2016年10月17日,工業和信息化部印發了《工業控制系統信息安全防護指南》。《指南》的發布對工業企業以及從事工業控制系統安全工作的企業起到了很好的指導作用,對擺在大家面前的很多困惑和難題給出了解答,并提供了針對工業控制系統面臨的網絡安全問題的解決思路和落地技術手段。針對《指南》,本期記者特別采訪了《指南》牽頭編制單位——工信部電子一所的網絡與信息安全研究部副主任張格先生,就《指南》發布意義、如何落地等問題進行了深入探討。
張格:
工信部電子一所網絡與信息安全研究部副主任,高級工程師,長期研究關鍵信息基礎設施和工控領域網絡安全技術,多次負責或參與了國家級工控安全檢查評估、態勢感知、應急處置、重大活動網絡安保等工作。擔任工業控制系統信息安全產業聯盟常務副秘書長、國家安全可靠技術與產業聯盟執行秘書長、國家網絡安全檢查專家委員會委員。
Q:
您認為《指南》發布的意義是什么?
張格:
《工業控制系統信息安全防護指南》的出臺,主要有以下兩方面的意義:
第一,《指南》的發布,是對國家關鍵信息基礎設施安全保護要求的充分落實。習總書記在2016年4月19日全國網絡安全和信息化工作座談會上強調要加強關鍵信息基礎設施保護,2016年11月7日全國人大通過的《中國人民共和國網絡安全法》中也有多個條款涉及了關鍵信息基礎設施保護要求。工業控制系統是大部分國家關鍵信息基礎設施運行的核心大腦,《指南》的出臺對于提升國家關鍵信息基礎設施網絡安全防護能力具有重要意義。
第二,《指南》的發布,為新時期、新形勢下做好工控安全防護工作提供了重要的參考。2011年,工信部出臺了《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)文件,第一次對工控安全管理工作提出了具體要求。近年來隨著信息技術與工業生產活動的不斷融合,工控安全形勢日益嚴峻,原451號文件在指導開展工控安全防護工作上存在操作性不強、技術性不夠等不足之處。工控安全主管部門和工業控制系統應用單位,都急需一個簡單明了、措施化、易于落地的防護指導手冊。《指南》在充分考慮可操作性、務實性、實施便利性等基礎上,提出了11大項、30小項工控安全防護措施,為相關單位開展工控安全防護工作提供了有效參考。
Q:
《指南》在哪些方面對工業控制系統信息安全防護做出了方向性的引導?
張格:
首先,《指南》強調了工業企業承擔工控安全防護的主體責任。從性質上看,工控安全是生產經營安全,《指南》要求建立健全企業的工控安全生產責任制,不斷完善企業工控安全管理制度、加強企業人員管理、供應鏈管理及系統運維管理。
其次,《指南》強調了要從工控系統全生命周期做好安全防護。由于工業生產各業務環節及相關系統之間的連接越來越緊密,工業控制系統在設計、選型、建設、測試、運行、檢修、廢棄各階段均需要做好防護工作,《指南》中的防護措施貫穿了工控系統的整個生命周期。
最后,《指南》強調了工控安全防護要從系統與設備安全、網絡安全、主機安全和數據安全方面建立綜合防護能力。傳統的單點防護已經不能應對日益嚴峻的安全形勢,《指南》提出要在工控系統與設備、工業網絡、工業主機、工業數據各核心要素上都建立防護能力,大幅提高黑客攻擊工控系統的難度,切實提升工控系統安全水平。
Q:
您認為《指南》在后續的貫徹執行工作中,會面臨哪些問題?如何解決?
張格:
《指南》的印發,為工業企業開展工控安全防護提供了指導,在其貫徹執行中,可能會有以下兩方面問題:
一是工控安全專業技術隊伍嚴重不足。當前我國在工控安全方面的風險評估、防護方案規劃與實施方面的人才存在較大缺口,工業企業在落實《指南》中的防護措施時,急需相關專業技術人員來實施有關工作。下一步有關主管部門會通過專業建設、人才培育等多種措施,加快工控安全人才力量的建設。
二是工控安全防護的典型案例仍然不足。當前我國開展工控安全防護工作的工業企業相對較少,已形成的工控安全防護典型案例不多,導致工業企業在落實《指南》時找不到太多可借鑒的成功案例或實施經驗。下一步工信部將加大《指南》的試點示范工作以及工控安全防護解決方案優秀案例的推廣,帶動工業企業圍繞《指南》部署防護手段,壯大工業信息安全產業。
Q:
政府對于《指南》的落地工作有哪些具體的規劃?
張格:
《指南》于2016年10月17日正式印發后,工信部于2016年12月6日在北京召開了《指南》全國宣貫會,啟動了《指南》的宣貫工作。為推動《指南》的落地,2017年工信部及地方工信主管部門將進一步加大宣貫力度,繼續在全國范圍內組織開展《指南》的宣貫和培訓工作。同時,將組織開展全國工控系統安全防護評測能力檢查評估工作,綜合評價我國工控企業的工控安全防護水平。另外,為促進優秀防護產品應用、培育防護解決方案優秀案例,還將會組織開展工控安全防護試點示范專項工作,推動《指南》在工業企業的落地實施。
Q:
《指南》之后,還會陸續發布哪些相關指南或法規?
張格:
工信部將圍繞國家工控安全工作的整體方案部署,建立健全工控安全政策法規體系。下一步,將組織制定工控安全三年行動計劃,清晰指導我國工控安全工作,并出臺《工業控制系統信息安全防護能力評估方法》及其評估細則,通過工控安全防護水平綜合評價來促進工業企業落實工控安全防護措施。
Q:
《指南》的發布,對于工業控制系統信息安全市場將有哪些影響?