李俊，博士，高級工程師。國家工業(yè)信息安全發(fā)展研究中心網(wǎng)絡(luò )與信息安全研究部主任助理，工業(yè)信息安全感知與評估技術(shù)工信部重點(diǎn)實(shí)驗室副主任?！豆I(yè)控制系統信息安全防護指南》、《工業(yè)控制系統信息安全防護能力評估工作管理辦法》的牽頭編寫(xiě)者，多次擔任工信部工控安全檢查評估工作組負責人。

編者按：近年來(lái)，工控安全事件頻頻發(fā)生，工控安全漏洞數量持續增長(cháng)，工業(yè)控制系統面臨著(zhù)日益嚴峻的安全形勢。今年以來(lái)，Strust2遠程代碼執行漏洞、WannaCry惡意勒索軟件等事件對我國部分重點(diǎn)行業(yè)工業(yè)生產(chǎn)系統造成了嚴重影響。為切實(shí)保障制造強國和網(wǎng)絡(luò )強國建設，加強工業(yè)控制系統安全保障，迫切需要快速提升工控安全保障水平和事件應急處置能力，更好地支撐經(jīng)濟社會(huì )健康有序發(fā)展，維護國家安全。因此，2017年工信部發(fā)布《工業(yè)控制系統信息安全事件應急管理工作指南》，本期，記者特別采訪(fǎng)了國家工業(yè)信息安全發(fā)展研究中心網(wǎng)絡(luò )與信息安全研究部主任助理、工業(yè)信息安全感知與評估技術(shù)工信部重點(diǎn)實(shí)驗室副主任李俊博士，請他詳細解讀《工業(yè)控制系統信息安全事件應急管理工作指南》。

自動(dòng)化博覽：出臺《工業(yè)控制系統信息安全事件應急管理工作指南》的目的和意義是什么？

李?。?/strong>出臺《工業(yè)控制系統信息安全事件應急管理工作指南》（以下簡(jiǎn)稱(chēng)“應急指南”）的目的和意義主要有三點(diǎn)：

一是有利于建立健全工控安全事件應急工作機制。依據《國家網(wǎng)絡(luò )安全事件應急預案》制定《應急指南》，進(jìn)一步完善工控安全事件應急制度，形成有效的工控安全應急工作機制，為工控安全事件應急管理與處置工作提供依據與方法。

二是有利于提升工控安全事件應急處置能力?！稇敝改稀访鞔_了工控安全事件應急工作的組織機構和職責，確定了工控安全事件的監測通報、處置流程和具體措施，提出了應急隊伍、專(zhuān)家組、物資和經(jīng)費保障等應急力量和應急資源方面的要求，為應急處置工作提供行動(dòng)指南。

三是有利于完善工控安全管理體系?！稇敝改稀返难芯恐贫ê托灺鋵?shí)，與工信部2016年印發(fā)的《工業(yè)控制系統信息安全防護指南》和2017年印發(fā)的《工業(yè)控制系統信息安全防護評估工作管理辦法》共同構建了工控安全管理體系。文件中提出的安全要求和管理方法覆蓋了工業(yè)控制系統規劃、設計、建設、運行、維護等全生命周期，為加強工控安全管理奠定了堅實(shí)基礎。

自動(dòng)化博覽：《工業(yè)控制系統信息安全事件應急管理工作指南》編制的原則是什么？

李?。?/strong>《應急指南》的編制主要有三大原則：

政府指導、企業(yè)主體。政府通過(guò)完善政策措施、加強監督管理，指導企業(yè)樹(shù)立工控安全主體責任意識，督促企業(yè)將工控安全作為生產(chǎn)安全的重要組成部分，做好工控安全應急相關(guān)工作，加快提升工控安全事件應急能力。

預防為主、平戰結合。按照系統化、科學(xué)化管理思想，加強工控安全監測與風(fēng)險預判，及時(shí)掌握工控安全態(tài)勢，暢通信息傳輸渠道，充分發(fā)揮各方力量，將預防與消減有機結合，積極做好工控安全事件的預防和消減工作。

