控安全企業(yè)必須在工控安全方向加強探索,更加專業(yè)地提供針對性的安全解決方案,幫助工業(yè)生產(chǎn)企業(yè)真正的解決問題,保障工控系統(tǒng)的安全運行。
3 全社會共同參與,統(tǒng)籌實施工控安全,工控安全不再是“口號”
一是落實企業(yè)主體責(zé)任。企業(yè)應(yīng)依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》建立工控安全責(zé)任制,不但明確了其主體責(zé)任,還要求企業(yè)持續(xù)性加大工控安全投入,保障工控安全。
二是落實監(jiān)督管理責(zé)任。工業(yè)和信息化部統(tǒng)籌制定工控安全政策標(biāo)準(zhǔn),開展宣貫培訓(xùn),定期組織全國檢查評估。地方工業(yè)和信息化主管部門加快工控安全地方性法規(guī)建設(shè),持續(xù)完善地方工控安全保障體系,加強日常監(jiān)督管理,安排專項資金推動地方監(jiān)測、預(yù)警、應(yīng)急等保障能力建設(shè)。
三是培育龍頭骨干企業(yè)。面向工控安全領(lǐng)域產(chǎn)業(yè)發(fā)展需求,加快培育一批技術(shù)水平高、業(yè)務(wù)規(guī)模大、競爭能力強的工業(yè)安全控制系統(tǒng)生產(chǎn)企業(yè)和安全服務(wù)商,支持龍頭骨干企業(yè)突破核心技術(shù),研發(fā)關(guān)鍵產(chǎn)品、提高服務(wù)能力、創(chuàng)新商業(yè)模式,聯(lián)合工業(yè)企業(yè)開展優(yōu)秀產(chǎn)品及解決方案示范,推動工控安全產(chǎn)品及解決方案的行業(yè)示范應(yīng)用落地。
上述三個舉措將工業(yè)生產(chǎn)企業(yè)、工控安全主管部門、工控系統(tǒng)生產(chǎn)企業(yè)、工控安全服務(wù)商等四個組織的責(zé)任進一步明確。同時,《行動計劃》從安全管理水平、態(tài)勢感知能力、安全防護能力、應(yīng)急處置能力和產(chǎn)業(yè)發(fā)展能力五個方向進行了全面的規(guī)劃和推進,在保障措施上則將在加強組織協(xié)調(diào)、加大政策支持、加快人才培養(yǎng)、工控安全培訓(xùn)和技術(shù)督導(dǎo)、鼓勵社會參與等諸多方面給予支持,真正做到統(tǒng)籌安排,全社會共同參與。
4 為我國工業(yè)信息安全產(chǎn)業(yè)健康發(fā)展舉旗定向
面對復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢,2016年4月19日,習(xí)近平總書記在網(wǎng)絡(luò)安全與信息化座談會上指出,要“樹立正確的網(wǎng)絡(luò)安全觀”、“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系”、“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”、“增強網(wǎng)絡(luò)安全防御能力和威懾能力”。
《行動計劃》結(jié)合習(xí)近平總書記的講話,在全面研判工控安全產(chǎn)業(yè)發(fā)展形勢的基礎(chǔ)上,圍繞工控安全態(tài)勢感知、安全防護和應(yīng)急處置能力提升,設(shè)立了明確的技術(shù)體系目標(biāo),并進一步指出要“建成全國在線監(jiān)測網(wǎng)絡(luò),應(yīng)急資源庫,仿真測試、信息共享、信息通報平臺(一網(wǎng)一庫三平臺)”。
“一網(wǎng)”是指全國工控安全監(jiān)測網(wǎng)絡(luò)。建設(shè)覆蓋國家級、省級、區(qū)域級、重點工業(yè)企業(yè)級的縱向在線監(jiān)測網(wǎng)絡(luò),加強網(wǎng)絡(luò)安全檢查,摸清家底,認(rèn)清風(fēng)險,找出漏洞;利用主動監(jiān)測、被動誘捕、威脅情報獲取等手段,準(zhǔn)確把握網(wǎng)絡(luò)安全風(fēng)險發(fā)生的規(guī)律、動向、趨勢,實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運行狀態(tài)、風(fēng)險隱患的實時感知、精準(zhǔn)研判和科學(xué)決策。
