2017年12月27日，工信部正式发布《工业控制系统信息安全行动计划（2018-2020年）》（以下简称行动计划），这一行动计划的发布，是我国贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》、《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》等文件精神的具体行动，该行动计划的发布，将加快我国工业控制系统信息安全保障体系的建设，提升工业企业工业控制系统信息安全防护能力，促进工业信息安全产业发展。本期记者特别刊出行动计划全文，以及官方解读和企业解读，供读者更好地理解该行动计划。

全文|工业控制系统信息安全行动计划（2018-2020年）

工业控制系统信息安全（以下简称工控安全）是实施制造强国和网络强国战略的重要保障。近年来，随着中国制造2025全面推进，工业数字化、网络化、智能化加快发展，我国工控安全面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战。为全面落实国家安全战略，提升工业企业工控安全防护能力，促进工业信息安全产业发展，加快我国工控安全保障体系建设，制定本行动计划。

一、总体要求

（一）指导思想

全面贯彻落实党的十九大精神，以习近平新时代中国特色社会主义思想为指引，坚持总体国家安全观，以落实企业主体责任为关键，紧紧围绕新时期两化深度融合发展需求，重点提升工控安全态势感知、安全防护和应急处置能力，促进产业创新发展，建立多级联防联动工作机制，为制造强国和网络强国战略建设奠定坚实基础。

（二）基本原则

坚持安全和发展同步推进。树立正确的网络安全观，坚持以安全保发展，以发展促安全，安全和发展并重。确保信息安全与信息化建设同步规划、同步建设、同步运行。

坚持落实企业主体责任。确立企业工控安全主体责任地位，强化责任意识，把工控安全作为工业生产安全的重要组成部分，将安全要求纳入企业生产、经营、管理各环节。

坚持因地制宜分类指导。准确把握工控安全在不同行业、不同地区的发展基础和特征，结合工控安全威胁的多样性和复杂性，分类别、分层次、分步骤精准施策。

坚持技术和管理并重。统筹技术防护与安全管理，充分运用先进技术提升工控安全防护能力，创新企业安全管理机制，全面落实安全管理制度。

（三）主要目标

到2020年，全系统工控安全管理工作体系基本建立，全社会工控安全意识明显增强。建成全国在线监测网络，应急资源库，仿真测试、信息共享、信息通报平台（一网一库三平台），态势感知、安全防护、应急处置能力显著提升。培育一批影响力大、竞争力强的龙头骨干企业，创建3-5个国家新型工业化产业示范基地（工业信息安全），产业创新发展能力大幅提高。

二、主要行动

（一）安全管理水平提升

落实企业主体责任。企业依据《中华人民共和国网络安全法》建立工控安全责任制，明确企业法人代表、经营负责人第一责任者的责任，组建管理机构，完善管理制度。贯彻落实《工业控制系统信息安全防护指南》安全要求，持续加大工控安全投入，落实防护技术改造和隐患治理专项经费，积极开展防护能力评估。

落实监督管理责任。工业和信息化部统筹制定工控安全政策标准，开展宣贯培训，定期组织全国检查评估，对纳入审查范围的工业控制系统产品与服务实施安全审查。地方工业和信息化主管部门加快工控安全地方性法规建设，建立重要工业控制系统目录清单，加强日常监督管理，安排专项资金推动地方监测、预警、应急等保障能力建设，持续完善地方工控安全保障体系。

（二）态势感知能力提升

建设全国工控安全监测网络。支持国家级工业信息安全技术机构持续完善主动监测、被动诱捕、威胁情报获取等工控安全在线监测手段，扩展工业控制系统资产识别种类，提高识别精准度和搜索效率。建设以国家工控安全在线监测平台为中心，涵盖省级重要节点的监测网络，实现对全国重要工业控制系统运行状态、风险隐患的实时感知、精准研判和科学决策。

