工信部電子一所的網(wǎng)絡(luò )與信息安全研究部副主任 張格

張格，工信部電子一所網(wǎng)絡(luò )與信息安全研究部副主任，高級工程師，長(cháng)期研究關(guān)鍵信息基礎設施和工控領(lǐng)域網(wǎng)絡(luò )安全技術(shù)，多次負責或參與了國家級工控安全檢查評估、態(tài)勢感知、應急處置、重大活動(dòng)網(wǎng)絡(luò )安保等工作。擔任工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟常務(wù)副秘書(shū)長(cháng)、國家安全可靠技術(shù)與產(chǎn)業(yè)聯(lián)盟執行秘書(shū)長(cháng)、國家網(wǎng)絡(luò )安全檢查專(zhuān)家委員會(huì )委員。

編者按：

2016年10月17日，工業(yè)和信息化部印發(fā)了《工業(yè)控制系統信息安全防護指南》?！吨改稀返陌l(fā)布對工業(yè)企業(yè)以及從事工業(yè)控制系統安全工作的企業(yè)起到了很好的指導作用，對擺在大家面前的很多困惑和難題給出了解答，并提供了針對工業(yè)控制系統面臨的網(wǎng)絡(luò )安全問(wèn)題的解決思路和落地技術(shù)手段。針對《指南》，本期記者特別采訪(fǎng)了《指南》牽頭編制單位——工信部電子一所的網(wǎng)絡(luò )與信息安全研究部副主任張格先生，就《指南》發(fā)布意義、如何落地等問(wèn)題進(jìn)行了深入探討。

自動(dòng)化博覽：您認為《指南》發(fā)布的意義是什么？

張格：《工業(yè)控制系統信息安全防護指南》的出臺，主要有以下兩方面的意義：

第一，《指南》的發(fā)布，是對國家關(guān)鍵信息基礎設施安全保護要求的充分落實(shí)。習總書(shū)記在2016年4月19日全國網(wǎng)絡(luò )安全和信息化工作座談會(huì )上強調要加強關(guān)鍵信息基礎設施保護，2016年11月7日全國人大通過(guò)的《中國人民共和國網(wǎng)絡(luò )安全法》中也有多個(gè)條款涉及了關(guān)鍵信息基礎設施保護要求。工業(yè)控制系統是大部分國家關(guān)鍵信息基礎設施運行的核心大腦，《指南》的出臺對于提升國家關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全防護能力具有重要意義。

第二，《指南》的發(fā)布，為新時(shí)期、新形勢下做好工控安全防護工作提供了重要的參考。2011年，工信部出臺了《關(guān)于加強工業(yè)控制系統信息安全管理的通知》（工信部協(xié)[2011]451號）文件，第一次對工控安全管理工作提出了具體要求。近年來(lái)隨著(zhù)信息技術(shù)與工業(yè)生產(chǎn)活動(dòng)的不斷融合，工控安全形勢日益嚴峻，原451號文件在指導開(kāi)展工控安全防護工作上存在操作性不強、技術(shù)性不夠等不足之處。工控安全主管部門(mén)和工業(yè)控制系統應用單位，都急需一個(gè)簡(jiǎn)單明了、措施化、易于落地的防護指導手冊?！吨改稀吩诔浞挚紤]可操作性、務(wù)實(shí)性、實(shí)施便利性等基礎上，提出了11大項、30小項工控安全防護措施，為相關(guān)單位開(kāi)展工控安全防護工作提供了有效參考。

自動(dòng)化博覽：《指南》在哪些方面對工業(yè)控制系統信息安全防護做出了方向性的引導？

首先，《指南》強調了工業(yè)企業(yè)承擔工控安全防護的主體責任。從性質(zhì)上看，工控安全是生產(chǎn)經(jīng)營(yíng)安全，《指南》要求建立健全企業(yè)的工控安全生產(chǎn)責任制，不斷完善企業(yè)工控安全管理制度、加強企業(yè)人員管理、供應鏈管理及系統運維管理。

其次，《指南》強調了要從工控系統全生命周期做好安全防護。由于工業(yè)生產(chǎn)各業(yè)務(wù)環(huán)節及相關(guān)系統之間的連接越來(lái)越緊密，工業(yè)控制系統在設計、選型、建設、測試、運行、檢修、廢棄各階段均需要做好防護工作，《指南》中的防護措施貫穿了工控系統的整個(gè)生命周期。

