2017年12月27日，工信部正式發(fā)布《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020年）》（以下簡(jiǎn)稱(chēng)行動(dòng)計劃），這一行動(dòng)計劃的發(fā)布，是我國貫徹落實(shí)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見(jiàn)》、《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見(jiàn)》等文件精神的具體行動(dòng)，該行動(dòng)計劃的發(fā)布，將加快我國工業(yè)控制系統信息安全保障體系的建設，提升工業(yè)企業(yè)工業(yè)控制系統信息安全防護能力，促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展。本期記者特別刊出行動(dòng)計劃全文，以及官方解讀和企業(yè)解讀，供讀者更好地理解該行動(dòng)計劃。

全文|工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020年）

工業(yè)控制系統信息安全（以下簡(jiǎn)稱(chēng)工控安全）是實(shí)施制造強國和網(wǎng)絡(luò )強國戰略的重要保障。近年來(lái)，隨著(zhù)中國制造2025全面推進(jìn)，工業(yè)數字化、網(wǎng)絡(luò )化、智能化加快發(fā)展，我國工控安全面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復雜多樣等新挑戰。為全面落實(shí)國家安全戰略，提升工業(yè)企業(yè)工控安全防護能力，促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展，加快我國工控安全保障體系建設，制定本行動(dòng)計劃。

一、總體要求

（一）指導思想

全面貫徹落實(shí)黨的十九大精神，以習近平新時(shí)代中國特色社會(huì )主義思想為指引，堅持總體國家安全觀(guān)，以落實(shí)企業(yè)主體責任為關(guān)鍵，緊緊圍繞新時(shí)期兩化深度融合發(fā)展需求，重點(diǎn)提升工控安全態(tài)勢感知、安全防護和應急處置能力，促進(jìn)產(chǎn)業(yè)創(chuàng )新發(fā)展，建立多級聯(lián)防聯(lián)動(dòng)工作機制，為制造強國和網(wǎng)絡(luò )強國戰略建設奠定堅實(shí)基礎。

（二）基本原則

堅持安全和發(fā)展同步推進(jìn)。樹(shù)立正確的網(wǎng)絡(luò )安全觀(guān)，堅持以安全保發(fā)展，以發(fā)展促安全，安全和發(fā)展并重。確保信息安全與信息化建設同步規劃、同步建設、同步運行。

堅持落實(shí)企業(yè)主體責任。確立企業(yè)工控安全主體責任地位，強化責任意識，把工控安全作為工業(yè)生產(chǎn)安全的重要組成部分，將安全要求納入企業(yè)生產(chǎn)、經(jīng)營(yíng)、管理各環(huán)節。

堅持因地制宜分類(lèi)指導。準確把握工控安全在不同行業(yè)、不同地區的發(fā)展基礎和特征，結合工控安全威脅的多樣性和復雜性，分類(lèi)別、分層次、分步驟精準施策。

堅持技術(shù)和管理并重。統籌技術(shù)防護與安全管理，充分運用先進(jìn)技術(shù)提升工控安全防護能力，創(chuàng )新企業(yè)安全管理機制，全面落實(shí)安全管理制度。

（三）主要目標

到2020年，全系統工控安全管理工作體系基本建立，全社會(huì )工控安全意識明顯增強。建成全國在線(xiàn)監測網(wǎng)絡(luò )，應急資源庫，仿真測試、信息共享、信息通報平臺（一網(wǎng)一庫三平臺），態(tài)勢感知、安全防護、應急處置能力顯著(zhù)提升。培育一批影響力大、競爭力強的龍頭骨干企業(yè)，創(chuàng )建3-5個(gè)國家新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全），產(chǎn)業(yè)創(chuàng )新發(fā)展能力大幅提高。

二、主要行動(dòng)

