为提升工控安全防护能力提供专业服务
2019-01-16
工业和信息化部电子第五研究所
副所长 王勇
随着信息化和工业化深度融合,工业控制系统从单机走向互联、从封闭走向开放、从自动化走向智能化,为实现制造业数字化转型,不断提升制造业数字化、网络化、智能化发展水平,为推动我国制造业高质量发展提供了重要支撑。在显著提高生产力的同时,工业控制系统也面临着日益严峻的信息安全威胁。工业和信息化部于2016年10月印发了《工业控制系统信息安全防护指南》(以下简称《指南》),并组织编制了《工业控制系统信息安全防护建设实施规范》(以下简称《实施规范》)标准,指导企业提升安全防护水平,为我国制造业高质量发展保驾护航。工业和信息化部电子第五研究所(以下简称五所)持续开展贯标和评估服务,帮助各行业企业落实《指南》相关要求。
推动《指南》落地开展工控安全评估贯标
自《指南》发布三周年以来,五所通过开展一系列工业控制系统信息安全(以下简称工控安全)防护能力评估、检测、贯标工作,进一步推动《指南》落地,并且围绕《指南》内容不断提升工控安全技术和服务能力,为企业提升工控安全防护能力提供更加专业的服务。
一是参照《指南》开展工控安全评估贯标服务。围绕落实《指南》的有关要求,五所扎实推进工控安全防护能力贯标工作,开展工控安全防护能力评估和工控安全抽查工作。三年来,在电力、石化、汽车、船舶、轨道交通、重型机械等领域开展了针对《指南》的工控安全评估,帮助企业按照政策标准要求,建立了有效的工控安全管理和技术防护体系,切实提升安全防护水平。
二是依托《指南》培育工控安全技术服务团队。五所认证中心是全国首批信息安全管理体系认证机构之一,在信息安全领域积累了丰富的理论基础和实践经验。在此基础上,依托《指南》贯标和评估工作的开展,不断梳理总结贯标评估经验,在提升工控安全服务能力方面持续深入研究,并将成果用以培养工控安全人才,形成了博士和高级工程师牵头的人才队伍。
三是围绕《指南》内容开展工控安全技术积累。围绕《指南》提出的工业控制系统全生命周期安全防护要求,五所建立了典型工业控制系统信息安全检测评估环境,开展了工业控制系统漏洞分析、脆弱性检测、风险评估、防护技术等方面的研究工作,形成了工业控制系统漏洞库、评估案例库、防护方案库等积累。
建立有效体系
形成规范化安全保障
工控安全防护能力贯标是在落实《指南》要求的基础上,形成对《指南》的有效补充。从工控安全防护设计、建设、运维全生命周期出发,帮助企业按照标准有关要求建立有效的工控安全管理和技术防护体系,形成规范化、体系化的安全保障,对推动两化深度融合、保障制造业高质量发展具有重要意义。
一是统一思想,提高认识。要充分认识开展工控安全防护贯标既是国家安全体系总体部署的要求,也是企业持续健康发展的基础。企业高层务必高度重视,统一思想,提高认识。全员参与,提升全员贯标意识,做到贯标工作人人有责,推行贯标人人尽责。
二是通力协作,加强沟通。工控安全防护能力贯标既涉及技术层面的物理与环境安全、数据安全防护、监测预警与态势感知等内容,也涉及管理层面的安全规划与机构建设、人员管理及培训、访问控制与审计等内容,要做到全面贯彻落实标准内容,必须做到技术部门和管理部门通力协作、生产部门和IT部门充分沟通。
三是梳理对标,有的放矢。在实施贯标工作前,企业必须充分梳理自身的需求,找到与标准之间的差距,在贯标过程中才能做到有的放矢,切实开展和落实纠正措施、预防措施等改进机制。在贯标完成后,通过不断检查和持续改进,确保各项措施得到正确的执行,才能保证贯标工作取得实实在在的效果。
四是借助力量,增强合作。企业在面对一个新的标准体系时,难免会遇到标准理解不深入的问题,此时,可以借助政府行业指导经验、科研院所研究能力、技术服务提供商技术能力等专业机构力量,加强政产学研合作,加大与科研院所和技术服务提供商的对接,在其专业指导下开展贯标工作。
提升防护能力
构建良性发展格局
面對复杂多变的网络安全新形势,应当坚定不移地坚持以习近平新时代中国特色社会主义思想为指导,以工业企业安全防护能力提升为主线,调动政产学研各方资源,加强顶层设计、培育产业环境,加快推进工控安全保障体系建设,形成政策指导、标准支撑、产业创新的良性发展格局。
一是应用方示范,引领贯标工作扎实落地实施。各行业、各地区相关主管部门需加大工控安全贯标指导力度,结合本行业、本地区特点,推动工控安全防护能力本质贯标。通过培育工控安全防护典型成功案例,切实发挥示范带动作用,引领工控安全工作高质量落地落实。
二是需求侧牵引,切实提升工控防护本质安全。工业企业在开展本质贯标的过程中,加强工业控制系统及相关产品的安全性评价和筛选,从本质安全角度减少企业所面临的工控安全风险隐患。同时,推动工控厂商加快开展产学研用联合攻关,形成强安全性的工业控制系统和解决方案。
三是服务方推动,促进企业贯标能力广泛提升。各行业组织应加大力度推动工控安全标准的研制、验证和宣贯培训,引导企业开展自评估、自诊断和自对标;贯标服务机构加强服务能力建设,为工业企业提供有力的技术支撑、信息发布和测评服务。
新形势下,制造业高质量发展需要信息化与安全双轮驱动,以正确的安全防护观念为引导,构建多方参与、协同保护的发展格局。五所将继续加大投入,进一步提升工控安全技术水平和服务能力,发挥桥梁纽带作用推动政产学研用各方携手共进,推动《指南》落地落实,广泛提高我国工业企业工控安全防护水平,为制造业高质量发展提供坚实保障。
