2017年12月29日，工信部發(fā)布《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020）》（以下簡(jiǎn)稱(chēng)行動(dòng)計劃），隨著(zhù)《行動(dòng)計劃》官方解讀的發(fā)布，市場(chǎng)對該計劃也產(chǎn)生了熱議，本期特別刊出和利時(shí)智能技術(shù)有限公司總工程師朱毅明對該計劃的解讀，希望對相關(guān)同仁有所啟發(fā)！

以下為解讀全文：

工信部在12月29日發(fā)布的《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020）》中明確提出堅持安全和發(fā)展同步推進(jìn)、堅持落實(shí)企業(yè)主體責任、堅持因地制宜分類(lèi)指導、堅持技術(shù)和管理并重等四大基本原則，其中的因地制宜分類(lèi)指導與技術(shù)和管理并重原則對于實(shí)現供給側改革，為工業(yè)企業(yè)提供既安全又經(jīng)濟的工控系統信息安全解決方案，推進(jìn)工業(yè)控制系統信息安全產(chǎn)業(yè)的可持續發(fā)展具有現實(shí)的指導意義。

首先，工業(yè)企業(yè)門(mén)類(lèi)眾多，生產(chǎn)工藝千差萬(wàn)別，相同的工業(yè)控制系統在不同的行業(yè)應用中信息安全風(fēng)險差異極大。工控信息安全風(fēng)險不能簡(jiǎn)單地按照企業(yè)生產(chǎn)規?；蚩刂茝碗s程度劃分，而是應該按照工控系統信息安全危險可能造成的經(jīng)濟和社會(huì )后果以及發(fā)生的可能性進(jìn)行評估，例如：用于能源、交通、市政等基礎設施或化工、冶金、醫藥、食品等涉及高危行業(yè)的工業(yè)控制系統，無(wú)論規模大小，都應該采用嚴格的信息安全防護措施保證其安全穩定運行；用于一些離散制造業(yè)的工業(yè)控制系統即使規模巨大，但信息安全的危險主要是相對可控的經(jīng)濟損失，一般不會(huì )產(chǎn)生大的社會(huì )影響或人身安全問(wèn)題，可以選擇與其風(fēng)險匹配的信息安全防護措施，不必過(guò)度設計。

其次，工控系統信息安全防護不僅僅是涉及計算機和網(wǎng)絡(luò )技術(shù)，而且要與傳統工業(yè)技術(shù)和管理手段相結合，形成信息與光機電技術(shù)一體化的全方位縱深防御體系，提供因地制宜、分類(lèi)的解決方案，例如：在一些關(guān)鍵工業(yè)裝備上可以保留必要機械或電氣的多樣性保護手段，在工控系統完全失控的情況下提供最后的安全防線(xiàn)。

第三，對于工控系統信息安全，可以采用管理手段與技術(shù)手段相結合，以較低的實(shí)施成本和較快的實(shí)施速度，有效提高對惡意攻擊的難度，減緩攻擊實(shí)施的速度，提供較為充裕的時(shí)間采取必要的應急措施，避免災難性的后果。

在行動(dòng)計劃中還提到通過(guò)培育龍頭骨干企業(yè)和創(chuàng )建國家新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全）實(shí)現產(chǎn)業(yè)發(fā)展能力提升，這一措施為國內工業(yè)控制系統信息安全產(chǎn)業(yè)發(fā)展提供了明確的政策引導。

目前國內工業(yè)控制系統信息安全企業(yè)主要來(lái)自三個(gè)源頭，IT信息安全企業(yè)的工業(yè)業(yè)務(wù)部門(mén)、工控系統企業(yè)的信息安全部門(mén)和新創(chuàng )業(yè)的工控信息安全企業(yè)，即使是新創(chuàng )業(yè)的工控信息安全企業(yè)，其核心的骨干技術(shù)人員也大多來(lái)自IT信息安全企業(yè)和工控系統企業(yè)。由于工業(yè)控制系統信息安全產(chǎn)業(yè)正處于爬坡上升階段，研發(fā)投入大，合同產(chǎn)出小，整個(gè)行業(yè)承受的壓力比較大，新創(chuàng )業(yè)的工控信息安全企業(yè)的壓力就更大。按照工信部的行動(dòng)計劃執行，一方面加大對行業(yè)龍頭骨干企業(yè)的支持力度，幫助企業(yè)渡過(guò)暫時(shí)的困難，另一方面通過(guò)政策引導，落實(shí)企業(yè)對工控信息安全的主體責任，鼓勵大中型企業(yè)集團主動(dòng)推進(jìn)自身的工控系統信息安全改進(jìn)，落實(shí)資金，帶動(dòng)整個(gè)行業(yè)的發(fā)展。這無(wú)疑對于目前的工業(yè)控制系統信息安全相關(guān)企業(yè)是極大的鼓勵。

本文轉自《自動(dòng)化博覽》2018年第一期