（一）安全管理水平提升

落實(shí)企業(yè)主體責任。企業(yè)依據《中華人民共和國網(wǎng)絡(luò )安全法》建立工控安全責任制，明確企業(yè)法人代表、經(jīng)營(yíng)負責人第一責任者的責任，組建管理機構，完善管理制度。貫徹落實(shí)《工業(yè)控制系統信息安全防護指南》安全要求，持續加大工控安全投入，落實(shí)防護技術(shù)改造和隱患治理專(zhuān)項經(jīng)費，積極開(kāi)展防護能力評估。

落實(shí)監督管理責任。工業(yè)和信息化部統籌制定工控安全政策標準，開(kāi)展宣貫培訓，定期組織全國檢查評估，對納入審查范圍的工業(yè)控制系統產(chǎn)品與服務(wù)實(shí)施安全審查。地方工業(yè)和信息化主管部門(mén)加快工控安全地方性法規建設，建立重要工業(yè)控制系統目錄清單，加強日常監督管理，安排專(zhuān)項資金推動(dòng)地方監測、預警、應急等保障能力建設，持續完善地方工控安全保障體系。

（二）態(tài)勢感知能力提升

建設全國工控安全監測網(wǎng)絡(luò )。支持國家級工業(yè)信息安全技術(shù)機構持續完善主動(dòng)監測、被動(dòng)誘捕、威脅情報獲取等工控安全在線(xiàn)監測手段，擴展工業(yè)控制系統資產(chǎn)識別種類(lèi)，提高識別精準度和搜索效率。建設以國家工控安全在線(xiàn)監測平臺為中心，涵蓋省級重要節點(diǎn)的監測網(wǎng)絡(luò )，實(shí)現對全國重要工業(yè)控制系統運行狀態(tài)、風(fēng)險隱患的實(shí)時(shí)感知、精準研判和科學(xué)決策。

實(shí)施信息共享工程。鼓勵行業(yè)主管部門(mén)、企業(yè)、科研院所、聯(lián)盟協(xié)會(huì )等機構和個(gè)人積極參與信息共享工作，建立共享清單，明確共享內容，推動(dòng)形成政府引導、企業(yè)主體、社會(huì )參與、利益共享的工作機制。充分利用云計算、大數據等技術(shù)手段，建設國家工控安全信息共享平臺，實(shí)現信息的安全、可靠、及時(shí)共享。

（三）安全防護能力提升

加強防護技術(shù)研究。支持建設工控安全靶場(chǎng)、仿真測試等共性技術(shù)平臺，研發(fā)工控安全防護技術(shù)工具集，加強分區隔離、安全交換、協(xié)議管控等關(guān)鍵技術(shù)攻關(guān)。開(kāi)展防護能力建設試點(diǎn)示范，形成可復制、可推廣的安全防護整體解決方案。探索工業(yè)云、工業(yè)大數據等新興應用的安全架構設計，開(kāi)展工業(yè)互聯(lián)網(wǎng)安全防護技術(shù)研究和創(chuàng )新。

建立健全標準體系。制定工控安全分級、安全要求、安全實(shí)施、安全測評類(lèi)標準，加快工控安全防護能力評估、工業(yè)控制系統設備產(chǎn)品安全、工業(yè)互聯(lián)網(wǎng)平臺安全等急用先行標準的發(fā)布和應用，鼓勵企業(yè)、科研院所、行業(yè)組織等參與國際標準化工作。

（四）應急處置能力提升

開(kāi)展信息通報預警。制定《工業(yè)信息安全信息報送與通報管理辦法》，建立信息通報員、日常信息通報、應急信息通報、風(fēng)險預警等制度。建設工控安全信息通報預警平臺，及時(shí)發(fā)布風(fēng)險預警信息，跟蹤風(fēng)險防范工作進(jìn)展，形成快速高效、各方聯(lián)動(dòng)的信息通報預警體系。

