工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)是實施制造強國和網(wǎng)絡(luò)強國戰(zhàn)略的重要前提,關(guān)系到國家安全����、經(jīng)濟發(fā)展和社會穩(wěn)定。為貫徹落實黨的十九大精神�����,日前�����,工業(yè)和信息化部正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020)》(以下簡稱《行動計劃》),旨在深入落實國家安全戰(zhàn)略�,加快工控安全保障體系建設(shè),促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展���?����!缎袆佑媱潯返陌l(fā)布引發(fā)各界廣泛關(guān)注�����。近日��,工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司負責(zé)人就《行動計劃》內(nèi)容進行了解讀��。
問:《行動計劃》的定位是如何考慮的����?
答:隨著中國制造2025全面推進�����,工業(yè)數(shù)字化、網(wǎng)絡(luò)化����、智能化加快發(fā)展,新形勢下工控安全工作的重要性和緊迫性更加凸顯��。黨中央���、國務(wù)院高度重視信息安全問題。習(xí)近平總書記多次就網(wǎng)絡(luò)安全和信息化工作做出重要指示��,強調(diào)“安全是發(fā)展的前提�,發(fā)展是安全的保障,安全和發(fā)展要同步推進”��。《中國制造2025》提出要“加強智能制造工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保障能力建設(shè)���,健全綜合保障體系”�����?�!秶鴦?wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》將“提高工業(yè)信息系統(tǒng)安全水平”作為主要任務(wù)之一���,2017年6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》也要求對包括工業(yè)控制系統(tǒng)在內(nèi)的“可能嚴重危害國家安全�����、國計民生�、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”實行重點保護����。近期發(fā)布的《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,提出“建立工業(yè)互聯(lián)網(wǎng)安全保障體系�、提升安全保障能力”的發(fā)展目標,部署“強化安全保障”的主要任務(wù)���,為工業(yè)互聯(lián)網(wǎng)安全保障工作制定了時間表和路線圖��。
《行動計劃》深入貫徹落實國家安全戰(zhàn)略�,突出了落實企業(yè)主體責(zé)任�,從提升工業(yè)企業(yè)工控安全防護能力,促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展�,加快工控安全保障體系建設(shè)出發(fā),進一步明確了部門�����、地方和企業(yè)做什么和怎么做,部署了五大能力提升行動���,為下一步開展工控安全工作提供了依據(jù)和指導(dǎo)���。
問:《行動計劃》實施的主要目標是什么?
答:到2020年���,一是建成工控安全管理工作體系,企業(yè)主體責(zé)任明確���,各級政府部門監(jiān)督管理職責(zé)清楚���,工作管理機制基本完善。二是全系統(tǒng)�、全行業(yè)工控安全意識普遍增強,對工控安全危害認識明顯提高���,將工控安全作為生產(chǎn)安全的重要組成部分��。三是態(tài)勢感知�����、安全防護����、應(yīng)急處置能力顯著提升,全面加強技術(shù)支撐體系建設(shè)����,建成全國在線監(jiān)測網(wǎng)絡(luò),應(yīng)急資源庫��,仿真測試���、信息共享�����、信息通報平臺(一網(wǎng)一庫三平臺)�。四是促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展�����,提升產(chǎn)業(yè)供給能力���,培育一批龍頭骨干企業(yè)�,創(chuàng)建3-5個國家新型工業(yè)化產(chǎn)業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)。
問:《行動計劃》強調(diào)落實企業(yè)主體責(zé)任�����,企業(yè)應(yīng)如何落實主體責(zé)任�����?
答:工控安全是工業(yè)生產(chǎn)安全的重要組成部分����,工業(yè)企業(yè)作為工業(yè)控制系統(tǒng)運營者應(yīng)承擔主體責(zé)任。企業(yè)應(yīng)從以下方面落實主體責(zé)任:一是貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》�,按照“誰主管�����、誰負責(zé)�����;誰運營����、誰負責(zé)”的原則����,建立工控安全責(zé)任制�,明確企業(yè)法人代表、經(jīng)營負責(zé)人第一責(zé)任者的責(zé)任����。二是抽調(diào)信息化、生產(chǎn)管理�����、運營維護�����、設(shè)備管理等相關(guān)部門人員����,組建企業(yè)工控安全管理機構(gòu)。三是按照《工業(yè)控制系統(tǒng)信息安全防護指南》要求���,編制完善配置和補丁管理���、物理和環(huán)境安全防護等制度����,定期組織開展培訓(xùn)���,切實推動各項制度落地實施����。四是以《工業(yè)控制系統(tǒng)信息安全防護能力評估工作指南》為指導(dǎo)�����,積極開展工控安全防護能力評估�����。五是持續(xù)加大工控安全投入��,落實防護技術(shù)改造和隱患治理專項經(jīng)費�����。
問:《行動計劃》在主要目標里提出到2020年建成“一網(wǎng)一庫三平臺”����,“一網(wǎng)一庫三平臺”具體指的是什么?
答:“一網(wǎng)”是指全國工控安全在線監(jiān)測網(wǎng)絡(luò)����。支持國家工業(yè)信息安全發(fā)展研究中心牽頭,聯(lián)合地方�、行業(yè)等技術(shù)機構(gòu),建設(shè)以國家工控安全在線監(jiān)測平臺為中心�����,縱向連接省級分中心����,橫向覆蓋重點工業(yè)行業(yè)的多級監(jiān)測網(wǎng)絡(luò),實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運行狀態(tài)��、風(fēng)險隱患的實時感知����、精準研判和科學(xué)決策。
“一庫”是指工控安全應(yīng)急資源庫�����。按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》總體要求,支持國家工業(yè)信息安全發(fā)展研究中心建設(shè)應(yīng)急資源庫���,匯聚漏洞���、風(fēng)險、解決方案����、預(yù)案等信息,實現(xiàn)輔助決策��、預(yù)案演練等功能����。在突發(fā)工業(yè)信息安全事件時,支撐行業(yè)主管部門協(xié)調(diào)技術(shù)專家和專業(yè)隊伍對事件開展分析研判����,并調(diào)動相關(guān)應(yīng)急資源及時有效的開展處置工作。
“三平臺”是指工控安全仿真測試平臺��、信息共享平臺和信息通報平臺�。建設(shè)工控安全仿真測試平臺����,以化工生產(chǎn)���、管道輸送、污水處理��、智能制造等真實工業(yè)控制場景為基礎(chǔ)��,模擬業(yè)務(wù)流程�����,還原真實現(xiàn)場����,滿足培訓(xùn)、測試�����、驗證��、試驗等多元化需求����。充分利用云計算����、大數(shù)據(jù)等技術(shù)手段���,建設(shè)國家工控安全信息共享平臺�����,建立共享清單���,明確共享內(nèi)容,推動形成政府引導(dǎo)�����、企業(yè)主體��、社會參與�、利益共享的工作機制。支持建設(shè)工控安全信息通報預(yù)警平臺�,及時發(fā)布風(fēng)險預(yù)警信息,跟蹤風(fēng)險防范工作進展����,形成快速高效�����、各方聯(lián)動的信息通報預(yù)警體系。