最后，《指南》強調了工控安全防護要從系統與設備安全、網(wǎng)絡(luò )安全、主機安全和數據安全方面建立綜合防護能力。傳統的單點(diǎn)防護已經(jīng)不能應對日益嚴峻的安全形勢，《指南》提出要在工控系統與設備、工業(yè)網(wǎng)絡(luò )、工業(yè)主機、工業(yè)數據各核心要素上都建立防護能力，大幅提高黑客攻擊工控系統的難度，切實(shí)提升工控系統安全水平。

自動(dòng)化博覽：您認為《指南》在后續的貫徹執行工作中，會(huì )面臨哪些問(wèn)題？如何解決？

張格：《指南》的印發(fā)，為工業(yè)企業(yè)開(kāi)展工控安全防護提供了指導，在其貫徹執行中，可能會(huì )有以下兩方面問(wèn)題：

一是工控安全專(zhuān)業(yè)技術(shù)隊伍嚴重不足。當前我國在工控安全方面的風(fēng)險評估、防護方案規劃與實(shí)施方面的人才存在較大缺口，工業(yè)企業(yè)在落實(shí)《指南》中的防護措施時(shí)，急需相關(guān)專(zhuān)業(yè)技術(shù)人員來(lái)實(shí)施有關(guān)工作。下一步有關(guān)主管部門(mén)會(huì )通過(guò)專(zhuān)業(yè)建設、人才培育等多種措施，加快工控安全人才力量的建設。

二是工控安全防護的典型案例仍然不足。當前我國開(kāi)展工控安全防護工作的工業(yè)企業(yè)相對較少，已形成的工控安全防護典型案例不多，導致工業(yè)企業(yè)在落實(shí)《指南》時(shí)找不到太多可借鑒的成功案例或實(shí)施經(jīng)驗。下一步工信部將加大《指南》的試點(diǎn)示范工作以及工控安全防護解決方案優(yōu)秀案例的推廣，帶動(dòng)工業(yè)企業(yè)圍繞《指南》部署防護手段，壯大工業(yè)信息安全產(chǎn)業(yè)。

自動(dòng)化博覽：政府對于《指南》的落地工作有哪些具體的規劃？

張格：《指南》于2016年10月17日正式印發(fā)后，工信部于2016年12月6日在北京召開(kāi)了《指南》全國宣貫會(huì )，啟動(dòng)了《指南》的宣貫工作。為推動(dòng)《指南》的落地，2017年工信部及地方工信主管部門(mén)將進(jìn)一步加大宣貫力度，繼續在全國范圍內組織開(kāi)展《指南》的宣貫和培訓工作。同時(shí)，將組織開(kāi)展全國工控系統安全防護評測能力檢查評估工作，綜合評價(jià)我國工控企業(yè)的工控安全防護水平。另外，為促進(jìn)優(yōu)秀防護產(chǎn)品應用、培育防護解決方案優(yōu)秀案例，還將會(huì )組織開(kāi)展工控安全防護試點(diǎn)示范專(zhuān)項工作，推動(dòng)《指南》在工業(yè)企業(yè)的落地實(shí)施。

自動(dòng)化博覽：《指南》之后，還會(huì )陸續發(fā)布哪些相關(guān)指南或法規？

張格：工信部將圍繞國家工控安全工作的整體方案部署，建立健全工控安全政策法規體系。下一步，將組織制定工控安全三年行動(dòng)計劃，清晰指導我國工控安全工作，并出臺《工業(yè)控制系統信息安全防護能力評估方法》及其評估細則，通過(guò)工控安全防護水平綜合評價(jià)來(lái)促進(jìn)工業(yè)企業(yè)落實(shí)工控安全防護措施。

自動(dòng)化博覽：《指南》的發(fā)布，對于工業(yè)控制系統信息安全市場(chǎng)將有哪些影響？

張格：《指南》中明確了工業(yè)企業(yè)的主體責任，有效刺激了工業(yè)企業(yè)的工控安全防護需求，工業(yè)企業(yè)可參照《指南》選擇工控安全防護產(chǎn)品或解決方案。同時(shí)，《指南》明確了工控安全防護的具體措施，工控安全廠(chǎng)商也可以圍繞《指南》重點(diǎn)向市場(chǎng)推介自身的工控安全產(chǎn)品。所以說(shuō)，《指南》的發(fā)布，為工控信息安全產(chǎn)業(yè)發(fā)展注入強勁動(dòng)力，我國工控信息安全市場(chǎng)的壯大迎來(lái)了非常好的機遇。

摘自《自動(dòng)化博覽》2017年1月刊