实施信息共享工程。鼓励行业主管部门、企业、科研院所、联盟协会等机构和个人积极参与信息共享工作，建立共享清单，明确共享内容，推动形成政府引导、企业主体、社会参与、利益共享的工作机制。充分利用云计算、大数据等技术手段，建设国家工控安全信息共享平台，实现信息的安全、可靠、及时共享。

（三）安全防护能力提升

加强防护技术研究。支持建设工控安全靶场、仿真测试等共性技术平台，研发工控安全防护技术工具集，加强分区隔离、安全交换、协议管控等关键技术攻关。开展防护能力建设试点示范，形成可复制、可推广的安全防护整体解决方案。探索工业云、工业大数据等新兴应用的安全架构设计，开展工业互联网安全防护技术研究和创新。

建立健全标准体系。制定工控安全分级、安全要求、安全实施、安全测评类标准，加快工控安全防护能力评估、工业控制系统设备产品安全、工业互联网平台安全等急用先行标准的发布和应用，鼓励企业、科研院所、行业组织等参与国际标准化工作。

（四）应急处置能力提升

开展信息通报预警。制定《工业信息安全信息报送与通报管理办法》，建立信息通报员、日常信息通报、应急信息通报、风险预警等制度。建设工控安全信息通报预警平台，及时发布风险预警信息，跟踪风险防范工作进展，形成快速高效、各方联动的信息通报预警体系。

建设国家应急资源库。按照《国家网络安全事件应急预案》总体要求，支持国家级工业信息安全技术机构建设应急资源库，实现信息采集、辅助决策、预案演练等功能。在突发工业信息安全事件时，支撑行业主管部门协调技术专家和专业队伍对事件开展分析研判，并调动相关应急资源及时有效的开展处置工作。

（五）产业发展能力提升

培育龙头骨干企业。面向工控安全领域产业发展需求，加快培育一批技术水平高、业务规模大、竞争能力强的工业控制系统生产企业和安全服务商，支持龙头骨干企业突破核心技术，研发关键产品、提高服务能力、创新商业模式，联合工业企业开展优秀产品及解决方案示范，推动行业应用。

创建国家新型工业化产业示范基地（工业信息安全）。选择工业基础雄厚、产业链条完备、聚集效应明显的地区建设国家新型工业化产业示范基地（工业信息安全）。围绕工业控制系统技术研发、应用示范、产融合作、人才培养等关键环节，探索产业发展路径，促进产业集聚发展，发挥先行先试和示范带动作用。

三、保障措施

（一）加强组织协调

在国家制造强国建设领导小组统一领导下，加强工控安全保障体系重大决策、重大工程和重大问题的统筹协调，全面落实行动计划各项任务。各地工业和信息化主管部门要加强本地区统筹管理，做好行动计划的贯彻落实和组织保障。

（二）加大政策支持

坚持政府引导和市场运作相结合，充分调动社会力量支持工控安全保障体系建设。支持有条件的地方设立专项，加大对工控安全基础设施建设、关键技术验证测试平台建设、产业创新发展的支持力度。利用国家政策性信贷资金支持工业信息安全产业示范基地建设。

（三）加快人才培养

鼓励工业企业加强与院校合作，联合培养工控安全专业人才。打造国家工控安全高端智库，为工控安全战略部署、规划制定、决策咨询、重大问题提供智力支持和技术支撑，培养一支门类齐全、技术精湛的工控安全专业人才队伍。

（四）鼓励社会参与

充分发挥行业协会、产业联盟等中介组织的积极作用，支持开展技术研发、技能竞赛、标准推广、公共服务、国际合作等工作，促进技术交流、加强信息沟通，形成政产学研用高效联动的发展格局。

官方解读

工业控制系统信息安全（以下简称工控安全）是实施制造强国和网络强国战略的重要前提，关系到国家安全、经济发展和社会稳定。为贯彻落实党的十九大精神，日前，工业和信息化部正式印发了《工业控制系统信息安全行动计划（2018-2020）》（以下简称《行动计划》），旨在深入落实国家安全战略，加快工控安全保障体系建设，促进工业信息安全产业发展。《行动计划》的发布引发各界广泛关注。近日，工业和信息化部信息化和软件服务业司负责人就《行动计划》内容进行了解读。