建設國家應急資源庫。按照《國家網(wǎng)絡(luò )安全事件應急預案》總體要求，支持國家級工業(yè)信息安全技術(shù)機構建設應急資源庫，實(shí)現信息采集、輔助決策、預案演練等功能。在突發(fā)工業(yè)信息安全事件時(shí)，支撐行業(yè)主管部門(mén)協(xié)調技術(shù)專(zhuān)家和專(zhuān)業(yè)隊伍對事件開(kāi)展分析研判，并調動(dòng)相關(guān)應急資源及時(shí)有效的開(kāi)展處置工作。

（五）產(chǎn)業(yè)發(fā)展能力提升

培育龍頭骨干企業(yè)。面向工控安全領(lǐng)域產(chǎn)業(yè)發(fā)展需求，加快培育一批技術(shù)水平高、業(yè)務(wù)規模大、競爭能力強的工業(yè)控制系統生產(chǎn)企業(yè)和安全服務(wù)商，支持龍頭骨干企業(yè)突破核心技術(shù)，研發(fā)關(guān)鍵產(chǎn)品、提高服務(wù)能力、創(chuàng )新商業(yè)模式，聯(lián)合工業(yè)企業(yè)開(kāi)展優(yōu)秀產(chǎn)品及解決方案示范，推動(dòng)行業(yè)應用。

創(chuàng )建國家新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全）。選擇工業(yè)基礎雄厚、產(chǎn)業(yè)鏈條完備、聚集效應明顯的地區建設國家新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全）。圍繞工業(yè)控制系統技術(shù)研發(fā)、應用示范、產(chǎn)融合作、人才培養等關(guān)鍵環(huán)節，探索產(chǎn)業(yè)發(fā)展路徑，促進(jìn)產(chǎn)業(yè)集聚發(fā)展，發(fā)揮先行先試和示范帶動(dòng)作用。

三、保障措施

（一）加強組織協(xié)調

在國家制造強國建設領(lǐng)導小組統一領(lǐng)導下，加強工控安全保障體系重大決策、重大工程和重大問(wèn)題的統籌協(xié)調，全面落實(shí)行動(dòng)計劃各項任務(wù)。各地工業(yè)和信息化主管部門(mén)要加強本地區統籌管理，做好行動(dòng)計劃的貫徹落實(shí)和組織保障。

（二）加大政策支持

堅持政府引導和市場(chǎng)運作相結合，充分調動(dòng)社會(huì )力量支持工控安全保障體系建設。支持有條件的地方設立專(zhuān)項，加大對工控安全基礎設施建設、關(guān)鍵技術(shù)驗證測試平臺建設、產(chǎn)業(yè)創(chuàng )新發(fā)展的支持力度。利用國家政策性信貸資金支持工業(yè)信息安全產(chǎn)業(yè)示范基地建設。

（三）加快人才培養

鼓勵工業(yè)企業(yè)加強與院校合作，聯(lián)合培養工控安全專(zhuān)業(yè)人才。打造國家工控安全高端智庫，為工控安全戰略部署、規劃制定、決策咨詢(xún)、重大問(wèn)題提供智力支持和技術(shù)支撐，培養一支門(mén)類(lèi)齊全、技術(shù)精湛的工控安全專(zhuān)業(yè)人才隊伍。

（四）鼓勵社會(huì )參與

充分發(fā)揮行業(yè)協(xié)會(huì )、產(chǎn)業(yè)聯(lián)盟等中介組織的積極作用，支持開(kāi)展技術(shù)研發(fā)、技能競賽、標準推廣、公共服務(wù)、國際合作等工作，促進(jìn)技術(shù)交流、加強信息溝通，形成政產(chǎn)學(xué)研用高效聯(lián)動(dòng)的發(fā)展格局。

