工業(yè)控制系統(tǒng)信息安全(以下簡稱工控安全)是實施制造強國和網(wǎng)絡(luò)強國戰(zhàn)略的重要前提,關(guān)系到國家安全、經(jīng)濟發(fā)展和社會穩(wěn)定。為貫徹落實黨的十九大精神,日前,工業(yè)和信息化部正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020)》(以下簡稱《行動計劃》),旨在深入落實國家安全戰(zhàn)略,加快工控安全保障體系建設(shè),促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展?!缎袆佑媱潯返陌l(fā)布引發(fā)各界廣泛關(guān)注。近日,工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司負責(zé)人就《行動計劃》內(nèi)容進行了解讀。
問:《行動計劃》的定位是如何考慮的?
答:隨著中國制造2025全面推進,工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展,新形勢下工控安全工作的重要性和緊迫性更加凸顯。黨中央、國務(wù)院高度重視信息安全問題。習(xí)近平總書記多次就網(wǎng)絡(luò)安全和信息化工作做出重要指示,強調(diào)“安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進”。《中國制造2025》提出要“加強智能制造工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保障能力建設(shè),健全綜合保障體系”?!秶鴦?wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》將“提高工業(yè)信息系統(tǒng)安全水平”作為主要任務(wù)之一,2017年6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》也要求對包括工業(yè)控制系統(tǒng)在內(nèi)的“可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”實行重點保護。近期發(fā)布的《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,提出“建立工業(yè)互聯(lián)網(wǎng)安全保障體系、提升安全保障能力”的發(fā)展目標,部署“強化安全保障”的主要任務(wù),為工業(yè)互聯(lián)網(wǎng)安全保障工作制定了時間表和路線圖。
《行動計劃》深入貫徹落實國家安全戰(zhàn)略,突出了落實企業(yè)主體責(zé)任,從提升工業(yè)企業(yè)工控安全防護能力,促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展,加快工控安全保障體系建設(shè)出發(fā),進一步明確了部門、地方和企業(yè)做什么和怎么做,部署了五大能力提升行動,為下一步開展工控安全工作提供了依據(jù)和指導(dǎo)。
問:《行動計劃》實施的主要目標是什么?
答:到2020年,一是建成工控安全管理工作體系,企業(yè)主體責(zé)任明確,各級政府部門監(jiān)督管理職責(zé)清楚,工作管理機制基本完善。二是全系統(tǒng)、全行業(yè)工控安全意識普遍增強,對工控安全危害認識明顯提高,將工控安全作為生產(chǎn)安全的重要組成部分。三是態(tài)勢感知、安全防護、應(yīng)急處置能力顯著提升,全面加強技術(shù)支撐體系建設(shè),建成全國在線監(jiān)測網(wǎng)絡(luò),應(yīng)急資源庫,仿真測試、信息共享、信息通報平臺(一網(wǎng)一庫三平臺)。四是促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展,提升產(chǎn)業(yè)供給能力,培育一批龍頭骨干企業(yè),創(chuàng)建3-5個國家新型工業(yè)化產(chǎn)業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)。
問:《行動計劃》強調(diào)落實企業(yè)主體責(zé)任,企業(yè)應(yīng)如何落實主體責(zé)任?
答:工控安全是工業(yè)生產(chǎn)安全的重要組成部分,工業(yè)企業(yè)作為工業(yè)控制系統(tǒng)運營者應(yīng)承擔主體責(zé)任。企業(yè)應(yīng)從以下方面落實主體責(zé)任:一是貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》,按照“誰主管、誰負責(zé);誰運營、誰負責(zé)”的原則,建立工控安全責(zé)任制,明確企業(yè)法人代表、經(jīng)營負責(zé)人第一責(zé)任者的責(zé)任。二是抽調(diào)信息化、生產(chǎn)管理、運營維護、設(shè)備管理等相關(guān)部門人員,組建企業(yè)工控安全管理機構(gòu)。三是按照《工業(yè)控制系統(tǒng)信息安全防護指南》要求,編制完善配置和補丁管理、物理和環(huán)境安全防護等制度,定期組織開展培訓(xùn),切實推動各項制度落地實施。四是以《工業(yè)控制系統(tǒng)信息安全防護能力評估工作指南》為指導(dǎo),積極開展工控安全防護能力評估。五是持續(xù)加大工控安全投入,落實防護技術(shù)改造和隱患治理專項經(jīng)費。
問:《行動計劃》在主要目標里提出到2020年建成“一網(wǎng)一庫三平臺”,“一網(wǎng)一庫三平臺”具體指的是什么?
答:“一網(wǎng)”是指全國工控安全在線監(jiān)測網(wǎng)絡(luò)。支持國家工業(yè)信息安全發(fā)展研究中心牽頭,聯(lián)合地方、行業(yè)等技術(shù)機構(gòu),建設(shè)以國家工控安全在線監(jiān)測平臺為中心,縱向連接省級分中心,橫向覆蓋重點工業(yè)行業(yè)的多級監(jiān)測網(wǎng)絡(luò),實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運行狀態(tài)、風(fēng)險隱患的實時感知、精準研判和科學(xué)決策。
“一庫”是指工控安全應(yīng)急資源庫。按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》總體要求,支持國家工業(yè)信息安全發(fā)展研究中心建設(shè)應(yīng)急資源庫,匯聚漏洞、風(fēng)險、解決方案、預(yù)案等信息,實現(xiàn)輔助決策、預(yù)案演練等功能。在突發(fā)工業(yè)信息安全事件時,支撐行業(yè)主管部門協(xié)調(diào)技術(shù)專家和專業(yè)隊伍對事件開展分析研判,并調(diào)動相關(guān)應(yīng)急資源及時有效的開展處置工作。
“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。建設(shè)工控安全仿真測試平臺,以化工生產(chǎn)、管道輸送、污水處理、智能制造等真實工業(yè)控制場景為基礎(chǔ),模擬業(yè)務(wù)流程,還原真實現(xiàn)場,滿足培訓(xùn)、測試、驗證、試驗等多元化需求。充分利用云計算、大數(shù)據(jù)等技術(shù)手段,建設(shè)國家工控安全信息共享平臺,建立共享清單,明確共享內(nèi)容,推動形成政府引導(dǎo)、企業(yè)主體、社會參與、利益共享的工作機制。支持建設(shè)工控安全信息通報預(yù)警平臺,及時發(fā)布風(fēng)險預(yù)警信息,跟蹤風(fēng)險防范工作進展,形成快速高效、各方聯(lián)動的信息通報預(yù)警體系。