Q：《行动计划》的定位是如何考虑的？

答：随着中国制造2025全面推进，工业数字化、网络化、智能化加快发展，新形势下工控安全工作的重要性和紧迫性更加凸显。党中央、国务院高度重视信息安全问题。习近平总书记多次就网络安全和信息化工作做出重要指示，强调“安全是发展的前提，发展是安全的保障，安全和发展要同步推进”。《中国制造2025》提出要“加强智能制造工业控制系统网络安全保障能力建设，健全综合保障体系”。《国务院关于深化制造业与互联网融合发展的指导意见》将“提高工业信息系统安全水平”作为主要任务之一，2017年6月1日实施的《中华人民共和国网络安全法》也要求对包括工业控制系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”实行重点保护。近期发布的《关于深化“互联网+先进制造业”发展工业互联网的指导意见》，提出“建立工业互联网安全保障体系、提升安全保障能力”的发展目标，部署“强化安全保障”的主要任务，为工业互联网安全保障工作制定了时间表和路线图。

《行动计划》深入贯彻落实国家安全战略，突出了落实企业主体责任，从提升工业企业工控安全防护能力，促进工业信息安全产业发展，加快工控安全保障体系建设出发，进一步明确了部门、地方和企业做什么和怎么做，部署了五大能力提升行动，为下一步开展工控安全工作提供了依据和指导。

Q：《行动计划》实施的主要目标是什么？

答：到2020年，一是建成工控安全管理工作体系，企业主体责任明确，各级政府部门监督管理职责清楚，工作管理机制基本完善。二是全系统、全行业工控安全意识普遍增强，对工控安全危害认识明显提高，将工控安全作为生产安全的重要组成部分。三是态势感知、安全防护、应急处置能力显著提升，全面加强技术支撑体系建设，建成全国在线监测网络，应急资源库，仿真测试、信息共享、信息通报平台（一网一库三平台）。四是促进工业信息安全产业发展，提升产业供给能力，培育一批龙头骨干企业，创建3-5个国家新型工业化产业化产业示范基地（工业信息安全）。

Q：《行动计划》强调落实企业主体责任，企业应如何落实主体责任？

答：工控安全是工业生产安全的重要组成部分，工业企业作为工业控制系统运营者应承担主体责任。企业应从以下方面落实主体责任：一是贯彻落实《中华人民共和国网络安全法》，按照“谁主管、谁负责；谁运营、谁负责”的原则，建立工控安全责任制，明确企业法人代表、经营负责人第一责任者的责任。二是抽调信息化、生产管理、运营维护、设备管理等相关部门人员，组建企业工控安全管理机构。三是按照《工业控制系统信息安全防护指南》要求，编制完善配置和补丁管理、物理和环境安全防护等制度，定期组织开展培训，切实推动各项制度落地实施。四是以《工业控制系统信息安全防护能力评估工作指南》为指导，积极开展工控安全防护能力评估。五是持续加大工控安全投入，落实防护技术改造和隐患治理专项经费。

Q：《行动计划》在主要目标里提出到2020年建成“一网一库三平台”，“一网一库三平台”具体指的是什么？

答：“一网”是指全国工控安全在线监测网络。支持国家工业信息安全发展研究中心牵头，联合地方、行业等技术机构，建设以国家工控安全在线监测平台为中心，纵向连接省级分中心，横向覆盖重点工业行业的多级监测网络，实现对全国重要工业控制系统运行状态、风险隐患的实时感知、精准研判和科学决策。