官方解讀

工業(yè)控制系統信息安全（以下簡(jiǎn)稱(chēng)工控安全）是實(shí)施制造強國和網(wǎng)絡(luò )強國戰略的重要前提，關(guān)系到國家安全、經(jīng)濟發(fā)展和社會(huì )穩定。為貫徹落實(shí)黨的十九大精神，日前，工業(yè)和信息化部正式印發(fā)了《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020）》（以下簡(jiǎn)稱(chēng)《行動(dòng)計劃》），旨在深入落實(shí)國家安全戰略，加快工控安全保障體系建設，促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展?！缎袆?dòng)計劃》的發(fā)布引發(fā)各界廣泛關(guān)注。近日，工業(yè)和信息化部信息化和軟件服務(wù)業(yè)司負責人就《行動(dòng)計劃》內容進(jìn)行了解讀。

Q：《行動(dòng)計劃》的定位是如何考慮的？

答：隨著(zhù)中國制造2025全面推進(jìn)，工業(yè)數字化、網(wǎng)絡(luò )化、智能化加快發(fā)展，新形勢下工控安全工作的重要性和緊迫性更加凸顯。黨中央、國務(wù)院高度重視信息安全問(wèn)題。習近平總書(shū)記多次就網(wǎng)絡(luò )安全和信息化工作做出重要指示，強調“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)”?！吨袊圃?025》提出要“加強智能制造工業(yè)控制系統網(wǎng)絡(luò )安全保障能力建設，健全綜合保障體系”?！秶鴦?wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見(jiàn)》將“提高工業(yè)信息系統安全水平”作為主要任務(wù)之一，2017年6月1日實(shí)施的《中華人民共和國網(wǎng)絡(luò )安全法》也要求對包括工業(yè)控制系統在內的“可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施”實(shí)行重點(diǎn)保護。近期發(fā)布的《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見(jiàn)》，提出“建立工業(yè)互聯(lián)網(wǎng)安全保障體系、提升安全保障能力”的發(fā)展目標，部署“強化安全保障”的主要任務(wù)，為工業(yè)互聯(lián)網(wǎng)安全保障工作制定了時(shí)間表和路線(xiàn)圖。

《行動(dòng)計劃》深入貫徹落實(shí)國家安全戰略，突出了落實(shí)企業(yè)主體責任，從提升工業(yè)企業(yè)工控安全防護能力，促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展，加快工控安全保障體系建設出發(fā)，進(jìn)一步明確了部門(mén)、地方和企業(yè)做什么和怎么做，部署了五大能力提升行動(dòng)，為下一步開(kāi)展工控安全工作提供了依據和指導。

Q：《行動(dòng)計劃》實(shí)施的主要目標是什么？

答：到2020年，一是建成工控安全管理工作體系，企業(yè)主體責任明確，各級政府部門(mén)監督管理職責清楚，工作管理機制基本完善。二是全系統、全行業(yè)工控安全意識普遍增強，對工控安全危害認識明顯提高，將工控安全作為生產(chǎn)安全的重要組成部分。三是態(tài)勢感知、安全防護、應急處置能力顯著(zhù)提升，全面加強技術(shù)支撐體系建設，建成全國在線(xiàn)監測網(wǎng)絡(luò )，應急資源庫，仿真測試、信息共享、信息通報平臺（一網(wǎng)一庫三平臺）。四是促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展，提升產(chǎn)業(yè)供給能力，培育一批龍頭骨干企業(yè)，創(chuàng )建3-5個(gè)國家新型工業(yè)化產(chǎn)業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全）。