快速反應、科學(xué)處置。建立感知快、研判快、處置快、消減快的工控安全快速反應體系，不斷強化工控安全事件應急隊伍的整體應急水平和快速反應能力，科學(xué)管理、指揮有力，妥善處置工控安全事件。

自動(dòng)化博覽：在編制《工業(yè)控制系統信息安全事件應急管理工作指南》的過(guò)程中，主要從哪些方面進(jìn)行考慮？

李?。?/strong>《應急指南》的編制密切結合工控安全事件應急工作實(shí)際，以防范重大工控安全事件為重點(diǎn)，厘清工業(yè)和信息化部、地方工業(yè)和信息化主管部門(mén)、技術(shù)支撐隊伍和企業(yè)職責，加強工控安全事件應急管理和組織協(xié)調，提升工控安全事件應急處置能力。

《應急指南》主要從工控安全風(fēng)險監測、信息報送與通報、應急處置、敏感時(shí)期應急管理等工作提出了一系列管理要求，明確了責任分工、工作流程和保障措施。

（1）加強風(fēng)險監測

風(fēng)險監測是掌握工控安全事件、感知風(fēng)險動(dòng)向的基礎性工作?！稇敝改稀芬髧夜I(yè)信息安全發(fā)展研究中心等技術(shù)機構、地方工業(yè)和信息化主管部門(mén)和工業(yè)企業(yè)做好風(fēng)險監測工作。其中，國家工業(yè)信息安全發(fā)展研究中心等技術(shù)機構負責組織開(kāi)展全國工控安全風(fēng)險監測、預警通報等工作，地方工業(yè)和信息化主管部門(mén)負責組織開(kāi)展本地區工控安全風(fēng)險監測工作，工業(yè)企業(yè)組織開(kāi)展本單位工控安全風(fēng)險監測工作。

（2）開(kāi)展信息報送與通報

信息報送與通報是幫助工控安全應急相關(guān)部門(mén)及時(shí)了解風(fēng)險及事件全貌的重要途徑?！稇敝改稀访鞔_指出，地方工業(yè)和信息化主管部門(mén)、工業(yè)企業(yè)在開(kāi)展風(fēng)險監測的同時(shí)，要及時(shí)將重要監測信息報國家工業(yè)信息安全發(fā)展研究中心。國家工業(yè)信息安全發(fā)展研究中心負責匯總、整理和研判，并將結果報工業(yè)和信息化部。針對影響范圍大、危害程度深的風(fēng)險信息，工業(yè)和信息化部及時(shí)向有關(guān)行業(yè)、地區、企業(yè)通報。此外，對于可能超出本地區應對能力范圍的安全風(fēng)險和事件信息，地方工業(yè)和信息化主管部門(mén)應及時(shí)向工業(yè)和信息化部報告。

（3）做好應急處置

工控安全事件應急處置是應急工作的重中之重，做好工控安全應急處置對于維護國家安全、社會(huì )秩序、經(jīng)濟建設和公眾利益都具有舉足輕重的意義。對于工控安全應急處置工作，《應急指南》明確了以下幾方面要求：一是工業(yè)企業(yè)應積極開(kāi)展先期處置。對于可能或已經(jīng)發(fā)生工控安全事件時(shí)，工業(yè)企業(yè)應采取科學(xué)有效的方法及時(shí)施救，力爭將損失降到最小，盡快恢復受損工業(yè)控制系統的正常運行。二是重點(diǎn)做好應急處置中的信息報送。應急處置過(guò)程中，地方工業(yè)和信息化主管部門(mén)和工業(yè)企業(yè)應及時(shí)報告事態(tài)發(fā)展變化情況和事件處置進(jìn)展情況。三是必要時(shí)工業(yè)和信息化部將組織現場(chǎng)處置。必要時(shí)，工業(yè)和信息化部將派出工作組赴現場(chǎng)，指揮應急處置工作，并協(xié)調應急技術(shù)機構提供技術(shù)支援。四是應急結束后及時(shí)開(kāi)展總結評估?！稇敝改稀芬?，應急工作結束后，相關(guān)工業(yè)企業(yè)應做好事件分析總結工作，并按時(shí)上報。