“一库”是指工控安全应急资源库。按照《国家网络安全事件应急预案》总体要求，支持国家工业信息安全发展研究中心建设应急资源库，汇聚漏洞、风险、解决方案、预案等信息，实现辅助决策、预案演练等功能。在突发工业信息安全事件时，支撑行业主管部门协调技术专家和专业队伍对事件开展分析研判，并调动相关应急资源及时有效的开展处置工作。

“三平台”是指工控安全仿真测试平台、信息共享平台和信息通报平台。建设工控安全仿真测试平台，以化工生产、管道输送、污水处理、智能制造等真实工业控制场景为基础，模拟业务流程，还原真实现场，满足培训、测试、验证、试验等多元化需求。充分利用云计算、大数据等技术手段，建设国家工控安全信息共享平台，建立共享清单，明确共享内容，推动形成政府引导、企业主体、社会参与、利益共享的工作机制。支持建设工控安全信息通报预警平台，及时发布风险预警信息，跟踪风险防范工作进展，形成快速高效、各方联动的信息通报预警体系。

企业解读

和利时智能技术有限公司总工程师朱毅明

工信部在12月29日发布的《工业控制系统信息安全行动计划（2018-2020年）》中明确提出坚持安全和发展同步推进、坚持落实企业主体责任、坚持因地制宜分类指导、坚持技术和管理并重等四大基本原则，其中的因地制宜分类指导与技术和管理并重原则对于实现供给侧改革，为工业企业提供既安全又经济的工控系统信息安全解决方案，推进工业控制系统信息安全产业的可持续发展具有现实的指导意义。

首先，工业企业门类众多，生产工艺千差万别，相同的工业控制系统在不同的行业应用中信息安全风险差异极大。工控信息安全风险不能简单地按照企业生产规模或控制复杂程度划分，而是应该按照工控系统信息安全危险可能造成的经济和社会后果以及发生的可能性进行评估，例如：用于能源、交通、市政等基础设施或化工、冶金、医药、食品等涉及高危行业的工业控制系统，无论规模大小，都应该采用严格的信息安全防护措施保证其安全稳定运行；用于一些离散制造业的工业控制系统即使规模巨大，但信息安全的危险主要是相对可控的经济损失，一般不会产生大的社会影响或人身安全问题，可以选择与其风险匹配的信息安全防护措施，不必过度设计。

其次，工控系统信息安全防护不仅仅是涉及计算机和网络技术，而且要与传统工业技术和管理手段相结合，形成信息与光机电技术一体化的全方位纵深防御体系，提供因地制宜、分类的解决方案，例如：在一些关键工业装备上可以保留必要机械或电气的多样性保护手段，在工控系统完全失控的情况下作为最后的安全防线。

第三，对于工控系统信息安全，可以采用管理手段与技术手段相结合，以较低的实施成本和较快的实施速度，有效提高对恶意攻击的难度，减缓攻击实施的速度，提供较为充裕的时间采取必要的应急措施，避免灾难性的后果。

在行动计划中还提到通过培育龙头骨干企业和创建国家新型工业化产业示范基地（工业信息安全）实现产业发展能力提升，这一措施为国内工业控制系统信息安全产业发展提供了明确的政策引导。

目前国内工业控制系统信息安全企业主要来自三个源头，IT信息安全企业的工业业务部门、工控系统企业的信息安全部门和新创业的工控信息安全企业，即使是新创业的工控信息安全企业，其核心的骨干技术人员也大多来自IT信息安全企业和工控系统企业。由于工业控制系统信息安全产业正处于爬坡上升阶段，研发投入大，合同产出小，整个行业承受的压力比较大，新创业的工控信息安全企业的压力就更大。按照工信部的行动计划执行，一方面加大对行业龙头骨干企业的支持力度，帮助企业渡过暂时的困难，另一方面通过政策引导，落实企业对工控信息安全的主体责任，鼓励大中型企业集团主动推进自身的工控系统信息安全改进，落实资金，带动整个行业的发展。这无疑对于目前的工业控制系统信息安全相关企业是极大的鼓励。

摘自《自动化博览》2018年1月刊