Q：《行動(dòng)計劃》強調落實(shí)企業(yè)主體責任，企業(yè)應如何落實(shí)主體責任？

答：工控安全是工業(yè)生產(chǎn)安全的重要組成部分，工業(yè)企業(yè)作為工業(yè)控制系統運營(yíng)者應承擔主體責任。企業(yè)應從以下方面落實(shí)主體責任：一是貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò )安全法》，按照“誰(shuí)主管、誰(shuí)負責；誰(shuí)運營(yíng)、誰(shuí)負責”的原則，建立工控安全責任制，明確企業(yè)法人代表、經(jīng)營(yíng)負責人第一責任者的責任。二是抽調信息化、生產(chǎn)管理、運營(yíng)維護、設備管理等相關(guān)部門(mén)人員，組建企業(yè)工控安全管理機構。三是按照《工業(yè)控制系統信息安全防護指南》要求，編制完善配置和補丁管理、物理和環(huán)境安全防護等制度，定期組織開(kāi)展培訓，切實(shí)推動(dòng)各項制度落地實(shí)施。四是以《工業(yè)控制系統信息安全防護能力評估工作指南》為指導，積極開(kāi)展工控安全防護能力評估。五是持續加大工控安全投入，落實(shí)防護技術(shù)改造和隱患治理專(zhuān)項經(jīng)費。

Q：《行動(dòng)計劃》在主要目標里提出到2020年建成“一網(wǎng)一庫三平臺”，“一網(wǎng)一庫三平臺”具體指的是什么？

答：“一網(wǎng)”是指全國工控安全在線(xiàn)監測網(wǎng)絡(luò )。支持國家工業(yè)信息安全發(fā)展研究中心牽頭，聯(lián)合地方、行業(yè)等技術(shù)機構，建設以國家工控安全在線(xiàn)監測平臺為中心，縱向連接省級分中心，橫向覆蓋重點(diǎn)工業(yè)行業(yè)的多級監測網(wǎng)絡(luò )，實(shí)現對全國重要工業(yè)控制系統運行狀態(tài)、風(fēng)險隱患的實(shí)時(shí)感知、精準研判和科學(xué)決策。

“一庫”是指工控安全應急資源庫。按照《國家網(wǎng)絡(luò )安全事件應急預案》總體要求，支持國家工業(yè)信息安全發(fā)展研究中心建設應急資源庫，匯聚漏洞、風(fēng)險、解決方案、預案等信息，實(shí)現輔助決策、預案演練等功能。在突發(fā)工業(yè)信息安全事件時(shí)，支撐行業(yè)主管部門(mén)協(xié)調技術(shù)專(zhuān)家和專(zhuān)業(yè)隊伍對事件開(kāi)展分析研判，并調動(dòng)相關(guān)應急資源及時(shí)有效的開(kāi)展處置工作。

“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。建設工控安全仿真測試平臺，以化工生產(chǎn)、管道輸送、污水處理、智能制造等真實(shí)工業(yè)控制場(chǎng)景為基礎，模擬業(yè)務(wù)流程，還原真實(shí)現場(chǎng)，滿(mǎn)足培訓、測試、驗證、試驗等多元化需求。充分利用云計算、大數據等技術(shù)手段，建設國家工控安全信息共享平臺，建立共享清單，明確共享內容，推動(dòng)形成政府引導、企業(yè)主體、社會(huì )參與、利益共享的工作機制。支持建設工控安全信息通報預警平臺，及時(shí)發(fā)布風(fēng)險預警信息，跟蹤風(fēng)險防范工作進(jìn)展，形成快速高效、各方聯(lián)動(dòng)的信息通報預警體系。

企業(yè)解讀

和利時(shí)智能技術(shù)有限公司總工程師朱毅明

工信部在12月29日發(fā)布的《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020年）》中明確提出堅持安全和發(fā)展同步推進(jìn)、堅持落實(shí)企業(yè)主體責任、堅持因地制宜分類(lèi)指導、堅持技術(shù)和管理并重等四大基本原則，其中的因地制宜分類(lèi)指導與技術(shù)和管理并重原則對于實(shí)現供給側改革，為工業(yè)企業(yè)提供既安全又經(jīng)濟的工控系統信息安全解決方案，推進(jìn)工業(yè)控制系統信息安全產(chǎn)業(yè)的可持續發(fā)展具有現實(shí)的指導意義。