（4）保障措施

《應急指南》要求，建立覆蓋工業(yè)和信息化部、地方工業(yè)和信息化主管部門(mén)、工業(yè)企業(yè)三個(gè)不同層次的預案體系，促進(jìn)工控安全應急管理工作規范化、制度化；通過(guò)定期組織開(kāi)展應急演練，提高應對工控安全事件的技術(shù)能力；通過(guò)建立國家工控安全應急專(zhuān)家組和地方工控安全應急專(zhuān)家組，支持工控安全應急技術(shù)機構、基礎平臺建設，提升應急處置基礎能力。

此外，《應急指南》還強調了國家重要活動(dòng)、會(huì )議等重要敏感時(shí)期的應急管理要求，明確工業(yè)和信息化部做好應急指導，地方工業(yè)和信息化主管部門(mén)和工業(yè)企業(yè)加強風(fēng)險監測、做好信息報送和應急值守等，確保重要敏感時(shí)期工業(yè)控制系統安全、平穩運行。

自動(dòng)化博覽：《工業(yè)控制系統信息安全事件應急管理工作指南》于2017年5月31日正式印發(fā)，至今執行的情況如何？

李?。?/strong>《應急指南》印發(fā)后，地方工業(yè)和信息化主管部門(mén)、應急技術(shù)機構、工業(yè)企業(yè)紛紛組織宣傳學(xué)習、積極貫徹落實(shí)。一是，部分地方工業(yè)和信息化主管部門(mén)開(kāi)展了工控安全應急管理工作文件的編寫(xiě)和完善，積極推動(dòng)落實(shí)工控安全聯(lián)絡(luò )員機制，上報工控安全應急工作聯(lián)絡(luò )員。二是，地方工業(yè)和信息化主管部門(mén)按照《應急指南》要求，積極組織開(kāi)展本地區工控安全風(fēng)險監測工作，通過(guò)風(fēng)險監測，及時(shí)發(fā)現工控安全風(fēng)險隱患，采取相應的預防措施。三是，工控安全應急技術(shù)機構積極開(kāi)展工控安全風(fēng)險監測，針對重要工控安全事件開(kāi)展研判，發(fā)布威脅預警、提供事件處置援助等。四是，部分工業(yè)企業(yè)正逐步建立健全工控安全責任制，完善本單位工控安全應急管理工作，落實(shí)人財物保障，積極落實(shí)《應急指南》要求，做好工控安全應急工作。

自動(dòng)化博覽：您認為《工業(yè)控制系統信息安全事件應急管理工作指南》在后續的貫徹執行工作中，會(huì )面臨哪些問(wèn)題？如何解決？

李?。?/strong>《應急指南》發(fā)布后，地方工業(yè)和信息化主管部門(mén)、應急技術(shù)機構、工業(yè)企業(yè)都積極貫徹落實(shí)具體要求。但在后續的貫徹執行工作中，還可能會(huì )面臨宣傳不到位、理解不到位、人員不到位和能力不到位等多種情況。

一是，宣傳不到位?！稇敝改稀钒l(fā)布后，地方工業(yè)和信息化主管部門(mén)和工業(yè)企業(yè)都開(kāi)展了認真的學(xué)習，但由于地方工業(yè)和信息化主管部門(mén)又分為省、區、縣、市等多個(gè)層級，不同層級的地方工業(yè)和信息化主管部門(mén)可能只是簡(jiǎn)單轉發(fā)《應急指南》，宣傳還可能存在不到位的情況。二是，理解不到位。地方工業(yè)和信息化主管部門(mén)、應急技術(shù)機構和工業(yè)企業(yè)可能還存在對《應急指南》中的應急體制、機制、應急流程等認識不到位、理解不到位的地方。三是，人員不到位。地方工業(yè)和信息化主管部門(mén)和工業(yè)企業(yè)可能還存在應急管理人員、應急聯(lián)絡(luò )員不明確，人員不到位的情況。四是，能力不到位。地方工業(yè)、信息化主管部門(mén)和工業(yè)企業(yè)的威脅監測能力、應急處置水平參差不齊，還存在能力不到位的情況。

