中国电子技术标准化研究院

副院长 杨建军

在工业互联网蓬勃发展的大时代背景下，工业控制系统中大量应用网络通信技术已成为现代工业的典型特征之一，但同时也为黑客提供了更加便利的入侵渠道，工控领域的信息安全问题日益凸显。为应对不断增长的工控安全风险，工业和信息化部于2016年10月正式印发了《工业控制系统信息安全防护指南》（以下简称《指南》），为工业企业、安全服务企业、地方主管部门围绕工业控制系统开展安全防护工作指明了正确方向。

积极科学引导

重点示范先行

《指南》发布以来，在工业和信息化部指导下，包括中国电子技术标准化研究院在内的部属技术支撑机构，每年根据产业发展状况、企业信息化水平、安全态势焦点等情况，选取具有典型代表性的重点工业企业开展工控安全检查评估专项工作，为工业企业“问诊把脉”，全面分析安全威胁现状，找准安全问题短板，开具堵漏补缺的整改“药方”，对企业乃至产业的整体工控安全防护水平提升具有重大促进作用。

三年来，工控安全检查评估专项已覆盖石油石化、煤炭化工、钢铁有色、汽车制造、能源电力、机械装备、电子制造等重要行业领域。同时，《指南》还带动了部分省市主管部门主动设立地方专项，对生产自动化、信息化程度较高的工业龙头企业实施跟踪服务式评估检查，工控安全隐患得以逐一排查，工控漏洞风险得到有效控制，降低了发生大规模工控安全事故的可能性，也使企业能够对自身工控安全状况做到心中有数。工控安全做得比较到位的部分企业还被评为示范单位，在行业内推广分享经验。

三年来，通过这种“政府搭台、机构主导、企业唱戏”的工控安全防护工作模式，工控安全的理念已在业界深入人心，大部分工业企业建立了科学的安全意识观，明确了要将“工控安全与生产业务两手一起抓”作为长期发展指导思想，并能够从技术和管理双重维度部署安全防护工作，为重要工业控制系统的安全运行奠定了坚实基础。

深化落实“放改服”

以标准助力防护

今年6月，国务院召开的全国深化“放管服”改革优化营商环境电视电话会议对深化“放管服”改革作出部署，李克强总理强调要以习近平新时代中国特色社会主义思想为指导，认真贯彻党中央、国务院决策部署，推动“放管服”改革和优化营商环境取得更大成效。深入领会会议精神，从理论和实践结合上理解把握“放管服”改革的内涵、作用和走向，对我们持续推进工控安全防护工作有着重要意义。

国家统计局数据显示，截至2018年年底，全国规模以上工业企业共有37.8万家，平均每省超1.2万家，有的沿海发达省份甚至超过3万家。要在全国范围内全面铺开工控安全防护工作，仅靠各级主管部门设立专项来推动显然是远远不够的，迫切需要转变工作思路和模式，充分依托市场化服务的力量来调动各参与方的主观积极性，彻底贯彻“网络安全全国一盘棋”的指導思想，在整体上提升和强化工控安全防护能力，而这也是与当前“放管服”改革目标方向相一致的。

围绕工业控制系统的信息安全标准化需求，中国电子技术标准化研究院研制了较为完善的标准体系，并持续推进国家标准立项和发布工作。截至2019年9月，全国信息安全标准化技术委员会（TC260）已发布相关国家标准13项，内容涵盖了工控设备安全、工控网络安全、安全分级、安全管理、风险评估、安全防护产品等方方面面，对工业企业、设备生产商、系统集成商、安全企业都具有重大指导意义。当前，我们正加速推动国标《信息安全技术工业控制系统安全防护能力建设实施规范》研制、宣贯和发布工作，以便进一步完善和配合《指南》内容要求，同时通过全国范围的持续贯标培训，加速培育一批专业化的标准服务队伍，扩充市场服务供给能力，形成国家级、地方级、行业级多样化的服务机构组织，以标准服务带动市场，助力工控安全防护。

对标核查防患于未然

齐头并进踏上新征程

为更快更好地落实工控安全防护工作新思路，在工信部信软司的指导下，部属技术支撑机构正在开展或计划开展一系列配套工作：一是在全国选取了6省市作为先期试点，开展贯标培训深度行活动，以标准内容为核心，重点针对工控系统面临的安全威胁、常用的防护手段、典型安全事件、优秀实施案例等内容进行宣贯，为工业企业持续提供标准培训服务，扩大标准的影响力;二是依托中国电子工业标准化技术协会，成立工业控制系统信息安全防护能力推进分会，集结工控行业相关骨干企业，孵化和培育一批对标审核服务机构，构建对标服务供给能力;三是鼓励工业企业主动对标核查，无论是自对标还是采购对标服务，都能够使得企业对自身的工控安全防护状况有清醒的认识，并且制定可行的改进方案和实施目标，将安全风险降低到可控水平，持续有效保护工控资产。通过以上工作，在全国范围内开展贯标，构建起全国工控安全防护工作内生式发展的良好态势。

放眼整个世界工业领域，自动化、智能化、网联化是工业控制系统的大势所趋，工控安全已经是不得不考虑的关键影响因素，越是重要的工控系统越需要加固安全。委内瑞拉水电站遭受攻击引发大规模断电、挪威铝业集团工业控制系统危机导致生产停滞，这些案例不断警示着我们：工控安全是一项长期斗争，要切实且全面抓好防护工作。我国是工业大国，更是工业控制系统应用大国，要不留死角地落实好工控安全防护任务，我们的工作模式就需要与时俱进的转变。相信在“放管服”改革思想指导下，充分宣传、引导、利用标准化服务这一有力武器能够实现既定目标，推动工控安全防护全面迈入“齐头并进”的新征程。