首先，工業(yè)企業(yè)門(mén)類(lèi)眾多，生產(chǎn)工藝千差萬(wàn)別，相同的工業(yè)控制系統在不同的行業(yè)應用中信息安全風(fēng)險差異極大。工控信息安全風(fēng)險不能簡(jiǎn)單地按照企業(yè)生產(chǎn)規?；蚩刂茝碗s程度劃分，而是應該按照工控系統信息安全危險可能造成的經(jīng)濟和社會(huì )后果以及發(fā)生的可能性進(jìn)行評估，例如：用于能源、交通、市政等基礎設施或化工、冶金、醫藥、食品等涉及高危行業(yè)的工業(yè)控制系統，無(wú)論規模大小，都應該采用嚴格的信息安全防護措施保證其安全穩定運行；用于一些離散制造業(yè)的工業(yè)控制系統即使規模巨大，但信息安全的危險主要是相對可控的經(jīng)濟損失，一般不會(huì )產(chǎn)生大的社會(huì )影響或人身安全問(wèn)題，可以選擇與其風(fēng)險匹配的信息安全防護措施，不必過(guò)度設計。

其次，工控系統信息安全防護不僅僅是涉及計算機和網(wǎng)絡(luò )技術(shù)，而且要與傳統工業(yè)技術(shù)和管理手段相結合，形成信息與光機電技術(shù)一體化的全方位縱深防御體系，提供因地制宜、分類(lèi)的解決方案，例如：在一些關(guān)鍵工業(yè)裝備上可以保留必要機械或電氣的多樣性保護手段，在工控系統完全失控的情況下作為最后的安全防線(xiàn)。

第三，對于工控系統信息安全，可以采用管理手段與技術(shù)手段相結合，以較低的實(shí)施成本和較快的實(shí)施速度，有效提高對惡意攻擊的難度，減緩攻擊實(shí)施的速度，提供較為充裕的時(shí)間采取必要的應急措施，避免災難性的后果。

在行動(dòng)計劃中還提到通過(guò)培育龍頭骨干企業(yè)和創(chuàng )建國家新型工業(yè)化產(chǎn)業(yè)示范基地（工業(yè)信息安全）實(shí)現產(chǎn)業(yè)發(fā)展能力提升，這一措施為國內工業(yè)控制系統信息安全產(chǎn)業(yè)發(fā)展提供了明確的政策引導。

目前國內工業(yè)控制系統信息安全企業(yè)主要來(lái)自三個(gè)源頭，IT信息安全企業(yè)的工業(yè)業(yè)務(wù)部門(mén)、工控系統企業(yè)的信息安全部門(mén)和新創(chuàng )業(yè)的工控信息安全企業(yè)，即使是新創(chuàng )業(yè)的工控信息安全企業(yè)，其核心的骨干技術(shù)人員也大多來(lái)自IT信息安全企業(yè)和工控系統企業(yè)。由于工業(yè)控制系統信息安全產(chǎn)業(yè)正處于爬坡上升階段，研發(fā)投入大，合同產(chǎn)出小，整個(gè)行業(yè)承受的壓力比較大，新創(chuàng )業(yè)的工控信息安全企業(yè)的壓力就更大。按照工信部的行動(dòng)計劃執行，一方面加大對行業(yè)龍頭骨干企業(yè)的支持力度，幫助企業(yè)渡過(guò)暫時(shí)的困難，另一方面通過(guò)政策引導，落實(shí)企業(yè)對工控信息安全的主體責任，鼓勵大中型企業(yè)集團主動(dòng)推進(jìn)自身的工控系統信息安全改進(jìn)，落實(shí)資金，帶動(dòng)整個(gè)行業(yè)的發(fā)展。這無(wú)疑對于目前的工業(yè)控制系統信息安全相關(guān)企業(yè)是極大的鼓勵。

摘自《自動(dòng)化博覽》2018年1月刊