針對宣傳不到位和理解不到位，還需要地方工信主管部門(mén)、應急技術(shù)機構和工業(yè)企業(yè)高度重視，認真組織開(kāi)展針對《應急指南》的宣傳，利用多種媒體、結合專(zhuān)家講座、技術(shù)普及等多種方式加強宣傳和解讀，確?！稇敝改稀飞钊肴诵?。針對人員不到位的問(wèn)題，需要地方工信主管部門(mén)和工業(yè)企業(yè)積極落實(shí)《應急指南》要求，盡快明確響應的應急工作人員。針對能力不到位，還需要地方工信主管部門(mén)和工業(yè)企業(yè)通過(guò)人才引進(jìn)、外部合作等多種途徑提升工控安全信息監測和應急處置能力。

自動(dòng)化博覽：《應急指南》要求，建立覆蓋工業(yè)和信息化部、地方工業(yè)和信息化主管部門(mén)、工業(yè)企業(yè)三個(gè)不同層次的預案體系，您認為這三個(gè)層次之間是什么樣的關(guān)系？各自的工作重點(diǎn)和難點(diǎn)在哪里？

李?。?/strong>工業(yè)和信息化部、地方工業(yè)和信息化主管部門(mén)、工業(yè)企業(yè)三個(gè)層次的預案體系各有側重、相輔相成、缺一不可，共同構成了工業(yè)信息安全應急預案體系這一有機整體。

工信部的重點(diǎn)是指導地方工業(yè)和信息化主管部門(mén)、應急技術(shù)機構、工業(yè)企業(yè)做好工控安全應急管理工作。難點(diǎn)是建立針對性強、快速有效的工控安全應急機制，做好工控安全事件的應急處置管理工作。

地方工信主管部門(mén)重點(diǎn)是指導本地區工控安全應急管理工作，難點(diǎn)是建立適合本地區的工控安全事件應急機制，組織做好本地區工控安全應急處置管理工作。

工業(yè)企業(yè)重點(diǎn)是做好本單位工控安全應急管理工作，落實(shí)人、財、物保障，難點(diǎn)是做好本單位工控安全監測、處置等工作。

自動(dòng)化博覽：圍繞《工業(yè)控制系統信息安全事件應急管理工作指南》，接下來(lái)將開(kāi)展哪些方面的工作？

李?。?/strong>圍繞《工業(yè)控制系統信息安全事件應急管理工作指南》，下一步將開(kāi)展以下幾方面工作：一是，加大《應急指南》的宣貫力度，組織地方工信主管部門(mén)負責人員參加《應急指南》的宣貫培訓會(huì )，組織工控安全應急演練，加強對工控安全應急機制、流程的熟悉和了解，加強對工控安全應急管理工作的認識。二是，繼續推動(dòng)工控安全應急機制的建立和完善。督促地方工業(yè)和信息化主管部門(mén)和工業(yè)企業(yè)制定相應的工控安全應急制度，推動(dòng)落實(shí)工控安全聯(lián)絡(luò )員機制。三是，繼續完善工控安全事件通報制度。做好地方工信主管部門(mén)、重要行業(yè)和工業(yè)企業(yè)的工控安全事件通報工作。四是，建立國家工控安全應急專(zhuān)家組，為工控安全應急管理提供技術(shù)咨詢(xún)和決策支持。地方工業(yè)和信息化主管部門(mén)建立本地區工控安全應急專(zhuān)家組，充分發(fā)揮專(zhuān)家在應急管理工作中的作用。五是，組織開(kāi)展工控安全應急演練。工信部9月中旬在河北省選擇了1家典型工業(yè)企業(yè)，組織制定工控安全事件應急演練方案，開(kāi)展了現場(chǎng)應急演練，邀請了有關(guān)政府機構、科研院所、企業(yè)、行業(yè)專(zhuān)家參加，檢驗了《指南》的相關(guān)內容。