“一庫”是指工控安全應(yīng)急資源庫。按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》總體要求,支持國家級工業(yè)信息安全技術(shù)機構(gòu)建設(shè)應(yīng)急資源庫。應(yīng)急資源庫應(yīng)包括工控系統(tǒng)漏洞、工控系統(tǒng)病毒特征、工控系統(tǒng)安全威脅、工控系統(tǒng)風(fēng)險等級、行業(yè)工控系統(tǒng)安全解決方案、行業(yè)工控系統(tǒng)預(yù)警及處置機制等,實現(xiàn)信息采集、輔助決策、預(yù)案演練等功能,在突發(fā)工業(yè)信息安全事件時,支撐行業(yè)主管部門協(xié)調(diào)技術(shù)專家和專業(yè)隊伍對事件開展分析研判,并調(diào)動相關(guān)應(yīng)急資源及時有效地開展處置工作。
“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。建設(shè)工控安全靶場、仿真測試等共性技術(shù)平臺,覆蓋在關(guān)鍵基礎(chǔ)設(shè)施上廣泛使用的工控系統(tǒng),如發(fā)電、變電站控制與電網(wǎng)調(diào)度、石油煉化、油氣管道傳輸、安全儀表等(其業(yè)務(wù)流程、控制方案等與真實現(xiàn)場逼真度高)。基于該平臺開展工控網(wǎng)絡(luò)攻防演練、工控安全漏洞挖掘、安全威脅探針感知、安全防護關(guān)鍵技術(shù)攻關(guān)等工作。
鼓勵全社會資源積極參與信息共享工作,建立共享清單,明確共享內(nèi)容;推動形成政府引導(dǎo)、企業(yè)主體、社會參與、利益共享的工作機制;充分利用云計算、大數(shù)據(jù)等技術(shù)手段,建設(shè)國家工控安全信息共享平臺,實現(xiàn)信息的安全、可靠、及時共享。
制定《工業(yè)信息安全信息報送與通報管理辦法》,建立信息通報員、日常信息通報、應(yīng)急信息通報、風(fēng)險預(yù)警等制度;建設(shè)工控安全信息通報預(yù)警平臺,及時發(fā)布風(fēng)險預(yù)警信息,跟蹤風(fēng)險防范工作進展,形成快速高效、各方聯(lián)動的信息通報預(yù)警體系。
我們認(rèn)為,《行動計劃》的出臺,是工控安全工作開展和實施的頂層設(shè)計,具有高度戰(zhàn)略意義,既明確了產(chǎn)學(xué)研用各方責(zé)任、今后工作方向和部署,又有效地形成了多方合力,打造高效、快速、聯(lián)動的行動方針,為我國實現(xiàn)工業(yè)強國和網(wǎng)絡(luò)強國戰(zhàn)略的開展奠定了堅實的基礎(chǔ),全面保障了國民經(jīng)濟安全有序穩(wěn)定運行。相信在政府部門的政策引導(dǎo)及實施落地下,在產(chǎn)業(yè)發(fā)展聯(lián)盟、工業(yè)生產(chǎn)企業(yè)、工控系統(tǒng)制造商、工控安全服務(wù)商等相關(guān)單位的共同參與和努力下,我國的工控安全體系將進入全面建設(shè)階段,更好地做到服務(wù)國家利益,保障國家安全。
作者簡介
褚健(1963-),博士,教授,中控科技集團創(chuàng)始人。浙江淳安人,浙江大學(xué)和日本京都大學(xué)聯(lián)合培養(yǎng),工業(yè)自動化專業(yè)畢業(yè)。教育部首批長江特聘教授;曾任浙江大學(xué)工業(yè)控制技術(shù)國家重點實驗室主任、國家863高技術(shù)研究計劃專家委員會專家、國家戰(zhàn)略性新興產(chǎn)業(yè)咨詢專家委員會專家、國家核安全專家委員會成員、全國工業(yè)過程測量與控制標(biāo)準(zhǔn)化技術(shù)委員會主任、中國機電一體化技術(shù)與應(yīng)用協(xié)會理事長、中國儀器儀表學(xué)會副理事長等職務(wù)。
摘自《自動化博覽》2018年7月刊
北京市公安局海淀分局備案號:11010802023656號