今日头条
官方微信
官方抖音
资讯频道2017年12月29日,工信部发布《工业控制系统信息安全行动计划(2018-2020)》(以下简称行动计划),随着《行动计划》官方解读的发布,市场对该计划也产生了热议,本期特别刊出和利时智能技术有限公司总工程师朱毅明对该计划的解读,希望对相关同仁有所启发!
以下为解读全文:
工信部在12月29日发布的《工业控制系统信息安全行动计划(2018-2020)》中明确提出坚持安全和发展同步推进、坚持落实企业主体责任、坚持因地制宜分类指导、坚持技术和管理并重等四大基本原则,其中的因地制宜分类指导与技术和管理并重原则对于实现供给侧改革,为工业企业提供既安全又经济的工控系统信息安全解决方案,推进工业控制系统信息安全产业的可持续发展具有现实的指导意义。
首先,工业企业门类众多,生产工艺千差万别,相同的工业控制系统在不同的行业应用中信息安全风险差异极大。工控信息安全风险不能简单地按照企业生产规模或控制复杂程度划分,而是应该按照工控系统信息安全危险可能造成的经济和社会后果以及发生的可能性进行评估,例如:用于能源、交通、市政等基础设施或化工、冶金、医药、食品等涉及高危行业的工业控制系统,无论规模大小,都应该采用严格的信息安全防护措施保证其安全稳定运行;用于一些离散制造业的工业控制系统即使规模巨大,但信息安全的危险主要是相对可控的经济损失,一般不会产生大的社会影响或人身安全问题,可以选择与其风险匹配的信息安全防护措施,不必过度设计。
其次,工控系统信息安全防护不仅仅是涉及计算机和网络技术,而且要与传统工业技术和管理手段相结合,形成信息与光机电技术一体化的全方位纵深防御体系,提供因地制宜、分类的解决方案,例如:在一些关键工业装备上可以保留必要机械或电气的多样性保护手段,在工控系统完全失控的情况下提供最后的安全防线。
第三,对于工控系统信息安全,可以采用管理手段与技术手段相结合,以较低的实施成本和较快的实施速度,有效提高对恶意攻击的难度,减缓攻击实施的速度,提供较为充裕的时间采取必要的应急措施,避免灾难性的后果。
在行动计划中还提到通过培育龙头骨干企业和创建国家新型工业化产业示范基地(工业信息安全)实现产业发展能力提升,这一措施为国内工业控制系统信息安全产业发展提供了明确的政策引导。
目前国内工业控制系统信息安全企业主要来自三个源头,IT信息安全企业的工业业务部门、工控系统企业的信息安全部门和新创业的工控信息安全企业,即使是新创业的工控信息安全企业,其核心的骨干技术人员也大多来自IT信息安全企业和工控系统企业。由于工业控制系统信息安全产业正处于爬坡上升阶段,研发投入大,合同产出小,整个行业承受的压力比较大,新创业的工控信息安全企业的压力就更大。按照工信部的行动计划执行,一方面加大对行业龙头骨干企业的支持力度,帮助企业渡过暂时的困难,另一方面通过政策引导,落实企业对工控信息安全的主体责任,鼓励大中型企业集团主动推进自身的工控系统信息安全改进,落实资金,带动整个行业的发展。这无疑对于目前的工业控制系统信息安全相关企业是极大的鼓励。
本文转自《自动化博览》2018年第一期
北京市公安局海淀分局备案号:11010802023656号