自動(dòng)化博覽：《工業(yè)控制系統信息安全事件應急管理工作指南》和《工業(yè)控制系統信息安全防護指南》在內容或制定思路上是否有一定的聯(lián)系或延承？

李?。?/strong>《工業(yè)控制系統信息安全事件應急管理工作指南》和《工業(yè)控制系統信息安全防護指南》都是為了貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見(jiàn)》（國發(fā)〔2016〕28號），保障工業(yè)企業(yè)工業(yè)控制系統信息安全。在編制思路上都堅持“安全是發(fā)展的前提，發(fā)展是安全的保障”，從管理、技術(shù)兩方面明確工控安全相關(guān)要求。

從內容上看，《工業(yè)控制系統信息安全防護指南》第七條對安全監測和應急預案演練做出了明確要求。要求在工業(yè)控制網(wǎng)絡(luò )部署網(wǎng)絡(luò )安全監測設備，及時(shí)發(fā)現、報告并處理網(wǎng)絡(luò )攻擊或異常行為。制定工控安全事件應急響應預案，當遭受安全威脅導致工業(yè)控制系統出現異?；蚬收蠒r(shí)，應立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送直至屬地省級工業(yè)和信息化主管部門(mén)，同時(shí)注意保護現場(chǎng)，以便進(jìn)行調查取證。定期對工業(yè)控制系統的應急響應預案進(jìn)行演練，必要時(shí)對應急響應預案進(jìn)行修訂。

依據《工業(yè)控制系統信息安全防護指南》第七條相關(guān)規定，《工業(yè)控制系統信息安全事件應急管理工作指南》進(jìn)一步豐富完善了工控安全應急管理相關(guān)要求，對工控安全風(fēng)險監測、信息報送與通報、應急處置、敏感時(shí)期應急管理等工作提出了一系列管理要求，明確了責任分工、工作流程和保障措施。

自動(dòng)化博覽：《工業(yè)控制系統信息安全事件應急管理工作指南》之后，還會(huì )陸續發(fā)布哪些相關(guān)指南或法規？

李?。?/strong>《工業(yè)控制系統信息安全事件應急管理工作指南》之后，工信部于今年8月發(fā)布了《工業(yè)控制系統信息安全防護能力評估工作管理辦法》。下一步，還將根據工控安全工作需要，適時(shí)發(fā)布相應細則，逐步建立完善工控安全保障工作體系。

自動(dòng)化博覽：《工業(yè)控制系統信息安全事件應急管理工作指南》的發(fā)布對工業(yè)控制系統信息安全市場(chǎng)將有哪些影響？

李?。?/strong>《工業(yè)控制系統信息安全事件應急管理工作指南》的第二十三條要求加強對工控安全事件應急裝備和工具的儲備，及時(shí)調整、升級軟硬件工具，建設完善工控安全事件應急技術(shù)服務(wù)平臺，不斷增強應急技術(shù)支撐能力。第二十四條要求各有關(guān)部門(mén)應積極利用現有政策和資金渠道，申請新增預算，支持工控安全應急技術(shù)機構建設、專(zhuān)家隊伍建設、基礎平臺建設、技術(shù)研發(fā)、應急演練、物資保障等，為工控安全應急管理工作提供必要的經(jīng)費支持。這將在一定程度上提振市場(chǎng)對工控安全技術(shù)、產(chǎn)品和服務(wù)的需求，促進(jìn)工控安全市場(chǎng)的發(fā)展。

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第四輯